oleg77 Опубликовано 12 апреля, 2012 · Жалоба Понемногу строилась сеть, и в итоге вышло: vlan-to-user + DHCP + unnumbered + PPPoE. В этой связке хочется избавиться от PPPoE, т.к. он тут явно лишний. Авторизацию сделать по IP, т.е. оставшиеся части должны дать хорошую защиту от подделки. Сейчас вход в интернет осуществляется через PPPoE, но так же есть локальная сеть, ip адреса раздает dhcp сервер. Для перехода непонятны следующие вещи. 1. Как давать доступ, чтобы бы не потерять локальную сеть. Особенно не понятно как раздавать реальные IP. С первой частью еще понятно, можно построить сеть на серых адресах, где шлюз по умолчанию будет является сервер-nat. А что делать если реальные IP ? 2. Как считать трафик ? Пока вижу только два варианта iptables и netflow 3. Как шейпить, желательно динамически (в разное время разная ширина) ? Поделитесь, кто это как делает. Если что, сеть состоит из 3550 в качестве агрегаторов и на доступе 2950. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 12 апреля, 2012 · Жалоба Быть может наоборот, полностью уйти на PPPoE? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg77 Опубликовано 12 апреля, 2012 · Жалоба Быть может наоборот, полностью уйти на PPPoE? :) Совсем нет, а почему так решили ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 12 апреля, 2012 (изменено) · Жалоба Не хочу переводить тему в плоскость PPPoE vs IPoE, но придётся-таки отметить, что Ваши вопросы по п.1-3 в принципе решает именно PPPoE. С локалкой тяжелее - но её можно дать и "виртуальную" - через BRAS'ы. Минус - гонять весь локальный трафик до BRAS'ов. Плюс - нет неуправляемого трафика, нет затыков на аплинках между КД/КА/КК в связи с "локалкой" (если появляются затыки - "локалка" для направлений пилится ниже сотни). PPPoE удобен возможностями учёта, управляемостью (в т.ч. в плане шейпера), защитой от "левых" подключений. Всё зависит от топологии, у Вас vlan-per-user, так что PPPoE - самое место. Всё зависит от масштаба. По мне - так IPoE на КД/КА пригоден для максимум пары тысяч абонентов, далее он станет неуправляемым, и начнутся всякие проблемы с арпфлудом, лимитами ARP-таблиц, необходимостью городить маршрутизацию (пусть даже динамическую) и иже с ними. Если хотите построить правильный IPoE - стройте также на BRAS'ах, но разница с PPPoE только в отсутствии необходимости абоненту устанавливать PPPoE-соединение. Изменено 12 апреля, 2012 пользователем Alex/AT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg77 Опубликовано 12 апреля, 2012 · Жалоба Как я и говорил, сейчас доступ идет через PPPoE, поэтому и запросы такие, чтобы не было хуже чем есть. Если хотите построить правильный IPoE - стройте также на BRAS'ах Это как ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pinkbyte Опубликовано 12 апреля, 2012 · Жалоба Как-то так наверное Варианты с BRAS'ами там обыграны Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 12 апреля, 2012 (изменено) · Жалоба Juniper ERX'ы, MX80, Ericcson (RedBack) - умеют IPoE на VLAN-per-user, с авторизацией по MAC/порту (если свитчи отдают Option 82). Изменено 12 апреля, 2012 пользователем Alex/AT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 12 апреля, 2012 · Жалоба Пускать в локалку с белых адресов, роутить до браса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cvb Опубликовано 12 апреля, 2012 · Жалоба vlan-to-user Меняя схему предоставления услуг, не забывайте ещё и про скорое внедрение IPv6. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg77 Опубликовано 12 апреля, 2012 · Жалоба чем vlan-per-user этому мешает ? Я так понял, из ходя из цитирования. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 12 апреля, 2012 · Жалоба доступ в интернет задумывался отцами-основателями на реальных адресах. может, сразу раздавать реальники и не париться с НАТом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cvb Опубликовано 12 апреля, 2012 · Жалоба чем vlan-per-user этому мешает ? Я так понял, из ходя из цитирования. Не мешает, просто лучше сразу рассматривать схему ограничения скорости по-тарифу не только по IPv4, но и по IPv6. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg77 Опубликовано 12 апреля, 2012 · Жалоба доступ в интернет задумывался отцами-основателями на реальных адресах. может, сразу раздавать реальники и не париться с НАТом? Мы даем бесплатно реальные статические адреса. Никому это не нужно. Из всех 5 только пожелали его. Только теперь ежемесячно туда ходит наша тех. поддержка, доказывая что у него вирусы. Что такое firewall знают 1-5% из всего населения... Именно поэтому и не хочется делать всё на реальных адресах. Придется искать дополнительно 10-20 человек, для хождения и лечения вирусов к клиентам... Печально, но факт :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 12 апреля, 2012 · Жалоба И как Билайн/Корбина живут, не представляю...Несколько сотен тысяч абонентов на реальниках.... ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 12 апреля, 2012 · Жалоба И как Билайн/Корбина живут, не представляю...Несколько сотен тысяч абонентов на реальниках.... ;-) Так и живут. Или фильтруют и оправдываются за закрытые порты или не фильтруют и забивают на жалобы что "в вашей сети вирусы". По сабжу если есть локальная сеть разумно L3 подвинуть ближе к абоненту а не гонять нужный локальный трафик с ненужным флудом через ядро Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 12 апреля, 2012 · Жалоба Правильному ядру локальной сети размера даже крупного пионернета глубоко пофигу на локальный трафик. Не делайте из мухи слона. А вот контролировать его как раз проще в одной точке: в точке терминации вланов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 12 апреля, 2012 (изменено) · Жалоба Правильному ядру локальной сети размера даже крупного пионернета глубоко пофигу на локальный трафик. Не делайте из мухи слона. А вот контролировать его как раз проще в одной точке: в точке терминации вланов. Если в сети развитый локальный торрент-трекер/DC ядру вряд ли будут пофиг гигабиты p2p трафика. Какие то изменения в конфигурации ядра необходимо производить регулярно, что в большинстве случае будет приводить к загрузке CPU со всеми вытекающими. Изменено 12 апреля, 2012 пользователем denis_vid Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 12 апреля, 2012 · Жалоба ядро пакеты что, лопатой свичует? ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
joesm Опубликовано 12 апреля, 2012 · Жалоба Когда в большинстве у клиентов скоростные тарифы, "локальный торрент-трекер/DC" для них не имеет особого смысла и его наличием можно пренебречь. Интересно послушать смысл перехода от уже существующего РРРоЕ. Отсутствие локального трафика в ядре это понятно, но насколько это перевешывает усложнение схемы авторизации, ограничения скорости, учета и т.д. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 12 апреля, 2012 · Жалоба ядро пакеты что, лопатой свичует? ))) Нерационально гнать трафик от Феди к Васе который живет в соседнем подъезде и к Пете который живет над Васей через весь город. Когда в большинстве у клиентов скоростные тарифы, "локальный торрент-трекер/DC" для них не имеет особого смысла и его наличием можно пренебречь. Интересно послушать смысл перехода от уже существующего РРРоЕ. Отсутствие локального трафика в ядре это понятно, но насколько это перевешывает усложнение схемы авторизации, ограничения скорости, учета и т.д. Когда количество конкурентов по провайдеру на квартиру в многоквартирном доме, любая услуга, даже не используемая на практике но полезная гипотетически может сыграть решающую роль Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 12 апреля, 2012 · Жалоба Как давать доступ, чтобы бы не потерять локальную сеть. Особенно не понятно как раздавать реальные IP. С первой частью еще понятно, можно построить сеть на серых адресах, где шлюз по умолчанию будет является сервер-nat. А что делать если реальные IP ? Раздельно шейпить локалку/мир не проблема, вариантов множество разных, начиная от игр с правилами шейпера заканчивая выносом шейпера на бордюр или отдельную машину между агрегацией и бордюром. Реальники - либо прямо разхдавать, либо нат 1:1 (на том же lISG к прмиеру реализуется). Как считать трафик ? Пока вижу только два варианта iptables и netflow Если netflow не устраивает - lISG в помощь. Как шейпить, желательно динамически (в разное время разная ширина) ? А в чем проблема - шейпер покрутить в нужное время? Хоть по крону, исходя из переданных заранее аттрибутов, хоть по внешнему событию... lISG к слову CoA умеет. Всё зависит от топологии, у Вас vlan-per-user, так что PPPoE - самое место. Накой? Если бы был влан на дом/влан на район, да еще и с неуправляемым железом - да, туннелям было бы самое место. Потому что нужно было бы как-то авторизировать пользователей. А при влане на юзера городить туннели - ИМХО смысла нет. Только теперь ежемесячно туда ходит наша тех. поддержка, доказывая что у него вирусы. Что такое firewall знают 1-5% из всего населения... Вы тоже не знаете, что такое файрвол? Зарежьте вендоспецифические порты (нетбиос/самба/рпц) на бордюре, и волосы ваших пользователей станут гладкими и шелковистыми ;) К слову, за все время предоставления реальных ип у нас не было еще ни одной жалобы, связаной с зарезаной в мир самбой. Ибо 99.999...% самба через интернет нафиг не нужна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
joesm Опубликовано 12 апреля, 2012 · Жалоба Мы даем бесплатно реальные статические адреса. Никому это не нужно. Из всех 5 только пожелали его. Только теперь ежемесячно туда ходит наша тех. поддержка, доказывая что у него вирусы. Что такое firewall знают 1-5% из всего населения... Именно поэтому и не хочется делать всё на реальных адресах. Придется искать дополнительно 10-20 человек, для хождения и лечения вирусов к клиентам... Печально, но факт :( Масса клиентов уже сидит за собственными роутерами на серых IP, смысл натить дважды? Когда количество конкурентов по провайдеру на квартиру в многоквартирном доме, любая услуга, даже не используемая на практике но полезная гипотетически может сыграть решающую роль Я не сказал, что это плохо и не нужно. Я сказал, что на загрузку ядра это не оказывает серьезное влияние. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 12 апреля, 2012 · Жалоба ядро пакеты что, лопатой свичует? ))) Нерационально гнать трафик от Феди к Васе который живет в соседнем подъезде и к Пете который живет над Васей через весь город. Нерационально думать об этом трафике. Его и в микроскоп-то не увидешь.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
secandr Опубликовано 12 апреля, 2012 · Жалоба Дятел за пределами Москвы этот трафик до сих пор на порядок больше интернетовского... Другой вопрос, что локальный трафик может роутить любой L3-коммутатор, который стоит копейки и маршрутизирует на скорости порта... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 12 апреля, 2012 · Жалоба Больше тарфика какого? локального от централизованных файлопомоек, которые и должны быть включены в ядро, или локального между абонентами? что-то в последнее не очень верится..... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...