Jump to content
Калькуляторы

отказ от PPPOE

Понемногу строилась сеть, и в итоге вышло: vlan-to-user + DHCP + unnumbered + PPPoE. В этой связке хочется избавиться от PPPoE, т.к. он тут явно лишний. Авторизацию сделать по IP, т.е. оставшиеся части должны дать хорошую защиту от подделки. Сейчас вход в интернет осуществляется через PPPoE, но так же есть локальная сеть, ip адреса раздает dhcp сервер.

 

Для перехода непонятны следующие вещи.

1. Как давать доступ, чтобы бы не потерять локальную сеть. Особенно не понятно как раздавать реальные IP. С первой частью еще понятно, можно построить сеть на серых адресах, где шлюз по умолчанию будет является сервер-nat. А что делать если реальные IP ?

 

2. Как считать трафик ? Пока вижу только два варианта iptables и netflow

 

3. Как шейпить, желательно динамически (в разное время разная ширина) ?

 

 

Поделитесь, кто это как делает. Если что, сеть состоит из 3550 в качестве агрегаторов и на доступе 2950.

Share this post


Link to post
Share on other sites

Быть может наоборот, полностью уйти на PPPoE? :)

Share this post


Link to post
Share on other sites
Быть может наоборот, полностью уйти на PPPoE? :)
Совсем нет, а почему так решили ?

Share this post


Link to post
Share on other sites

Не хочу переводить тему в плоскость PPPoE vs IPoE, но придётся-таки отметить, что Ваши вопросы по п.1-3 в принципе решает именно PPPoE. С локалкой тяжелее - но её можно дать и "виртуальную" - через BRAS'ы. Минус - гонять весь локальный трафик до BRAS'ов. Плюс - нет неуправляемого трафика, нет затыков на аплинках между КД/КА/КК в связи с "локалкой" (если появляются затыки - "локалка" для направлений пилится ниже сотни).

 

PPPoE удобен возможностями учёта, управляемостью (в т.ч. в плане шейпера), защитой от "левых" подключений. Всё зависит от топологии, у Вас vlan-per-user, так что PPPoE - самое место.

 

Всё зависит от масштаба. По мне - так IPoE на КД/КА пригоден для максимум пары тысяч абонентов, далее он станет неуправляемым, и начнутся всякие проблемы с арпфлудом, лимитами ARP-таблиц, необходимостью городить маршрутизацию (пусть даже динамическую) и иже с ними. Если хотите построить правильный IPoE - стройте также на BRAS'ах, но разница с PPPoE только в отсутствии необходимости абоненту устанавливать PPPoE-соединение.

Edited by Alex/AT

Share this post


Link to post
Share on other sites

Как я и говорил, сейчас доступ идет через PPPoE, поэтому и запросы такие, чтобы не было хуже чем есть.

 

Если хотите построить правильный IPoE - стройте также на BRAS'ах
Это как ?

Share this post


Link to post
Share on other sites

Juniper ERX'ы, MX80, Ericcson (RedBack) - умеют IPoE на VLAN-per-user, с авторизацией по MAC/порту (если свитчи отдают Option 82).

Edited by Alex/AT

Share this post


Link to post
Share on other sites

Пускать в локалку с белых адресов, роутить до браса.

Share this post


Link to post
Share on other sites

чем vlan-per-user этому мешает ? Я так понял, из ходя из цитирования.

Share this post


Link to post
Share on other sites

доступ в интернет задумывался отцами-основателями на реальных адресах.

может, сразу раздавать реальники и не париться с НАТом?

Share this post


Link to post
Share on other sites

чем vlan-per-user этому мешает ? Я так понял, из ходя из цитирования.

 

Не мешает, просто лучше сразу рассматривать схему ограничения скорости по-тарифу не только по IPv4, но и по IPv6.

Share this post


Link to post
Share on other sites

доступ в интернет задумывался отцами-основателями на реальных адресах.

может, сразу раздавать реальники и не париться с НАТом?

Мы даем бесплатно реальные статические адреса. Никому это не нужно. Из всех 5 только пожелали его. Только теперь ежемесячно туда ходит наша тех. поддержка, доказывая что у него вирусы. Что такое firewall знают 1-5% из всего населения... Именно поэтому и не хочется делать всё на реальных адресах. Придется искать дополнительно 10-20 человек, для хождения и лечения вирусов к клиентам... Печально, но факт :(

Share this post


Link to post
Share on other sites

И как Билайн/Корбина живут, не представляю...Несколько сотен тысяч абонентов на реальниках....

 

;-)

Share this post


Link to post
Share on other sites

И как Билайн/Корбина живут, не представляю...Несколько сотен тысяч абонентов на реальниках....

 

;-)

Так и живут. Или фильтруют и оправдываются за закрытые порты или не фильтруют и забивают на жалобы что "в вашей сети вирусы".

По сабжу если есть локальная сеть разумно L3 подвинуть ближе к абоненту а не гонять нужный локальный трафик с ненужным флудом через ядро

Share this post


Link to post
Share on other sites

Правильному ядру локальной сети размера даже крупного пионернета глубоко пофигу на локальный трафик. Не делайте из мухи слона.

 

А вот контролировать его как раз проще в одной точке: в точке терминации вланов.

Share this post


Link to post
Share on other sites

Правильному ядру локальной сети размера даже крупного пионернета глубоко пофигу на локальный трафик. Не делайте из мухи слона.

 

А вот контролировать его как раз проще в одной точке: в точке терминации вланов.

Если в сети развитый локальный торрент-трекер/DC ядру вряд ли будут пофиг гигабиты p2p трафика.

Какие то изменения в конфигурации ядра необходимо производить регулярно, что в большинстве случае будет приводить к загрузке CPU со всеми вытекающими.

Edited by denis_vid

Share this post


Link to post
Share on other sites

ядро пакеты что, лопатой свичует? )))

Share this post


Link to post
Share on other sites

Когда в большинстве у клиентов скоростные тарифы, "локальный торрент-трекер/DC" для них не имеет особого смысла и его наличием можно пренебречь.

 

Интересно послушать смысл перехода от уже существующего РРРоЕ. Отсутствие локального трафика в ядре это понятно, но насколько это перевешывает усложнение схемы авторизации, ограничения скорости, учета и т.д.

Share this post


Link to post
Share on other sites

ядро пакеты что, лопатой свичует? )))

Нерационально гнать трафик от Феди к Васе который живет в соседнем подъезде и к Пете который живет над Васей через весь город.

 

Когда в большинстве у клиентов скоростные тарифы, "локальный торрент-трекер/DC" для них не имеет особого смысла и его наличием можно пренебречь.

 

Интересно послушать смысл перехода от уже существующего РРРоЕ. Отсутствие локального трафика в ядре это понятно, но насколько это перевешывает усложнение схемы авторизации, ограничения скорости, учета и т.д.

Когда количество конкурентов по провайдеру на квартиру в многоквартирном доме, любая услуга, даже не используемая на практике но полезная гипотетически может сыграть решающую роль

Share this post


Link to post
Share on other sites

Как давать доступ, чтобы бы не потерять локальную сеть. Особенно не понятно как раздавать реальные IP. С первой частью еще понятно, можно построить сеть на серых адресах, где шлюз по умолчанию будет является сервер-nat. А что делать если реальные IP ?

Раздельно шейпить локалку/мир не проблема, вариантов множество разных, начиная от игр с правилами шейпера заканчивая выносом шейпера на бордюр или отдельную машину между агрегацией и бордюром.

Реальники - либо прямо разхдавать, либо нат 1:1 (на том же lISG к прмиеру реализуется).

 

Как считать трафик ? Пока вижу только два варианта iptables и netflow

Если netflow не устраивает - lISG в помощь.

 

Как шейпить, желательно динамически (в разное время разная ширина) ?

А в чем проблема - шейпер покрутить в нужное время? Хоть по крону, исходя из переданных заранее аттрибутов, хоть по внешнему событию...

lISG к слову CoA умеет.

 

Всё зависит от топологии, у Вас vlan-per-user, так что PPPoE - самое место.

Накой?

Если бы был влан на дом/влан на район, да еще и с неуправляемым железом - да, туннелям было бы самое место. Потому что нужно было бы как-то авторизировать пользователей. А при влане на юзера городить туннели - ИМХО смысла нет.

 

Только теперь ежемесячно туда ходит наша тех. поддержка, доказывая что у него вирусы. Что такое firewall знают 1-5% из всего населения...

Вы тоже не знаете, что такое файрвол?

Зарежьте вендоспецифические порты (нетбиос/самба/рпц) на бордюре, и волосы ваших пользователей станут гладкими и шелковистыми ;)

К слову, за все время предоставления реальных ип у нас не было еще ни одной жалобы, связаной с зарезаной в мир самбой. Ибо 99.999...% самба через интернет нафиг не нужна.

Share this post


Link to post
Share on other sites

Мы даем бесплатно реальные статические адреса. Никому это не нужно. Из всех 5 только пожелали его. Только теперь ежемесячно туда ходит наша тех. поддержка, доказывая что у него вирусы. Что такое firewall знают 1-5% из всего населения... Именно поэтому и не хочется делать всё на реальных адресах. Придется искать дополнительно 10-20 человек, для хождения и лечения вирусов к клиентам... Печально, но факт :(

Масса клиентов уже сидит за собственными роутерами на серых IP, смысл натить дважды?

 

Когда количество конкурентов по провайдеру на квартиру в многоквартирном доме, любая услуга, даже не используемая на практике но полезная гипотетически может сыграть решающую роль

Я не сказал, что это плохо и не нужно. Я сказал, что на загрузку ядра это не оказывает серьезное влияние.

Share this post


Link to post
Share on other sites

ядро пакеты что, лопатой свичует? )))

Нерационально гнать трафик от Феди к Васе который живет в соседнем подъезде и к Пете который живет над Васей через весь город.

 

Нерационально думать об этом трафике. Его и в микроскоп-то не увидешь....

Share this post


Link to post
Share on other sites

Дятел за пределами Москвы этот трафик до сих пор на порядок больше интернетовского...

Другой вопрос, что локальный трафик может роутить любой L3-коммутатор, который стоит копейки и маршрутизирует на скорости порта...

Share this post


Link to post
Share on other sites

Больше тарфика какого? локального от централизованных файлопомоек, которые и должны быть включены в ядро, или локального между абонентами? что-то в последнее не очень верится.....

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this