[Negator]

Но переход выполнялся очень постепенно, чтобы не создать пользователям никаких неудобств.

Вот переход, да и без неудобств -самая большая проблема.

Изменено 8 февраля, 2012 пользователем Negator

[ichthyandr]

После перехода от PPPoE и PPTP на IPoE количество заявок в ТП уменьшилось примерно вдвое.

Вывод - оно того стоило.

Нагрузка на серверы тоже уменьшилась вдвое, настройки упростились.

 

Но переход выполнялся очень постепенно, чтобы не создать пользователям никаких неудобств.

Ну может быть, хотя если народ тут пишет что уже ставят ящики типа C65XX под 3к абонентов, думаю стоит задуматься. У нас 5к абонентов тянет одна asr как бордер, пара с3750g и четыре nas-a c freebsd

[Дятел]

ящик типа 6500 с сап32, терминящий до 4К абонентов, стоит

sup32 + шасси + блок вентиляторов+ блоки питания 2 шт = 1700+700+450+600 = $3450

дешевле двух 3750....

[vladimirslk]

сидим на pppoe... да мелькает идея, но юзеры уже привыкли - а перемены всегда больно )))

да и был горький опыт использования IP+MAC правда на неуправляемых свичах в 2004 примерно и после этого гемороя pppoe кажется манной небесной )))

пусть и управляемые свичи везде стоят, но всё стабильно и радует - а так будем наблюдать за трендом. Скажу так, для маленьких операторов до 1000 абонентов нет смысла дергаться - разницы огромной не будет - свыше - не знаю )

[Ilya Evseev]

У нас 5к абонентов тянет одна asr как бордер, пара с3750g и четыре nas-a c freebsd

У нас скромнее - layer3 на Extreme Summit x460, пара шейперов+netflow с FreeBSD и core2, бордер nat+bgp на Линуксе и core i5.

Производительность бордера примерно 2gbps, шейперы тянут по 800 (броадкомовские карты+драйверы упираются в pps).

Абонбаза чуть больше вашей.

[ichthyandr]

ящик типа 6500 с сап32, терминящий до 4К абонентов, стоит

sup32 + шасси + блок вентиляторов+ блоки питания 2 шт = 1700+700+450+600 = $3450

дешевле двух 3750....

это если брать б.у. Новый будет дороже, бу руководство брать не желает

 

сидим на pppoe... да мелькает идея, но юзеры уже привыкли - а перемены всегда больно )))

...

Еще как ... вопрос то вобщем то в стабильности сервиса

[megahertz0]

А кто говорит, что он будет пытаться получать IP? Назначит руками - и делов-то...

Нет, с большой вероятностью будет прекрасно пользоваться интернетом соседским, разделяя с ним его канал. Ибо свич при коллизии маков будет слать траффик на оба порта.

Включаем port-security sticky, максимум запоминаемых mac штук 5. Свитч запоминает адреса на портах. Если появляестя mac, конфликтующий с уже изучеными порт шатдаунится и в мониторинг отправляется соответствующий трап и делается соответствующая запись в сислог, который все равно пишется. Опять же если сегментация идет по домам, то маловероятно, что в доме все будут спуфить mac всех, а между домами - бессмысленно вообще пытаться т.к. дома в разных широковещательных доменах. Теоретически можно заюзать чужой интернет только выдернув из свитча питание и кабеля соседей и воткнувшись самому чтобы свитч запомнил халявщика первым. Но опять же это лечится периодическим сохранением конфига свитча. В общем как то так.

Статически адрес прописывать нет смысла т.к. циска при включенном DAI пропускает связку mac-ip только при прохождении через нее DHCP клиента. Т.е. если не было DHCP-запроса и соответствующего ответа, то трафик абонента дальше агрегации не пройдет.

 

Теперь другой вопрос - есть ли смысл терминировать вланы по l3 на агрегации или есть смысл прогонять их в ядро и там уже рулить трафиком? Как мне кажется, в первом случае схема получается более децентрализованой и в ядре гуляет только l3 между агрегацией. Во втором случае можно на агрегацию ставить дешманские железки с дофига SFP типа этих, которые стоят как 1/3 от циски 3750/4506 или использовать 3550-12g.

[Дятел]

Теперь другой вопрос - есть ли смысл терминировать вланы по l3 на агрегации или есть смысл прогонять их в ядро и там уже рулить трафиком? Как мне кажется, в первом случае схема получается более децентрализованой и в ядре гуляет только l3 между агрегацией. Во втором случае можно на агрегацию ставить дешманские железки с дофига SFP типа этих, которые стоят как 1/3 от циски 3750/4506 или использовать 3550-12g.

мы тащим в ядро, на агрегацию сейчас пошли длинки 3120, одно из несомненных достоинств которых - два встроенных порта 10Г (не оптических), позволяющих планировать перевод агрегации на 10Г при появлении соответсвующей необходимости (хотя пока предпосылок не видно).

[NiTr0]

а вот если IP подставить соседский - то проблемы будут у обоих.

Нет. Свич с большой вероятностью будет пакеты рассылать по обеим портам (в основном свичи так себя ведут). При наличии файрвола, дропающего "непонятные" пакеты для неустановленных соединений - N компов с одинаковыми IP+MAC будут прекрасно работать, проверено...

 

Пруф?

Вот (1$ ~= 8 грн).

 

Включаем port-security sticky, максимум запоминаемых mac штук 5

И получаете геморрой для пользователей, которые по каким-либо причинам с момента последнего ребута вашего свича подключали более 6 устрйств к кабелю...

 

Если появляестя mac, конфликтующий с уже изучеными порт шатдаунится

Пришел Вася вечером к соседу со своим ноутом, скачать что-то с интернетов т.к. у него пакет окончился, а у соседа порт взял и потух, и до утра - ибо поддержки 24/7 нет... Обрадовались и Вася, и сосед, и долго крыли матом чудо-провайдера...

 

Опять же если сегментация идет по домам, то маловероятно, что в доме все будут спуфить mac все

А зачем "все всех"? Достаточно наличия одного абонента, который захочет бесплатного интернета.

 

Статически адрес прописывать нет смысла т.к. циска при включенном DAI пропускает связку mac-ip только при прохождении через нее DHCP клиента

Угу. Вот только DAI в 2950 нет :)

[megahertz0]

Угу. Вот только DAI в 2950 нет :)

Пришел Вася вечером к соседу со своим ноутом, скачать что-то с интернетов т.к. у него пакет окончился, а у соседа порт взял и потух, и до утра - ибо поддержки 24/7 нет... Обрадовались и Вася, и сосед, и долго крыли матом чудо-провайдера...

DAI есть на агрегации. Смысла спуфить мак соседа нет т.к. в любом случае пока через узел агрегации не пролетит DHCP, трафик пропущен не будет. Опять же никто не отменял aging у port-security. Время можно подобрать опытным путем. По-моему это редкая ситуация когда абонент за час сменяет более 5-6-7 роутеров или сетевух. Скорее он позвонит в ТП, которая уже будет решать проблему.

ТП к стати 24/7, ибо помимо интернетов есть ~8к абонентов КТВ, из которого ШПД собственно и вырос у нас.

 

Опять же, я не считаю свою точку зрения абсолютной и единственно верной. Но слыша иногда разговоры ТП с абонентами нетрудно сделать вывод что для подавляющего большинства людей слова типа MAC, IP, DHCP и т.д. это китайская грамота, а интернета ассоциируются с вконтактами и одноклассниками.

[dwemer]

DAI есть на агрегации. Смысла спуфить мак соседа нет т.к. в любом случае пока через узел агрегации не пролетит DHCP, трафик пропущен не будет.

Можно спуфить после того как пролетит dhcp соседа )

[NiTr0]

DAI есть на агрегации.

И накой оно там? Кого защищать-то? Весь дом сам от себя? :)

 

Опять же никто не отменял aging у port-security.

Повторюсь: вытянул сетевой кабель у себя из бука, пошел к соседу, подключился, у соседа потух порт - во соседу радости-то... Да и не уверен я как-то, что циска 2950 такое умеет (хотя особо мануалы не курил).

А 6-7 маков - смысл тогда уже от ограничения? :)

 

ИМХО - влан на абона куда перспективнее будет. И по части совместимости (в любой момент можно сменить свич на первый попавшийся под руку вебсмарт - скажем после мегагрозы), и по части простоты системы, и по части отсутствия привязки к фичам конкретного вендора.

[T_Igor]

Еще можно добавить в пользу влана на пользователя - несколько раз сталкивались с ситуацией когда допустим у нас влан на небольшой район и у абонента с этого района убитая сетевая карточка создает мегафлуд и весь район ложится из-за этого флуда.(И всякие настройки разные на комутаторах не помогают) Где и как искать? Весь день можно протрахатся. Когда находим этого абонента сразу отключаем от коммутатора. Порт переводим в отдельный влан и опять подключем клиента. Клиент так и трахается со своим флудом, район продолжает нормально работать. Флудящего ограничили вланом. Естественно чтобы снизить риски таких ситуаций, надо доводить количество клиентов в влане до минимума т.е. до одного. Думаю не зря же все это придумали и наверно до нас довно уже все через эти грабли прошли.

[megahertz0]

DAI есть на агрегации.

И накой оно там? Кого защищать-то? Весь дом сам от себя? :)

 

Опять же никто не отменял aging у port-security.

Повторюсь: вытянул сетевой кабель у себя из бука, пошел к соседу, подключился, у соседа потух порт - во соседу радости-то... Да и не уверен я как-то, что циска 2950 такое умеет (хотя особо мануалы не курил).

А 6-7 маков - смысл тогда уже от ограничения? :)

 

ИМХО - влан на абона куда перспективнее будет. И по части совместимости (в любой момент можно сменить свич на первый попавшийся под руку вебсмарт - скажем после мегагрозы), и по части простоты системы, и по части отсутствия привязки к фичам конкретного вендора.

 

 

Да я бы с радостью, но 2950 не роддерживает qinq. Поэтому и ищу какой-нибудь выход. Переделывать весь доступ и менять его на железки, которые qinq умеют - это реально дорого. Уж лучше на pppoe отсаться.

[NiTr0]

2950 не роддерживает qinq

А они и не обязаны. Ибо qinq делается на агрегации. До туда - идет банально пачка вланов, которые на порту агрегации упаковываются в еще один влан.

Или вы хотите агрегировать что-то, подключенное 100мбит медью, на 2950? :)

[kf72]

... убитая сетевая карточка создает мегафлуд и весь район ложится из-за этого флуда....

Два больших района перевел на ipoe и ... закончились 4к int vlan на 6509 суп2. - гораздо удобнее с запасом отправлять пачкой на район, а не прописывать по одному через все коммутаторы.

ломаю голову чем добрать.. еще одну 6509 рядом ставить?

[T_Igor]

... убитая сетевая карточка создает мегафлуд и весь район ложится из-за этого флуда....

Два больших района перевел на ipoe и ... закончились 4к int vlan на 6509 суп2. - гораздо удобнее с запасом отправлять пачкой на район, а не прописывать по одному через все коммутаторы.

ломаю голову чем добрать.. еще одну 6509 рядом ставить?

Смотря сколько добирать - если до тысячи то пойдет WS-C3550-12G, если больше и динамика роста подключения растет то второй 6509 суп2, цены на б\у вобще копеечные. Можно по Суп2у на район. Манипулировать в иосе кучей вланов тоже не проблема. На агрегацию SNR-S2970G-24S или DGS-3120-24SC как бы с обоими проблем нет, с DGS-3100-24TG лучше не связываться вланов в нем всего 254, да и тормозной он. Вобщем здесь чисто стратегические вопросы и вам должно быть виднее.

[kf72]

если кто в курсе на каком SUP у cisco 65xx будет работать 8-16 к вланов ? на маршрутизаторы ценник негуманный.

[nnm]

если кто в курсе на каком SUP у cisco 65xx будет работать 8-16 к вланов ? на маршрутизаторы ценник негуманный.

 

Есть мнение, что ни на каком.

[kf72]

Есть мнение, что ни на каком.

между собой их просто через порты соединить? в лучшем случае транком? междусобойного кабеля никакого не бывает хитрого для 65хх?

[vladimirslk]

... убитая сетевая карточка создает мегафлуд и весь район ложится из-за этого флуда....

Два больших района перевел на ipoe и ... закончились 4к int vlan на 6509 суп2. - гораздо удобнее с запасом отправлять пачкой на район, а не прописывать по одному через все коммутаторы.

ломаю голову чем добрать.. еще одну 6509 рядом ставить?

 

vlan на юзера? не слишком ли лихое извращение?

[kf72]

vlan на юзера? не слишком ли лихое извращение?

почитайте мою грустную историю от 2009 года.

перепробовали почти все.

имхо это лучший способ изолирования платящих абонентов от всевозможнейших проблем.

+ убиваю еще одного зайца - наконец-то выясню в каком порту какой абонент сидит - а остальные порты можно выключить (строили как могли. а могли тогда не много).

последняя задача решается сбором маков, анализом пар мак-ип, ковырянием в логах коммутатора и т.д. а оно мне надо ?

самый главный плюс - от доступа надо уметь только влан. железка с ацл и прочими плюшками в 3-4 раза дороже.

немного допилить биллинг (2 часа работы) и сбудется главная мечта нынешнего абонента - хоть утюг с rj-45 подключать к интернету можно будет.

должников можно будет убивать одним ацл меняя ему на int vlan выдаваемый адрес. с отключением портов веселые истории случаются у взмыленной ТП.

взвешивая плюшки сегодняшнего дня вспоминаю классика - "пгавильной догогой идете товарисчи"

это уже несколько раз обсуждалось. мне нравится.

[T_Igor]

Кабле-тест и влан что нам требуется от комутаторов доступа, за телефоном ТП девушка легко решает все проблемы пользователей.

[kayot]

если кто в курсе на каком SUP у cisco 65xx будет работать 8-16 к вланов ? на маршрутизаторы ценник негуманный.

На local.com.ua недавно спорили по этой теме, сошлись во мнении что до 16/32к vlan можно затерминировать на 7600 + sup720 + ES20/ES20+. Ценники конечно уже гораздо ощутимее, но и коробка остается одна.

[Ilya Evseev]

Ilya Evseev (08 февраля 2012 - 09:31) писал:

Пруф?

Вот (1$ ~= 8 грн).

По Вашей ссылке двухпортовые карты стоят примерно по 1300 гривен = $160.

На market.yandex.ru и price.ru - примерно только же.

Т.е. один порт >вдвое дороже, чем на однопортовой.