[oleg77]

Понемногу строилась сеть, и в итоге вышло: vlan-to-user + DHCP + unnumbered + PPPoE. В этой связке хочется избавиться от PPPoE, т.к. он тут явно лишний. Авторизацию сделать по IP, т.е. оставшиеся части должны дать хорошую защиту от подделки. Сейчас вход в интернет осуществляется через PPPoE, но так же есть локальная сеть, ip адреса раздает dhcp сервер.

 

Для перехода непонятны следующие вещи.

1. Как давать доступ, чтобы бы не потерять локальную сеть. Особенно не понятно как раздавать реальные IP. С первой частью еще понятно, можно построить сеть на серых адресах, где шлюз по умолчанию будет является сервер-nat. А что делать если реальные IP ?

 

2. Как считать трафик ? Пока вижу только два варианта iptables и netflow

 

3. Как шейпить, желательно динамически (в разное время разная ширина) ?

 

 

Поделитесь, кто это как делает. Если что, сеть состоит из 3550 в качестве агрегаторов и на доступе 2950.

[Alex/AT]

Быть может наоборот, полностью уйти на PPPoE? :)

[oleg77]

Быть может наоборот, полностью уйти на PPPoE? :)

Совсем нет, а почему так решили ?

[Alex/AT]

Не хочу переводить тему в плоскость PPPoE vs IPoE, но придётся-таки отметить, что Ваши вопросы по п.1-3 в принципе решает именно PPPoE. С локалкой тяжелее - но её можно дать и "виртуальную" - через BRAS'ы. Минус - гонять весь локальный трафик до BRAS'ов. Плюс - нет неуправляемого трафика, нет затыков на аплинках между КД/КА/КК в связи с "локалкой" (если появляются затыки - "локалка" для направлений пилится ниже сотни).

 

PPPoE удобен возможностями учёта, управляемостью (в т.ч. в плане шейпера), защитой от "левых" подключений. Всё зависит от топологии, у Вас vlan-per-user, так что PPPoE - самое место.

 

Всё зависит от масштаба. По мне - так IPoE на КД/КА пригоден для максимум пары тысяч абонентов, далее он станет неуправляемым, и начнутся всякие проблемы с арпфлудом, лимитами ARP-таблиц, необходимостью городить маршрутизацию (пусть даже динамическую) и иже с ними. Если хотите построить правильный IPoE - стройте также на BRAS'ах, но разница с PPPoE только в отсутствии необходимости абоненту устанавливать PPPoE-соединение.

Изменено 12 апреля, 2012 пользователем Alex/AT

[oleg77]

Как я и говорил, сейчас доступ идет через PPPoE, поэтому и запросы такие, чтобы не было хуже чем есть.

 

Если хотите построить правильный IPoE - стройте также на BRAS'ах

Это как ?

[Pinkbyte]

Как-то так наверное

Варианты с BRAS'ами там обыграны

[Alex/AT]

Juniper ERX'ы, MX80, Ericcson (RedBack) - умеют IPoE на VLAN-per-user, с авторизацией по MAC/порту (если свитчи отдают Option 82).

Изменено 12 апреля, 2012 пользователем Alex/AT

[Ivan_83]

Пускать в локалку с белых адресов, роутить до браса.

[cvb]

vlan-to-user

 

Меняя схему предоставления услуг, не забывайте ещё и про скорое внедрение IPv6.

[oleg77]

чем vlan-per-user этому мешает ? Я так понял, из ходя из цитирования.

[Дятел]

доступ в интернет задумывался отцами-основателями на реальных адресах.

может, сразу раздавать реальники и не париться с НАТом?

[cvb]

чем vlan-per-user этому мешает ? Я так понял, из ходя из цитирования.

 

Не мешает, просто лучше сразу рассматривать схему ограничения скорости по-тарифу не только по IPv4, но и по IPv6.

[oleg77]

доступ в интернет задумывался отцами-основателями на реальных адресах.

может, сразу раздавать реальники и не париться с НАТом?

Мы даем бесплатно реальные статические адреса. Никому это не нужно. Из всех 5 только пожелали его. Только теперь ежемесячно туда ходит наша тех. поддержка, доказывая что у него вирусы. Что такое firewall знают 1-5% из всего населения... Именно поэтому и не хочется делать всё на реальных адресах. Придется искать дополнительно 10-20 человек, для хождения и лечения вирусов к клиентам... Печально, но факт :(

[Дятел]

И как Билайн/Корбина живут, не представляю...Несколько сотен тысяч абонентов на реальниках....

 

;-)

[denis_vid]

И как Билайн/Корбина живут, не представляю...Несколько сотен тысяч абонентов на реальниках....

 

;-)

Так и живут. Или фильтруют и оправдываются за закрытые порты или не фильтруют и забивают на жалобы что "в вашей сети вирусы".

По сабжу если есть локальная сеть разумно L3 подвинуть ближе к абоненту а не гонять нужный локальный трафик с ненужным флудом через ядро

[Дятел]

Правильному ядру локальной сети размера даже крупного пионернета глубоко пофигу на локальный трафик. Не делайте из мухи слона.

 

А вот контролировать его как раз проще в одной точке: в точке терминации вланов.

[denis_vid]

Правильному ядру локальной сети размера даже крупного пионернета глубоко пофигу на локальный трафик. Не делайте из мухи слона.

 

А вот контролировать его как раз проще в одной точке: в точке терминации вланов.

Если в сети развитый локальный торрент-трекер/DC ядру вряд ли будут пофиг гигабиты p2p трафика.

Какие то изменения в конфигурации ядра необходимо производить регулярно, что в большинстве случае будет приводить к загрузке CPU со всеми вытекающими.

Изменено 12 апреля, 2012 пользователем denis_vid

[Дятел]

ядро пакеты что, лопатой свичует? )))

[joesm]

Когда в большинстве у клиентов скоростные тарифы, "локальный торрент-трекер/DC" для них не имеет особого смысла и его наличием можно пренебречь.

 

Интересно послушать смысл перехода от уже существующего РРРоЕ. Отсутствие локального трафика в ядре это понятно, но насколько это перевешывает усложнение схемы авторизации, ограничения скорости, учета и т.д.

[denis_vid]

ядро пакеты что, лопатой свичует? )))

Нерационально гнать трафик от Феди к Васе который живет в соседнем подъезде и к Пете который живет над Васей через весь город.

 

Когда в большинстве у клиентов скоростные тарифы, "локальный торрент-трекер/DC" для них не имеет особого смысла и его наличием можно пренебречь.

 

Интересно послушать смысл перехода от уже существующего РРРоЕ. Отсутствие локального трафика в ядре это понятно, но насколько это перевешывает усложнение схемы авторизации, ограничения скорости, учета и т.д.

Когда количество конкурентов по провайдеру на квартиру в многоквартирном доме, любая услуга, даже не используемая на практике но полезная гипотетически может сыграть решающую роль

[NiTr0]

Как давать доступ, чтобы бы не потерять локальную сеть. Особенно не понятно как раздавать реальные IP. С первой частью еще понятно, можно построить сеть на серых адресах, где шлюз по умолчанию будет является сервер-nat. А что делать если реальные IP ?

Раздельно шейпить локалку/мир не проблема, вариантов множество разных, начиная от игр с правилами шейпера заканчивая выносом шейпера на бордюр или отдельную машину между агрегацией и бордюром.

Реальники - либо прямо разхдавать, либо нат 1:1 (на том же lISG к прмиеру реализуется).

 

Как считать трафик ? Пока вижу только два варианта iptables и netflow

Если netflow не устраивает - lISG в помощь.

 

Как шейпить, желательно динамически (в разное время разная ширина) ?

А в чем проблема - шейпер покрутить в нужное время? Хоть по крону, исходя из переданных заранее аттрибутов, хоть по внешнему событию...

lISG к слову CoA умеет.

 

Всё зависит от топологии, у Вас vlan-per-user, так что PPPoE - самое место.

Накой?

Если бы был влан на дом/влан на район, да еще и с неуправляемым железом - да, туннелям было бы самое место. Потому что нужно было бы как-то авторизировать пользователей. А при влане на юзера городить туннели - ИМХО смысла нет.

 

Только теперь ежемесячно туда ходит наша тех. поддержка, доказывая что у него вирусы. Что такое firewall знают 1-5% из всего населения...

Вы тоже не знаете, что такое файрвол?

Зарежьте вендоспецифические порты (нетбиос/самба/рпц) на бордюре, и волосы ваших пользователей станут гладкими и шелковистыми ;)

К слову, за все время предоставления реальных ип у нас не было еще ни одной жалобы, связаной с зарезаной в мир самбой. Ибо 99.999...% самба через интернет нафиг не нужна.

[joesm]

Мы даем бесплатно реальные статические адреса. Никому это не нужно. Из всех 5 только пожелали его. Только теперь ежемесячно туда ходит наша тех. поддержка, доказывая что у него вирусы. Что такое firewall знают 1-5% из всего населения... Именно поэтому и не хочется делать всё на реальных адресах. Придется искать дополнительно 10-20 человек, для хождения и лечения вирусов к клиентам... Печально, но факт :(

Масса клиентов уже сидит за собственными роутерами на серых IP, смысл натить дважды?

 

Когда количество конкурентов по провайдеру на квартиру в многоквартирном доме, любая услуга, даже не используемая на практике но полезная гипотетически может сыграть решающую роль

Я не сказал, что это плохо и не нужно. Я сказал, что на загрузку ядра это не оказывает серьезное влияние.

[Дятел]

ядро пакеты что, лопатой свичует? )))

Нерационально гнать трафик от Феди к Васе который живет в соседнем подъезде и к Пете который живет над Васей через весь город.

 

Нерационально думать об этом трафике. Его и в микроскоп-то не увидешь....

[secandr]

Дятел за пределами Москвы этот трафик до сих пор на порядок больше интернетовского...

Другой вопрос, что локальный трафик может роутить любой L3-коммутатор, который стоит копейки и маршрутизирует на скорости порта...

[Дятел]

Больше тарфика какого? локального от централизованных файлопомоек, которые и должны быть включены в ядро, или локального между абонентами? что-то в последнее не очень верится.....