[mailex]

Опытнейшие коллеги, у кого есть опыт организации VOIP-трафика от сервера до SIP-шлюзов с помощью/без помощи VLAN?

 

Интересуют подводные камни, достоинства и недостатки того или иного подхода. Вероятно, что тема может быть интересна многим.

 

К примеру, можно ли считать схему построения на VLAN более защищенной от атак?

 

Заранее благодарю!

[Andrei]

Вроде для VLAN-ов на приличном оборудовании можно навесить QoS - это главное преимущество.

А на счет безопасности... Может вы VLAN с VPN-ом спутали?

[StSphinx]

Гоняем VoIP в отдельном VLAN на уровне доступа и отдельном MPLS VPN на уровне ядра сети.

Можно конечно и все в одной куче, но так как-то аккуратнее, это что касается организации, ну и с QoS'ом проще и проще обеспечивать безопасность.

[SergeiK]

+1. Если оборудование позволяет, не вижу причин объединять в один сегмент то, что по своей сути совершенно различно.

"Разделяй и властвуй!" :).

Проще и с QoS, и меньше потенциальных проблем с пересечением адресов, можно отдать на откуп разным людям (телефонисты свои адреса используют, как им удобно, остальные - свои), разделение ответственностей понятнее, ну и прочие плюсы четкого логического разделения налицо. Минусов не вижу, если сравнивать со схемой все в одной куче.

[mailex]

Спасибо за ответы.

 

А как насчет того, чтобы потом снимать тегированный траффик? К примеру, до абонента идет VoIP траффик по VLAN, у него стоит маршрутизатор, который не поддерживает VLAN, а за ним VoIP-шлюз? В таком случае возникает проблема, или она в большей степени надумана?

Кто-то сталкивался с такими проблемами?

[SergeiK]

Дык, SIP шлюзы не ваши, или не на вашей сети?

Если оборудование не позволяет - или изобретать велосипеды, или оставить все в одной куче. Что лучше - всегда тонкий баланс.

[leveler]

Подключайте абонентов одним из двух возможных (в зависимости от ситуации, узла и заказчика) вариантов:

1. VLAN на услугу в одном проводе;

2. на каждую услугу свой провод.

У первого стоимость (инсталляции и/или абонентка) должна быть дороже по идее. А там уж пусть клиент решает, как ему принимать. Если сильно не интересен второй способ организации, то ставьте ценник много выше, чтобы клиенту было проще купить железку. )

[OlegStr]

>> Минусов не вижу, если сравнивать со схемой все в одной куче.

 

Нужны клиентские шлюзы VoIP \ телефоны с поддержкой VLAN , особенно, если порты Ethernet еще в этих устройствах. Это чуть дороже и не у всех производителей клиентских шлюзов VoIP поддерживается. Поэтому, действительно, лучше отдельный VLAN для VoIP трафика, но иогда будет "2. на каждую услугу свой провод."

[Morze]

Это чуть дороже и не у всех производителей клиентских шлюзов VoIP поддерживается.

Да нифига это не дороже и давно уже стало байдефаулт в устройствах.

 

но иогда будет "2. на каждую услугу свой провод."

Да банальным дир100 с нужной прошивкой можно тэг снять, ненада 2 провода.

[OlegStr]

>> нифига это не дороже и давно уже стало байдефаулт в устройствах.

 

хорошо ,если так, 1-2 года назад было все хуже :) :)

[Shiva]

Я, почему-то думал, что сначала выбирают вендора шлюза и покупают только его, тогда сон спокоен, постель суха... Если вы хотите городить огород, то готовьтесь к бессонным ночам в мокрой кровати...

[Negator]

На данный момент мы решили отдавать все в одном влане.

Почему?

1.На доступе нормальное железо, есть сегментация. Проблем с сетью нет. Влана на абонента пока нет, но если кто то нагадит в сеть - это заденет только его самого..

2. Железок у абонентов может быть вагон и тележка. Заставлять всех покупать одну нужную железку не получается. В большинстве случаев это будет что то типа IP телефона за домашним роутером.

3. Мы продаем Zyxel Keenetic, который умеет отдельный влан под ТВ. В нашей рекомендуемой схеме все всегда заработает как надо. Все остальные - сами себе злобные буратины которые испоганили свой канал настолько -что телефония не работает(а это реально непросто сделать).

4.Юрлицам предлагаем индивидуальные условия. Есть как дешевые варианты - все в одном, так и варианты с отдельным вланом.

[Shiva]

А как вы будете объяснять абоненту, что односторонняя слышимость и пердёж в трубке?

[leveler]

Объяснять будут просто: "ССЗБ". )))

[Morze]

2. Железок у абонентов может быть вагон и тележка. Заставлять всех покупать одну нужную железку не получается.

Ну так предложите нескольно, но протестированных на совместимость с вашим оборудованием.

 

Объяснять будут просто: "ССЗБ". )))

Вот после этой фразы:

В большинстве случаев это будет что то типа IP телефона за домашним роутером.

в роли "ССЗБ" таки выступает оператор .)

[leveler]

Это какбэ да. Но поймёт это оператор не сразу. А может и вообще не поймёт никогда. )