Jump to content

отказ от PPPOE

oleg77
 Share

Recommended Posts

oleg77

oleg77

Posted
Posted

Понемногу строилась сеть, и в итоге вышло: vlan-to-user + DHCP + unnumbered + PPPoE. В этой связке хочется избавиться от PPPoE, т.к. он тут явно лишний. Авторизацию сделать по IP, т.е. оставшиеся части должны дать хорошую защиту от подделки. Сейчас вход в интернет осуществляется через PPPoE, но так же есть локальная сеть, ip адреса раздает dhcp сервер.

 

Для перехода непонятны следующие вещи.

1. Как давать доступ, чтобы бы не потерять локальную сеть. Особенно не понятно как раздавать реальные IP. С первой частью еще понятно, можно построить сеть на серых адресах, где шлюз по умолчанию будет является сервер-nat. А что делать если реальные IP ?

 

2. Как считать трафик ? Пока вижу только два варианта iptables и netflow

 

3. Как шейпить, желательно динамически (в разное время разная ширина) ?

 

 

Поделитесь, кто это как делает. Если что, сеть состоит из 3550 в качестве агрегаторов и на доступе 2950.

Alex/AT

Alex/AT

Posted
Posted (edited)

Не хочу переводить тему в плоскость PPPoE vs IPoE, но придётся-таки отметить, что Ваши вопросы по п.1-3 в принципе решает именно PPPoE. С локалкой тяжелее - но её можно дать и "виртуальную" - через BRAS'ы. Минус - гонять весь локальный трафик до BRAS'ов. Плюс - нет неуправляемого трафика, нет затыков на аплинках между КД/КА/КК в связи с "локалкой" (если появляются затыки - "локалка" для направлений пилится ниже сотни).

 

PPPoE удобен возможностями учёта, управляемостью (в т.ч. в плане шейпера), защитой от "левых" подключений. Всё зависит от топологии, у Вас vlan-per-user, так что PPPoE - самое место.

 

Всё зависит от масштаба. По мне - так IPoE на КД/КА пригоден для максимум пары тысяч абонентов, далее он станет неуправляемым, и начнутся всякие проблемы с арпфлудом, лимитами ARP-таблиц, необходимостью городить маршрутизацию (пусть даже динамическую) и иже с ними. Если хотите построить правильный IPoE - стройте также на BRAS'ах, но разница с PPPoE только в отсутствии необходимости абоненту устанавливать PPPoE-соединение.

Edited by Alex/AT
oleg77

oleg77

Posted
  • Author
Posted

Как я и говорил, сейчас доступ идет через PPPoE, поэтому и запросы такие, чтобы не было хуже чем есть.

 

Если хотите построить правильный IPoE - стройте также на BRAS'ах
Это как ?
Alex/AT

Alex/AT

Posted
Posted (edited)

Juniper ERX'ы, MX80, Ericcson (RedBack) - умеют IPoE на VLAN-per-user, с авторизацией по MAC/порту (если свитчи отдают Option 82).

Edited by Alex/AT
Дятел

Дятел

Posted
Posted

доступ в интернет задумывался отцами-основателями на реальных адресах.

может, сразу раздавать реальники и не париться с НАТом?

cvb

cvb

Posted
Posted

чем vlan-per-user этому мешает ? Я так понял, из ходя из цитирования.

 

Не мешает, просто лучше сразу рассматривать схему ограничения скорости по-тарифу не только по IPv4, но и по IPv6.

oleg77

oleg77

Posted
  • Author
Posted

доступ в интернет задумывался отцами-основателями на реальных адресах.

может, сразу раздавать реальники и не париться с НАТом?

Мы даем бесплатно реальные статические адреса. Никому это не нужно. Из всех 5 только пожелали его. Только теперь ежемесячно туда ходит наша тех. поддержка, доказывая что у него вирусы. Что такое firewall знают 1-5% из всего населения... Именно поэтому и не хочется делать всё на реальных адресах. Придется искать дополнительно 10-20 человек, для хождения и лечения вирусов к клиентам... Печально, но факт :(
denis_vid

denis_vid

Posted
Posted

И как Билайн/Корбина живут, не представляю...Несколько сотен тысяч абонентов на реальниках....

 

;-)

Так и живут. Или фильтруют и оправдываются за закрытые порты или не фильтруют и забивают на жалобы что "в вашей сети вирусы".

По сабжу если есть локальная сеть разумно L3 подвинуть ближе к абоненту а не гонять нужный локальный трафик с ненужным флудом через ядро

Дятел

Дятел

Posted
Posted

Правильному ядру локальной сети размера даже крупного пионернета глубоко пофигу на локальный трафик. Не делайте из мухи слона.

 

А вот контролировать его как раз проще в одной точке: в точке терминации вланов.

denis_vid

denis_vid

Posted
Posted (edited)

Правильному ядру локальной сети размера даже крупного пионернета глубоко пофигу на локальный трафик. Не делайте из мухи слона.

 

А вот контролировать его как раз проще в одной точке: в точке терминации вланов.

Если в сети развитый локальный торрент-трекер/DC ядру вряд ли будут пофиг гигабиты p2p трафика.

Какие то изменения в конфигурации ядра необходимо производить регулярно, что в большинстве случае будет приводить к загрузке CPU со всеми вытекающими.

Edited by denis_vid
joesm

joesm

Posted
Posted

Когда в большинстве у клиентов скоростные тарифы, "локальный торрент-трекер/DC" для них не имеет особого смысла и его наличием можно пренебречь.

 

Интересно послушать смысл перехода от уже существующего РРРоЕ. Отсутствие локального трафика в ядре это понятно, но насколько это перевешывает усложнение схемы авторизации, ограничения скорости, учета и т.д.

denis_vid

denis_vid

Posted
Posted

ядро пакеты что, лопатой свичует? )))

Нерационально гнать трафик от Феди к Васе который живет в соседнем подъезде и к Пете который живет над Васей через весь город.

 

Когда в большинстве у клиентов скоростные тарифы, "локальный торрент-трекер/DC" для них не имеет особого смысла и его наличием можно пренебречь.

 

Интересно послушать смысл перехода от уже существующего РРРоЕ. Отсутствие локального трафика в ядре это понятно, но насколько это перевешывает усложнение схемы авторизации, ограничения скорости, учета и т.д.

Когда количество конкурентов по провайдеру на квартиру в многоквартирном доме, любая услуга, даже не используемая на практике но полезная гипотетически может сыграть решающую роль

NiTr0

NiTr0

Posted
Posted

Как давать доступ, чтобы бы не потерять локальную сеть. Особенно не понятно как раздавать реальные IP. С первой частью еще понятно, можно построить сеть на серых адресах, где шлюз по умолчанию будет является сервер-nat. А что делать если реальные IP ?

Раздельно шейпить локалку/мир не проблема, вариантов множество разных, начиная от игр с правилами шейпера заканчивая выносом шейпера на бордюр или отдельную машину между агрегацией и бордюром.

Реальники - либо прямо разхдавать, либо нат 1:1 (на том же lISG к прмиеру реализуется).

 

Как считать трафик ? Пока вижу только два варианта iptables и netflow

Если netflow не устраивает - lISG в помощь.

 

Как шейпить, желательно динамически (в разное время разная ширина) ?

А в чем проблема - шейпер покрутить в нужное время? Хоть по крону, исходя из переданных заранее аттрибутов, хоть по внешнему событию...

lISG к слову CoA умеет.

 

Всё зависит от топологии, у Вас vlan-per-user, так что PPPoE - самое место.

Накой?

Если бы был влан на дом/влан на район, да еще и с неуправляемым железом - да, туннелям было бы самое место. Потому что нужно было бы как-то авторизировать пользователей. А при влане на юзера городить туннели - ИМХО смысла нет.

 

Только теперь ежемесячно туда ходит наша тех. поддержка, доказывая что у него вирусы. Что такое firewall знают 1-5% из всего населения...

Вы тоже не знаете, что такое файрвол?

Зарежьте вендоспецифические порты (нетбиос/самба/рпц) на бордюре, и волосы ваших пользователей станут гладкими и шелковистыми ;)

К слову, за все время предоставления реальных ип у нас не было еще ни одной жалобы, связаной с зарезаной в мир самбой. Ибо 99.999...% самба через интернет нафиг не нужна.

joesm

joesm

Posted
Posted

Мы даем бесплатно реальные статические адреса. Никому это не нужно. Из всех 5 только пожелали его. Только теперь ежемесячно туда ходит наша тех. поддержка, доказывая что у него вирусы. Что такое firewall знают 1-5% из всего населения... Именно поэтому и не хочется делать всё на реальных адресах. Придется искать дополнительно 10-20 человек, для хождения и лечения вирусов к клиентам... Печально, но факт :(

Масса клиентов уже сидит за собственными роутерами на серых IP, смысл натить дважды?

 

Когда количество конкурентов по провайдеру на квартиру в многоквартирном доме, любая услуга, даже не используемая на практике но полезная гипотетически может сыграть решающую роль

Я не сказал, что это плохо и не нужно. Я сказал, что на загрузку ядра это не оказывает серьезное влияние.

Дятел

Дятел

Posted
Posted

ядро пакеты что, лопатой свичует? )))

Нерационально гнать трафик от Феди к Васе который живет в соседнем подъезде и к Пете который живет над Васей через весь город.

 

Нерационально думать об этом трафике. Его и в микроскоп-то не увидешь....

secandr

secandr

Posted
Posted

Дятел за пределами Москвы этот трафик до сих пор на порядок больше интернетовского...

Другой вопрос, что локальный трафик может роутить любой L3-коммутатор, который стоит копейки и маршрутизирует на скорости порта...

Дятел

Дятел

Posted
Posted

Больше тарфика какого? локального от централизованных файлопомоек, которые и должны быть включены в ядро, или локального между абонентами? что-то в последнее не очень верится.....

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.