Перейти к содержимому
Калькуляторы

Перевод из пионеров в комсомол :) 17 тыс домохозяйств, отказ от тазиков, PPTP и прочего некошерства

config traffic_segmentation 1-24 forward_list 25

Это D-Link?

Был случай, что пролезал броадкаст, но при каких-то условиях, воспроизвести не удалось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

config traffic_segmentation 1-24 forward_list 25

На 95% делает то же самое, не?

Дополнительно срезаем с абонента невалидные ARP по бинарной маске (если у него пул IP). Получаем примерно так 99%. Остается единственный способ "нагадить" - поставить себе MAC шлюза. Если совсем параноя - можно прописать его статиком на аплинке и получаем на 99.9% полную изоляцию в схеме влан-на-коммутатор.

 

Дык вот все это не надо, acl по маскам, сегментацию, статики. Просто ничего не надо, абонент в своем влане и печалить может только себя.

Не, я ж не спорю, реализовать можно различные схемы. У меня раньше, на заре интернетиков в нашем регионе, на доступе были DES3526. Вот на них я фильтры красивые на абонента рисовал, чтобы и арп и тцп и все на свете только валидное проходило. Потом 3526 кончились и стали появляться другие модели, с другим немного функционалом. Под все подстраиваться в итоге заколебало очень быстро. Влан на юзера не требует от свитча доступа быть в тренде последней моды и уметь все виды гвардов. Наоборот, даже китайский DCS 3950-26 за сущщие копейки, нашел себе место в сети. А все остальное это только полумеры.

В одном операторе, в котором мне посчастливилось работать, переводил сеть с одного большого влана на c-vlan MX. Вот когда влан переход был закончен, в мониторинге отметили буквально через два месяца спад звонков, практически в два раза! Если вы не видите плюсов, это не значит что их нет, просто в монастыре пора что-то менять :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если вы не видите плюсов, это не значит что их нет, просто в монастыре пора что-то менять

И у C-VLAN, и у S-VLAN есть свои плюсы и минусы.

В каких-то условиях и в каких-то масштабах выгоднее одна схема, в других случаях выгоднее другая.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

IPoE over L3, не архаичная, а удобная "фигня" имеющая право на жизнь.) или такое мнение потому что на МХ оно не работает никогда?))) вланы терминируются пусть на 65ом, а авторизация по dhcp-пакетам на брасе или это и есть волшебство?) потестил non-dhcp clips, на юриков повешу.

Вы какую-то хрень молотите, честно. Я не знаю зачем делать так, если у вас уже есть брас. На MX non-dhcp нету. Оно и нахер не надо, оно для людей которые не понимают что такое брас и где в схеме он должен стоять.

у-у-у, как все запущено... вы видимо не знаете как работает IPoE over L3? терминация виланов и терминация абонентов это разные вещи и их можно делать на разных устройствах. В некоторых случаях даже нужно в силу факторов. оба метода (L2 и L3) обладают своими плюсами и минусами и имеют право на использование в зависимости от ТЗ (имхо чем мельче сеть тем больше "ЗА" в пользу L2).

Если вы что-то не пробовали или не умеете готовить, не стоит отрицать его существование. У вас МХ, вам ваша религия создала табу, что по другому нельзя. Так вот, это не так - можно. Моя "религия" умеет dhcp clips over L3, видимо поэтому не запрещает так делать.

 

non-dhcp clips вообще было сказано так, к слову, поделился достижением. не надо хамить. non-dhcp самое оно для юр.лиц или вы им тоже по dhcp адреса раздаете? или просто влан выделяете руками и абонентку стригёте? мне удобней через биллинг-брас, что бы все само автоматически работало (естественно юрик в своем вилане)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у-у-у, как все запущено... вы видимо не знаете как работает IPoE over L3? терминация виланов и терминация абонентов это разные вещи и их можно делать на разных устройствах.

 

Да мне кажется вы слабо понимаете, что 65ая не сможет стерминировать даже 4к SVI. Но упорно доказываете что умнее всех оттерминировав на ней 50 вланов, и послав трафик на БРАС. Я же говорю - такой подход не нужен, он смысла никакого не несет. Это лишь признак того что вы или не умеете терминировать вланы на брасе, или не знаете что это вообще возможно. Или у вас "БРАС" который не умеет ничего. А еще 65ая не может терминировать q-in-q нормально. Только не говорите что у вас сеть плоская и двойных тэгов нигде нет? :)

 

non-dhcp clips вообще было сказано так, к слову, поделился достижением. не надо хамить. non-dhcp самое оно для юр.лиц или вы им тоже по dhcp адреса раздаете? или просто влан выделяете руками и абонентку стригёте? мне удобней через биллинг-брас, что бы все само автоматически работало (естественно юрик в своем вилане)

 

Кто хамит? Я детей не обижаю :)

Юрикам там отдельный подход, они терминируются вообще в большинстве своем на другой железке. Им все услуги ставятся руками, потому что индивидуальный подход, нету фиксированных тарифов и услуг. Да, собираем денежку.

 

Ну и я все еще жду ответа, что же в MX там в софте тестить? Он уже год в продакшене - проблем с сабскрайберами не встречено. Были непонятки софта никак не касающиеся сабскрайберов, да и те уже вылечены сто лет как.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как бы traffic_segmentation не был хорош, все-таки ему далеко до vlan-per-user. По той причине, что он не избавляется от большого бродкаст домена и изолирует только трафик вверх. А вот бродкаст вниз не изолирутся, поэтому шторм зачастую может накрыть бродкастом большой участок сети. Различные фильтры и красивые примочки на доступе являются хорошими помощниками в относительно не больших сетях без зоопарков. Но когда сеть развивается несколько лет и по планам будет развиваться еще несколько лет, то без зоопарка (ну или домашнего живого уголка) не обойтись, а тогда возникнет явная проблема когда один коммутатор может одно, а другой коммутатор может другое, так теряется единый подход к настройке сети - в больших масштабах это критично. 17К клиентов это сеть уже близкая к средней и стоит задумываться о том, что она может стать большой. Насколько я понимаю поэтому и возникла тема.

 

Кстати, Juniper MX умеет non-DHCP, правда не так красиво как это можно сделать на ALU 7750-SR (он мне вообще очень нравится) или хуавее, но для юриков (а как правило этого хотят юрики) реализуется вполне рабочая схема с авторизацией, созданием сессии и управлением через CoA.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да мне кажется вы слабо понимаете, что 65ая не сможет стерминировать даже 4к SVI. Но упорно доказываете что умнее всех оттерминировав на ней 50 вланов, и послав трафик на БРАС. Я же говорю - такой подход не нужен, он смысла никакого не несет. Это лишь признак того что вы или не умеете терминировать вланы на брасе, или не знаете что это вообще возможно. Или у вас "БРАС" который не умеет ничего. А еще 65ая не может терминировать q-in-q нормально. Только не говорите что у вас сеть плоская и двойных тэгов нигде нет? :)

а с чего вы взяли что на 65ом? выше, русским по белому написано, районы на 460-х (это эктримы), в центре 670 тоже с этим на ура справится. Это лишь признак того что вы не слушаете собеседников, свое мнение важнее.

qnq есть, у меня нет религиозных предубеждений, выбираю инструмент под задачи, а не задачи пилить под инструмент.

 

Кто хамит? Я детей не обижаю :)

Юрикам там отдельный подход, они терминируются вообще в большинстве своем на другой железке. Им все услуги ставятся руками, потому что индивидуальный подход, нету фиксированных тарифов и услуг. Да, собираем денежку.

а у меня к юрикам отдельный подход на той же железке и из биллинга будет. мне это больше нравится как минимум в плане экономической и организационной эффективности.

 

Ну и я все еще жду ответа, что же в MX там в софте тестить? Он уже год в продакшене - проблем с сабскрайберами не встречено. Были непонятки софта никак не касающиеся сабскрайберов, да и те уже вылечены сто лет как.

видимо опять только пару слов из текста увидели, в массы он в прошлом году пошел, вот пусть все баги и глюки в продакшене на вас и еще на ком-то тестят. а ограничение в 16к абонов на мх80... и зачем мне тогда эта коробка на 40г вход/выход? "очень разумно"... как ранее и писал, если все хорошо будет, посмотрим потестим... может быть. се пока всем устраивает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а с чего вы взяли что на 65ом? выше, русским по белому написано, районы на 460-х (это эктримы), в центре 670 тоже с этим на ура справится. Это лишь признак того что вы не слушаете собеседников, свое мнение важнее.

 

 

Объясните преимущества вашей модели. Кроме того что вам нужно в Х раз больше Л3 железок чем мне. В чем еще прелести?

 

а у меня к юрикам отдельный подход на той же железке и из биллинга будет. мне это больше нравится как минимум в плане экономической и организационной эффективности.

 

 

А смысла? Кому-то надо партиал меш, кому-то фулвью. Кому-то надо раздельный шейпинг услуг, кому-то трубу. Я бы устал в биллинге 100 тарифов и 50 услуг изобретать. Такое проще руками сделать. Я конечно не имею ввиду юриков по 1000р платащих - те априори "физики".

 

видимо опять только пару слов из текста увидели, в массы он в прошлом году пошел, вот пусть все баги и глюки в продакшене на вас и еще на ком-то тестят. а ограничение в 16к абонов на мх80... и зачем мне тогда эта коробка на 40г вход/выход? "очень разумно"... как ранее и писал, если все хорошо будет, посмотрим потестим... может быть. се пока всем устраивает.

 

 

Он год уже в работе стоит, а не год назад пошел в серию. Еще раз, никаких глюков с сабскрайберами я не встретил. Ограничение в нем на 16к абонов это нормально, там цпу от калькулятора. Да я и на больше чем 8к тоже не стал бы рассчитывать. Надо брать MX240 же, чо как дети, RE чтобы с коре-квад :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

про нат вобщем согласен, но тот же дуалстек как без него?

в идеале отдаешь белый ipv4 и белый(белые) ipv6 юзеру - и никаких NAT, тунелей, брокеров и прочих компромиссов.

где взять ipv4 с учетом роста базы абонентов не за конский ценник? кому не хватило ipv4, как будут на ipv4-сайты ходить?

свичи поддерживают ipv6? mld snooping и тп? цпешки и приставки у абонов поддерживают ipv6?

я чет думаю лучше дуалстек, что-то не готов все это в раз перелопатить.

 

На SE600 тоже дофига issues от релиза к релизу.

Есть ли нерешенные критические issues?

жалко нет публичного инфы, у меня работает, ничего критического.

ALu тож навеивают потестить, вроде не плох, когда допилят работу ната на иса карте вообще неплох будет (давно обещают).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

схемы влан-на-дом/влан-юзер обе хороши и имеют место быть, и если у кого то с схемой влан на дом все плохо то это его собственные проблемы с кривым дизайном, у нас так ipoe option 82 на DHCP cisco CNR + ISG работает 7 лет и не жалуемся,единственно что сейчас отказываемся от isg и браса как такового,не нужен он в текущих реалиях ))

по схеме влан-пер-юзер да, самый большой плюс в том что можно как-то позволить себе зоопарк с железом но тащить через сеть пачки вланов в q-in-q потом приземлять + локальный обмен трафиком и потом все обратно????? нахер такой дизайн, тьфу тьфу. Еще момент, клиентов у кторых комп торчит голой жопой в инет единицы, почти у всех дома вафля, значит там NAT а значит и мне и клиенту наплевать на броадкаст в сетке /25 /24 ... мало его там, проблема решена за счет клиента ))

 

Топикстартеру - не берите билинг у инлайна, за модуль isg отвалите совершенно невменяемую сумму + вас нагрузят лицензией на кол-во сабскрайберов + все телодвижения в билинге делаются путем прямой правки базы, вот такая вот схема там, так что очень не рекомендую.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, Juniper MX умеет non-DHCP, правда не так красиво как это можно сделать на ALU 7750-SR (он мне вообще очень нравится) или хуавее, но для юриков (а как правило этого хотят юрики) реализуется вполне рабочая схема с авторизацией, созданием сессии и управлением через CoA.

 

 

А как? Я думал там все AAA завязано на DHCP.

Автоинтерфейсы без этого конечно создаются, но разве в радиус что-то упадет без dhcp?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

по схеме влан-пер-юзер да, самый большой плюс в том что можно как-то позволить себе зоопарк с железом но тащить через сеть пачки вланов в q-in-q потом приземлять + локальный обмен трафиком и потом все обратно????? нахер такой дизайн, тьфу тьфу.

 

Ну каждому свое. Локальный обмен при нормальных тарифах на инет уже давно не актуален, его отсутствие даже лучше.

Просто схемы влан-на-дом после некоторого кол-ва домов становятся очень тяжеловесными. В обслуживании, в эксплуатации. Каждое выделение белого ипа пользователю - боль и пичаль. Потеря белых ип на мелких сетках. Ну а в целом всем пофиг, это да.

 

Топикстартеру - не берите билинг у инлайна, за модуль isg отвалите совершенно невменяемую сумму + вас нагрузят лицензией на кол-во сабскрайберов + все телодвижения в билинге делаются путем прямой правки базы, вот такая вот схема там, так что очень не рекомендую.

 

 

3/4 биллингов что сейчас продаются это сущий ад. Везде надо то докупать модули, то руками колупать базу, то иметь неиллюзорные отношения со встроенными радиусами/дхцп... Се ля ви.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Топикстартеру - не берите билинг у инлайна, за модуль isg отвалите совершенно невменяемую сумму + вас нагрузят лицензией на кол-во сабскрайберов + все телодвижения в билинге делаются путем прямой правки базы, вот такая вот схема там, так что очень не рекомендую.

спасибо.

 

Вообще с биллингом - это отдельная очень печальная тема.

"Хороших биллингов для среднего провайдера НЕ СУЩЕСТВУЕТ" : )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну каждому свое. Локальный обмен при нормальных тарифах на инет уже давно не актуален, его отсутствие даже лучше.

Просто схемы влан-на-дом после некоторого кол-ва домов становятся очень тяжеловесными. В обслуживании, в эксплуатации. Каждое выделение белого ипа пользователю - боль и пичаль. Потеря белых ип на мелких сетках. Ну а в целом всем пофиг, это да.

 

на сетке овер 20к локальный обмен торента вещь приличная по объему, сбрасывать ее со счетов я бы не стал, по поводу белых адресов да, там надо думать

у нас в текущем варианте после нажатия галки "хочу белый адрес" клиенту автоматом меняется влан на белый влан /24, через другой DHCP выдается адрес

местоположение клиента мы и так знаем по его серому адресу так что никаких проблем нет, + логи по смене адресов для мвд чтобы знать что год назад такой-то белый адрес принадлежал Васе Пупкину

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

схема влан на дом серая сетка /25, вланы белых они созданы отдельно и каждый влан да это /24, если клиент берет белый адрес то он мапится в белый влан где еще есть свободные адреса и получает его по dhcp, так что с утилизация 100%

абоненты на свиче без изоляции друг от друга?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Объясните преимущества вашей модели. Кроме того что вам нужно в Х раз больше Л3 железок чем мне. В чем еще прелести?

общая стомость гораздо ниже, при большей гибкости, с л3 опорным кольцом будет меньше гемороя чем с л2. напомню, вы же все равно не читали, основная сеть l2 ipoe, будет l3

 

А смысла? Кому-то надо партиал меш, кому-то фулвью. Кому-то надо раздельный шейпинг услуг, кому-то трубу. Я бы устал в биллинге 100 тарифов и 50 услуг изобретать. Такое проще руками сделать. Я конечно не имею ввиду юриков по 1000р платащих - те априори "физики".

смысл не плодить сущности, они денег стоят. а тут все легко и просто получается.

 

Он год уже в работе стоит, а не год назад пошел в серию. Еще раз, никаких глюков с сабскрайберами я не встретил. Ограничение в нем на 16к абонов это нормально, там цпу от калькулятора. Да я и на больше чем 8к тоже не стал бы рассчитывать. Надо брать MX240 же, чо как дети, RE чтобы с коре-квад :)

опять же, внимательнее, я писал массово, а не в серию. видимо джун софт допилил и начал активно продавливать на рынок.

Коробку на 80Г брать на 8к абонов, а если чуть больше то мх240? о_О Вы серьезно? 150к в листе за брас на 8000 абонов?.. мх240 даже искать не охота. видимо у вас они "сильно серо-ворованные", либо деньги некуда девать, вот вы ими налево направо и шелестите.

 

з.ы. внезапно открыл для себя, что точно не нужен МХ на тест, так что спасибо DVM-Avgoor, хоть вы и только сами себя читали. В споре рождается истина))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, Juniper MX умеет non-DHCP, правда не так красиво как это можно сделать на ALU 7750-SR (он мне вообще очень нравится) или хуавее, но для юриков (а как правило этого хотят юрики) реализуется вполне рабочая схема с авторизацией, созданием сессии и управлением через CoA.

 

 

А как? Я думал там все AAA завязано на DHCP.

Автоинтерфейсы без этого конечно создаются, но разве в радиус что-то упадет без dhcp?

 

У них это называется static-subscribers. http://www.juniper.net/techpubs/en_US/junos13.2/topics/concept/static-subscribers-overview.html Как-раз без автоинтерфейсов и по мне это огромный минус, т.к. вызывает дополнительную ручную работу, поэтому может рассматриваться исключительно для упертых юриков при их небольшой массовости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

- только L2-connected(т.е. использовать брас как точку терминирования)

Какие варианты резервирования?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ДА кстати, с резервированием браса при ipoe L3 все очень печально, это также надо иметь в виду

п.с. - клиенты изолированы, хотя была мысль отказаться от этого, как уже писали выше максимум что может сделать клиент это прописать себе мак шлюза,бывает это нечасто

саппорт такому гасит порт и объясняет что делать

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ДА кстати, с резервированием браса при ipoe L3 все очень печально, это также надо иметь в виду

п.с. - клиенты изолированы, хотя была мысль отказаться от этого, как уже писали выше максимум что может сделать клиент это прописать себе мак шлюза,бывает это нечасто

саппорт такому гасит порт и объясняет что делать

ну так всетаки, при Л2 коннектед, какие варианты резервирования браса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну так всетаки, при Л2 коннектед, какие варианты резервирования браса?

2й брас в параллели с опущенным интерфейсом, как вариант.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну так всетаки, при Л2 коннектед, какие варианты резервирования браса?

2й брас в параллели с опущенным интерфейсом, как вариант.

дауж, получается pppoe не так уж и плох

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

общая стомость гораздо ниже, при большей гибкости, с л3 опорным кольцом будет меньше гемороя чем с л2. напомню, вы же все равно не читали, основная сеть l2 ipoe, будет l3

 

 

Основная сеть чего? Я не понял да. Вы находитесь в какой-то незавершенной стадии, т.е. всю ложку дерьма (если она существует) все еще не проглотили целиком. Я правильно понял в этот раз? Кстати вы для того чтобы влан продать с одного конца сети в другой Л2 его прогоняете или как взрослые поцаны МПЛС уже развернули?

 

смысл не плодить сущности, они денег стоят. а тут все легко и просто получается.

 

 

Смысл заработать. У нас с вами разные юрики, вот и все. И походу еще разные принципы.

 

Коробку на 80Г брать на 8к абонов, а если чуть больше то мх240? о_О Вы серьезно? 150к в листе за брас на 8000 абонов?.. мх240 даже искать не охота. видимо у вас они "сильно серо-ворованные", либо деньги некуда девать, вот вы ими налево направо и шелестите.

 

 

Ох. Теги <sarcasm> в столь приличном форуме я решил не использовать. Видимо зря.

Правильный _имхо_ расчет 1 mx80 на 8к активных сессий, не абонентов. Т.е. при 16к активных сессий лучше брать сразу 2 (лучше конечно 3), будет и запас на случай чего, и работать будет нормально.

 

Ну и так, потехи ради. Судя по лицензии, MX240 up to 256k subscribers. Пересчитайте стоимость в цене на абонента, и все поймете.

Никто деньгами не сорит, серьезные люди никогда не кричат "ой как дорого" не посчитав превдарительно.

 

У них это называется static-subscribers. http://www.juniper.n...s-overview.html Как-раз без автоинтерфейсов и по мне это огромный минус, т.к. вызывает дополнительную ручную работу, поэтому может рассматриваться исключительно для упертых юриков при их небольшой массовости.

 

 

А-ы. Нет, с этой стороны я даже не смотрел. Я думал можно как-то заставить активировать сессию и в динамике без дхцп, увы... Нет, статик сабскрайберс почти ничем не интересен, тут джуниперы как-то не в тренде пока.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну так всетаки, при Л2 коннектед, какие варианты резервирования браса?

2й брас в параллели с опущенным интерфейсом, как вариант.

дауж, получается pppoe не так уж и плох

 

Да можно и не с опущенным интерфейсом, в этом нет проблем, проблема только в контроле состояния сессии.

PPPoE хорош именно этим.

 

А в чем по вашему заключается трудность резервирования L2 по сравнению с резервированием L3?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Резервирование IPoE брасов это вообще печаль чистой воды.

Тут, опять таки, сессионные механизмы типа PPPOE в большем выигрыше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.