Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 141
Если с помощью ACL запрещается весь не PPPoE трафик от клиентов, откуда возьмутся «бродкастовые и мультикастовые флуды»? Включение Storm Control избыточно?
окей, а как на счёт IPTV и других прелестей жизни?
… да, это ж сколько интерфейсов то потом на PPPoE сервере…
… да, это ж сколько интерфейсов то потом на PPPoE сервере…
Всё-таки интересно что стоит в CORE и в Distribution уровне…
Можно в ПМ чтобы не сочли за рекламу.
Да, кстате… трафик режется тоже на этой же железке?
Можно в ПМ чтобы не сочли за рекламу.
Да, кстате… трафик режется тоже на этой же железке?
Статья про настройку коммутатора от D-Link? У них на сайте не такая уж и плохая документация, кстати ;).
Статья про то, какой функционал на мой взгляд надо включать на access свитчах в домовой сети. D-Link просто взят как пример, чтобы не быть голословным. Почему именно D-Link — я указал в статье.
Для разнообразия, если это кому то интересно, могу рассказать как эта же идеология реализована на PLANET свитчах.
Для разнообразия, если это кому то интересно, могу рассказать как эта же идеология реализована на PLANET свитчах.
когда от pppoe, планируете уходить?
не планируем. А зачем от него уходить?
Н-р затем чтобы разгрузить сеть и оптимизировать маршруты трафика.
Используя чистый l2(фильтруя только штормы+dhcp 82)+vpn вы снизите нагрузку на сервера за счет локального трафика. Также это позволит пользователям лично держать сервера а-ля игровых, торрентов и т.п., что будет дополнительным стимулом при выборе вас, как провайдера.
Шейпить можно будет и на порту и на сервере, имея «двойные» тарифы (локалка и инет). +ИПТВ.
Используя чистый l2(фильтруя только штормы+dhcp 82)+vpn вы снизите нагрузку на сервера за счет локального трафика. Также это позволит пользователям лично держать сервера а-ля игровых, торрентов и т.п., что будет дополнительным стимулом при выборе вас, как провайдера.
Шейпить можно будет и на порту и на сервере, имея «двойные» тарифы (локалка и инет). +ИПТВ.
Всегда хотел собрать всех таких деятелей на одном корабле и затопить их, нафиг…
1. Это совместит core + distribution уровень и перенесёт большую часть нагрузки туда, что несколько децентрализует архитектуру и вообще это не очень логично
2. Позволит любому человеку без авторизации попасть в эту внутреннюю сеть (тупо воткнувшись в свитч access уровня в любой порт) и попытаться провести man in the middle атаку, либо пофлудить, либо что-нибудь ещё
3. А о клиентах вы подумали?
3.1. Не секрет что у постоянно увеличивающегося количества людей сейчас по нескольку устройств которые могут пользоватся интернетом, соответственно возникает необходимость в покупке маршрутизатора, и тут-то эти уродские решения а-ля dual access проявляют себя целиком и полностью:
— не все маршрутизаторы поддерживают dual access
— ни один пользователь, что я знаю, не смог настроить маршрутизатор с таким видом подключения сам (куча статических маршрутов для локальных ресурсов, которые обновляются вручную, редко программами; непонимание самого процесса как происходит подключение и ещё ВАША тех. поддержка часто сама не может помочь)
— из-за подобного рода решений СИЛЬНЕЕ нагружаются маршрутизаторы пользователей у них нестабильная или медленная связь (что очень плохо сказывается на имидже провайдера, хотя он как бы и не виноват) и большинство пользователей будут покупать самые дешёвые(!!) маршрутизаторы, ибо до подключения интернета они не могут оценить нагрузку
— да и вообще маршрутизацией должен заниматься провайдер а не пользователь
3.2. исходя из выше указанных проблем очень сильно возрастёт нагрузка на техподдержку, кстати, у нас в Самаре постоянно ожидать при звонке в основном у провайдеров с dual access
3.3. у меня у самого есть выбор из более выгодных провайдеров, но из-за их dual access я на них переходить не буду, ибо у меня linksys wrt610n, покупать новые железки я не хочу, а на dd-wrt времени нет
4. Про шейпинг фигня написана( при PPPoE всё так же шейпится и двойные тарифы можно делать, хоть тройные), про локальный траффик тоже фигня (также можно маршрутами (на оборудовании провайдера, где есть системные администраторы, а не у пользователей) завернуть куда надо)
5. Да и не особо понятно где экономия или удобство, опишите пожалуйста поподробнее
В общем, я считаю что dual access — удел провайдеров, которые нанимают неквалифицированных системных администраторов для планирования инфраструктуры сети.
1. Это совместит core + distribution уровень и перенесёт большую часть нагрузки туда, что несколько децентрализует архитектуру и вообще это не очень логично
2. Позволит любому человеку без авторизации попасть в эту внутреннюю сеть (тупо воткнувшись в свитч access уровня в любой порт) и попытаться провести man in the middle атаку, либо пофлудить, либо что-нибудь ещё
3. А о клиентах вы подумали?
3.1. Не секрет что у постоянно увеличивающегося количества людей сейчас по нескольку устройств которые могут пользоватся интернетом, соответственно возникает необходимость в покупке маршрутизатора, и тут-то эти уродские решения а-ля dual access проявляют себя целиком и полностью:
— не все маршрутизаторы поддерживают dual access
— ни один пользователь, что я знаю, не смог настроить маршрутизатор с таким видом подключения сам (куча статических маршрутов для локальных ресурсов, которые обновляются вручную, редко программами; непонимание самого процесса как происходит подключение и ещё ВАША тех. поддержка часто сама не может помочь)
— из-за подобного рода решений СИЛЬНЕЕ нагружаются маршрутизаторы пользователей у них нестабильная или медленная связь (что очень плохо сказывается на имидже провайдера, хотя он как бы и не виноват) и большинство пользователей будут покупать самые дешёвые(!!) маршрутизаторы, ибо до подключения интернета они не могут оценить нагрузку
— да и вообще маршрутизацией должен заниматься провайдер а не пользователь
3.2. исходя из выше указанных проблем очень сильно возрастёт нагрузка на техподдержку, кстати, у нас в Самаре постоянно ожидать при звонке в основном у провайдеров с dual access
3.3. у меня у самого есть выбор из более выгодных провайдеров, но из-за их dual access я на них переходить не буду, ибо у меня linksys wrt610n, покупать новые железки я не хочу, а на dd-wrt времени нет
4. Про шейпинг фигня написана( при PPPoE всё так же шейпится и двойные тарифы можно делать, хоть тройные), про локальный траффик тоже фигня (также можно маршрутами (на оборудовании провайдера, где есть системные администраторы, а не у пользователей) завернуть куда надо)
5. Да и не особо понятно где экономия или удобство, опишите пожалуйста поподробнее
В общем, я считаю что dual access — удел провайдеров, которые нанимают неквалифицированных системных администраторов для планирования инфраструктуры сети.
Согласен, за исключением «неквалифицированных системных администраторов», тут дело не всегда в этом, есть бизнес план, есть коммерческий отдел и куча других структур, которые уже выбрали из предложенных вариантов. Этот самый dual access это самый простой и дешевый способ предоставить интернет, авторизовать пользователя можно даже на тупом свитче и при этом не грузить BRAS локальным трафиком. pptp сервер поднимается на любом писюшнике, готового софта завались, а вот соорудить авторизацию через opt82 это может быть долго и дорого.
У нас работала и работает 82 опция. Человек допилил за пару месяцев, в одного, включая патчи к bind. Нагрузка — ~5000 онлайн, сейчас видимо больше, полгода уже как там не работаю, не знаю.
Про «неквалифицированных системных администраторов» я несколько погорячился, извиняюсь если кого-то задел, просто меня сводят с ума толпы друзей и родственников кому надо роутеры настраивать (очень часто провайдеры им с этим не могут СОВСЕМ помочь).
Про дешевизну способа я ничего объективного сказать не смогу…
По поводу простоты я написал выше, PPPoE легче внедрять и система получается проще и меньше головной боли с клиентами (а она будет!!!). PPPoE сервер тоже на любом писишнике поднимается, с любыми распространёнными серверными ОС. Софт для биллинга будет тот же.
По поводу авторизации DHCP, можно адрес из внутренней подсети провайдера выставить вручную, что может привести к конфликтам (а на некоторых роутерах приходится делать именно так).
Опять же внутренняя локальная сеть способствует распространению вирусов и позволяет неконтролируемый прямой взлом других клиентов, что тоже не есть хорошо, да и о паразитном траффике завирусованных клиентов не стоит забывать.
В любом случае, создавая проблемы для клиентов, вы много их к себе не заманите.
Про дешевизну способа я ничего объективного сказать не смогу…
По поводу простоты я написал выше, PPPoE легче внедрять и система получается проще и меньше головной боли с клиентами (а она будет!!!). PPPoE сервер тоже на любом писишнике поднимается, с любыми распространёнными серверными ОС. Софт для биллинга будет тот же.
По поводу авторизации DHCP, можно адрес из внутренней подсети провайдера выставить вручную, что может привести к конфликтам (а на некоторых роутерах приходится делать именно так).
Опять же внутренняя локальная сеть способствует распространению вирусов и позволяет неконтролируемый прямой взлом других клиентов, что тоже не есть хорошо, да и о паразитном траффике завирусованных клиентов не стоит забывать.
В любом случае, создавая проблемы для клиентов, вы много их к себе не заманите.
Но в некоторых случаях клиентов манит обширная высокоскоростная внутренняя сеть, чего нет у PPPoE.
С pppoe тоже свои заморочки, это надо везде таскать за собой l2, серьезнее подходить к построению фильтров и т.п., возможно усложнение диагностики.
В общем что pppoe что pptp два сапога пара, лишний тунель поверх эзернета совсем ненужен пользователю, гораздо удобнее воткнуть кабель в розетку и получить интернет. Эти технологии удобны в первую очередь провайдерам, а не клиентам )
С pppoe тоже свои заморочки, это надо везде таскать за собой l2, серьезнее подходить к построению фильтров и т.п., возможно усложнение диагностики.
В общем что pppoe что pptp два сапога пара, лишний тунель поверх эзернета совсем ненужен пользователю, гораздо удобнее воткнуть кабель в розетку и получить интернет. Эти технологии удобны в первую очередь провайдерам, а не клиентам )
Эти технологии провайдерам нужны для управления услугами.
Но в некоторых случаях клиентов манит обширная высокоскоростная внутренняя сеть, чего нет у PPPoE.
Тот же «дом.ру», есть у них всё это (и IPTV тоже) и работает отлично (у них PPPoE). И те кто туда подключились ко мне обычно не обращаются, да и тех. поддежку не мучают, и на пропускную способность не жалуются, хотя у вас цены дешевле на тарифы, т.е. на практике ваши клиенты должны быть довольнее.
В общем что pppoe что pptp два сапога пара, лишний тунель поверх эзернета совсем ненужен пользователю, гораздо удобнее воткнуть кабель в розетку и получить интернет. Эти технологии удобны в первую очередь провайдерам, а не клиентам )
Как ни странно в dual access и есть лишний туннель =), а туннель поверх езернета позволяет провайдеру игнорировать весь паразитирующий траффик, что очень благосклонно влияет на безопасность и не забивает каналы.
И воткнуть кабель и получить интернет не получиться при любом подключении.
Эти технологии удобны в первую очередь провайдерам, а не клиентам )
Суть моих опусов в том, что некоторые технологии могут быть неудобны клиентам.
Тот же «дом.ру», есть у них всё это (и IPTV тоже) и работает отлично (у них PPPoE). И те кто туда подключились ко мне обычно не обращаются, да и тех. поддежку не мучают, и на пропускную способность не жалуются, хотя у вас цены дешевле на тарифы, т.е. на практике ваши клиенты должны быть довольнее.
В общем что pppoe что pptp два сапога пара, лишний тунель поверх эзернета совсем ненужен пользователю, гораздо удобнее воткнуть кабель в розетку и получить интернет. Эти технологии удобны в первую очередь провайдерам, а не клиентам )
Как ни странно в dual access и есть лишний туннель =), а туннель поверх езернета позволяет провайдеру игнорировать весь паразитирующий траффик, что очень благосклонно влияет на безопасность и не забивает каналы.
И воткнуть кабель и получить интернет не получиться при любом подключении.
Эти технологии удобны в первую очередь провайдерам, а не клиентам )
Суть моих опусов в том, что некоторые технологии могут быть неудобны клиентам.
Ниче не понял, вы хотите сказать, что клиентам неудобен чистый ипшник на эзернет интерфейсе?
Клиенту нравятся извраты с тунелями (pppoe/pptp/l2tp/etc)?
Я только за то, чтобы клиенту было удобнее, меня любые тунели раздражают =)
А какая скорость у ДОМ.ру в эту локалку? Неужели они стомегабит могут переварить через bras? Или же у них тотже дуал акссесс но только с пппое? Тогда это шило на мыло ))
Клиенту нравятся извраты с тунелями (pppoe/pptp/l2tp/etc)?
Я только за то, чтобы клиенту было удобнее, меня любые тунели раздражают =)
А какая скорость у ДОМ.ру в эту локалку? Неужели они стомегабит могут переварить через bras? Или же у них тотже дуал акссесс но только с пппое? Тогда это шило на мыло ))
>Тот же «дом.ру», есть у них всё это (и IPTV тоже)
Вы про какой регион говорите? У них же кабельное ТВ, IPTV нету?
Вы про какой регион говорите? У них же кабельное ТВ, IPTV нету?
Просто внедрять Ethernet. Всё остальное неуважение по отношению к пользователю.
А ещё распространению игр, музыки и фильмов. А если серьёзно, то локальная сеть не страшнее выделенного ip
Много меньше, чем трафик от торрентов и DC++
Опять же внутренняя локальная сеть способствует распространению вирусов
А ещё распространению игр, музыки и фильмов. А если серьёзно, то локальная сеть не страшнее выделенного ip
да и о паразитном траффике завирусованных клиентов не стоит забывать.
Много меньше, чем трафик от торрентов и DC++
pptp на любом писюшнике — это для двух человек. А для десятков тысяч уже не айда.
Ха-ха! Кстати, я почитал вашу информацию, вы из «аиста». Моему родному брату и нескольким друзьям отказали настроить роутер за деньги в вашей компании (то есть они сами предлагали: «давайте мы вам денег заплатим, только настройте»), мотивировав это тем что «нету системных администраторов для этого», причём речь шла не о цене вопроса, а о самой возможности. Плюс к этому, друзья (брату я помогал роутер выбирать) жалуются на скорость соединения (они взяли недорогие dir-300) и дозвониться с 1 раза в вашу компанию я не смог, т.е. чтобы позвонил и сразу ответили. А ещё, те у кого нет роутера, периодически меня пытаются доставать с подключением ноутбуков гостей и.т.п., которых я отшиваю и вроде бы это стоит у вас дополнительных денег (что любви не прибавляет).
P.S. хотя по ценам и услугам у вас всё в порядке, так что переход на PPPoE и любовь юзеров вам обеспечена (шутко, я отлично понимаю что сейчас уже сложно вам кардинально менять что-либо)
P.P.S. а ещё у меня есть друг у которого машрутизатор от cisco и там это двойное подключение очень специфично настраивается (что тоже на его отношение к вам повлияло)
P.P.S. в общем компания у вас хорошая, но из-за dual access возникает много проблем на пустом месте, что не есть хорошо и портит отношение клиентов к вам.
P.S. хотя по ценам и услугам у вас всё в порядке, так что переход на PPPoE и любовь юзеров вам обеспечена (шутко, я отлично понимаю что сейчас уже сложно вам кардинально менять что-либо)
P.P.S. а ещё у меня есть друг у которого машрутизатор от cisco и там это двойное подключение очень специфично настраивается (что тоже на его отношение к вам повлияло)
P.P.S. в общем компания у вас хорошая, но из-за dual access возникает много проблем на пустом месте, что не есть хорошо и портит отношение клиентов к вам.
И что из этого? Это политика компании значит, причем здесь то, как строиться сеть, о чем речь была выше?
п.п.с: у меня тоже есть cisco :)
п.п.п.с.: спасибо, но выше речь по сетестроительство.
п.п.с: у меня тоже есть cisco :)
п.п.п.с.: спасибо, но выше речь по сетестроительство.
Тсс, без паники, мы совсем не из того отдела )))
Вполне возможно что и нет такой услуги, как настройках роутеров, можно обратиться в техподдержку, в том чилсе и онлайн, или попросить проконсультировать по телефону относительно настроек роутера. А настроить роутер за деньги специально обученным человеком могут кучу разных контор в городе, для любого провайдера.
Вполне возможно что и нет такой услуги, как настройках роутеров, можно обратиться в техподдержку, в том чилсе и онлайн, или попросить проконсультировать по телефону относительно настроек роутера. А настроить роутер за деньги специально обученным человеком могут кучу разных контор в городе, для любого провайдера.
Проблема всё равно решилась так или иначе… Просто я привёл пример сложностей которые получают клиенты и которых они, в принципе, могли бы избежать.
Мне коллеги подсказывают что АИСТ настраивает такие вещи… Для этого нужно оформить заявку в саппорте. За деньги.
Ну это было полгода назад, может быть с тех пор что-то изменилось, опять же, сравните:
1. пользователь по минимальной инструкции настраивает сам PPPoE подключение на роутере и получает интернет и ресурсы внутренней сети
2. пользователь по достаточно серьёзной инструкции пытается настроить dual access + маршруты чтобы работала внутреняя сеть
что проще?
по поводу второго пункта:
У меня есть друг, он достаточно опытный пользователь, даже представляет что такое «подсети». Он подключен к «Билайну». Купил роутер. Позвонил туда, ему сказали что это стоит 1,5 т.р. (по памяти говорю), он посчитал что это дорого, попросил меня помочь, я был занят, потому быстро нашёл ему инструкцию по настройке для его модели роутера (со скриншотами, именно для его модели роутера, именно для его провайдера), быстро ответил на некоторые вопросы и продолжил заниматься своими делами. Так вот, он сам свой роутер настроить не смог. То есть к интернету-то он подключился, а вот к хвалёной внутренней сети нет. Пришлось потом отвечать ему ещё на кучу вопросов и долго выяснять почему же он статические маршруты неправильно прописал.
1. пользователь по минимальной инструкции настраивает сам PPPoE подключение на роутере и получает интернет и ресурсы внутренней сети
2. пользователь по достаточно серьёзной инструкции пытается настроить dual access + маршруты чтобы работала внутреняя сеть
что проще?
по поводу второго пункта:
У меня есть друг, он достаточно опытный пользователь, даже представляет что такое «подсети». Он подключен к «Билайну». Купил роутер. Позвонил туда, ему сказали что это стоит 1,5 т.р. (по памяти говорю), он посчитал что это дорого, попросил меня помочь, я был занят, потому быстро нашёл ему инструкцию по настройке для его модели роутера (со скриншотами, именно для его модели роутера, именно для его провайдера), быстро ответил на некоторые вопросы и продолжил заниматься своими делами. Так вот, он сам свой роутер настроить не смог. То есть к интернету-то он подключился, а вот к хвалёной внутренней сети нет. Пришлось потом отвечать ему ещё на кучу вопросов и долго выяснять почему же он статические маршруты неправильно прописал.
PPPoE от PPTP в тех-же длинках отличается только на одну строчку, у пптп нужно указывать сервер, а у пппое нет, остальное все практически одинаково. Прописать маршруты, это вопервых не всем нужно, а во вторых делается опятьже двумя галочками и двумя полями, ничего сложного, особенно имея инструкцию. Уж незнаю, что у вас там за разбирающиеся в компьютерах люди ))
Лично как для пользователя по мне разницы нет, что пппое, что пптп, все одинаково плохо и неудобно в сравнении с чистым ип )
Лично как для пользователя по мне разницы нет, что пппое, что пптп, все одинаково плохо и неудобно в сравнении с чистым ип )
ну «plug and play» в сетях это утопия, авторизация всё равно нужна, либо какой-то однозначный способ подтверждения своей личности (понятный любому пользователю), так что этот вариант, с вашего позволения, рассматривать не будем =)
Почему еще утопия, DHCP opt82, авторизация по порту, ISG, тут все уже придумано давно и работоспособно, просто не внедряется в силу определенных причин.
Какой профит пользователю от авторизации через тунель и логин с паролем, когда у человека уже есть авторизация. Кабель включенный в нужный порт, который однозначно определяет к какому абоненту он идет.
Многие кстати практикуют еще авторизацию по MACу, удобнее в плане отсутствия тунелей, но есть другие нюансы.
Какой профит пользователю от авторизации через тунель и логин с паролем, когда у человека уже есть авторизация. Кабель включенный в нужный порт, который однозначно определяет к какому абоненту он идет.
Многие кстати практикуют еще авторизацию по MACу, удобнее в плане отсутствия тунелей, но есть другие нюансы.
Привязка по маку это вообще изврат. Одно дело на предприятии, чтобы гавнюк не завелся, но когда у тебя тысячи пользователей, у которых сохи, вай-фаи, свитч, куда воткнуто 5 компьютер/ноутбуков… Это утопия.
Согласен, ибо пока MACи можно менять на произвольный из настроек сетевой платы, будет очень много проблем с этим.
Хороший вариант авторизация через IEEE 802.1X, но это многие сохо-роутеры не умеют, может быть если придумают адаптеры для этого жизнь станет краше. Можно тогда будет давать пользователю настроенный адаптер и кабель, включил и заработало!
Хороший вариант авторизация через IEEE 802.1X, но это многие сохо-роутеры не умеют, может быть если придумают адаптеры для этого жизнь станет краше. Можно тогда будет давать пользователю настроенный адаптер и кабель, включил и заработало!
Как я уже писал выше, у меня в подъезде ящик сломан для оборудования провайдера, потому для того чтобы воткнуться вместо кого-нибудь, либо параллельно с кем то у меня проблем не возникнет ((( (я так делать конечно же не буду, но я знаю некоторое количество людей которые нахаляву пользуются телевидением по похожему принципу (они то и ломают эти ящики))
я бы не стал так утверждать:
Dynamic Configuration of IPv4 Link-Local Addresses
tools.ietf.org/html/rfc3927
en.wikipedia.org/wiki/Universal_Plug_and_Play
avahi.org/
www.apple.com/ru/macosx/technology/bonjour.html
Dynamic Configuration of IPv4 Link-Local Addresses
tools.ietf.org/html/rfc3927
en.wikipedia.org/wiki/Universal_Plug_and_Play
avahi.org/
www.apple.com/ru/macosx/technology/bonjour.html
Я понял к чему вы клоните, давайте разберемся, есть три варианта
1) Голый pppoe, маршруты прописывать ненужно, но и внутренняя сеть далеко на стомегабит.
2) Дуал аксесс с pppoe
3) Дуал аксесс с pptp
Так вот второй и третий варианты в настройках разницы никакой не имеют и настройка в них сложнее чем в первом варианте (если нужна внутренка), но эти два варианта обеспечивают максимальную скорость внутренней сети.
Вы сравниваете 1 вариант и 3, тут несомненно проще настраивается первый, но у него есть и описанный минус со скоростью.
1) Голый pppoe, маршруты прописывать ненужно, но и внутренняя сеть далеко на стомегабит.
2) Дуал аксесс с pppoe
3) Дуал аксесс с pptp
Так вот второй и третий варианты в настройках разницы никакой не имеют и настройка в них сложнее чем в первом варианте (если нужна внутренка), но эти два варианта обеспечивают максимальную скорость внутренней сети.
Вы сравниваете 1 вариант и 3, тут несомненно проще настраивается первый, но у него есть и описанный минус со скоростью.
Вы меня правильно поняли я сравниваю 1 и 3 способ.
При наличии должного оборудования и правильной настройке всё будет нормально. У меня дома провайдер «дом.ру»(у них PPPoE подключение, ещё раз напомню) внутренний трафик самое большое видел — 80мегабит реальных. CD образ убунты у меня чуть больше минуты качался через torrent. Передаю через скайп файлы знакомым в среднем со скоростью 20-40 мегабит (тариф у меня на 10 мегабит, у знакомых хз какие, но тоже домрушники), меня это более чем устраивает (и их тоже).
P.S. чтобы не считали что я пиарю дом.ру — компания сама по себе отвратительная:
— тех. поддержка хамит и проблемы решать не хочет
— 1 раз потеряли мою оплату долго с ними ругался
— самовольно могут переводить ваши деньги с разных услуг (есть строчка мелким шрифтом в договоре)
— общался с ними как юр.лицо — очень ушлые, попросили денег в разы больше чем конкуренты, причём менеджер знал что там присутствует провайдер, чьим каналом они сами пользуются
— они «сдают» клиентов властям (у них есть «шареман» внутренний торрент сервер, у меня пара знакомых имели из-за этого большие проблемы)
но у них есть плюс — очень хорошая скорость, просто подключаться и невысокие требования к роутеру
При наличии должного оборудования и правильной настройке всё будет нормально. У меня дома провайдер «дом.ру»(у них PPPoE подключение, ещё раз напомню) внутренний трафик самое большое видел — 80мегабит реальных. CD образ убунты у меня чуть больше минуты качался через torrent. Передаю через скайп файлы знакомым в среднем со скоростью 20-40 мегабит (тариф у меня на 10 мегабит, у знакомых хз какие, но тоже домрушники), меня это более чем устраивает (и их тоже).
P.S. чтобы не считали что я пиарю дом.ру — компания сама по себе отвратительная:
— тех. поддержка хамит и проблемы решать не хочет
— 1 раз потеряли мою оплату долго с ними ругался
— самовольно могут переводить ваши деньги с разных услуг (есть строчка мелким шрифтом в договоре)
— общался с ними как юр.лицо — очень ушлые, попросили денег в разы больше чем конкуренты, причём менеджер знал что там присутствует провайдер, чьим каналом они сами пользуются
— они «сдают» клиентов властям (у них есть «шареман» внутренний торрент сервер, у меня пара знакомых имели из-за этого большие проблемы)
но у них есть плюс — очень хорошая скорость, просто подключаться и невысокие требования к роутеру
п.с.: чтобы не думали что я вообще кого пиарю или антипиарю — я пишу просто как человек, который когда-то где-то видел компьютер и какие-то провода с коробочками :) :)
п.п.с.: они не могут не сдавать людей по запросу из полиции… Все сдают, таковы законы.
Я знаю, ну пусть хоть при скачивании этой программы напишут «не качайте порно,1с, продукцию microsoft, abbyy или autocad, вы будете автоматически виновны в распространении» (хотя может и пишут, я не знаю, не качал). А то некрасиво получается для тех кто не «в теме», они-то думают что просто скачивают, а оказывается ещё и распространяют и доказать это легко.
провайдер должен в вашем торренте/емуле/ДС поп-ап с предупреждением приделать чтоли? :)
=)))) ну у них программа клиент своя, в ней могут
У них есть на сайте предупреждение, правда в подвале, докуда никто не долистывает.
Кстати, у них сайт хостится в Америке, потому они не обязаны предоставлять данные полицейским, хотя… может быть после некоторого количества исков они туда его и перевели…
Всё равно репутацию они подмочили себе в этом плане…
У них есть на сайте предупреждение, правда в подвале, докуда никто не долистывает.
Кстати, у них сайт хостится в Америке, потому они не обязаны предоставлять данные полицейским, хотя… может быть после некоторого количества исков они туда его и перевели…
Всё равно репутацию они подмочили себе в этом плане…
Утопи, я не далеко живу, в Тольятти.
1. С чего бы оно совместит? Ядро занимается маршрутизацией между агрегациями и другими ядрами, на агрегации терминируются клиенты (юрики, физики). Зачем гнать весь трафик в одно место, иметь толстые каналы до этого места, если часть трафика может коммутироваться на акссесе или роутиться на агрегации/ядре?
2. Н-р у нас все свитчи в металлических ящиках. У остальных провайдеров тоже. Как?
3. Только о них и думаем.
3.1. Все soho-свитчи/роутеры что были у нас на тесте (не лохматых годов) отлично работали с pptp. Настройте нормально dhcp и раздавайте маршруты по dhcp. Все упирается в квалификацию админа провайдера. Колхоз клиента — проблема клиента. Ему дается шнурок, на этом шнурке все работает замечательно. Если я поставлю перед компьютером шейпер, мне тоже чтоли пинять на провайдера?
3.2. Мы не поддерживаем (пока) клиентские роутеры.
3.3. Хозяин-барин. Нравится pppoe — пользуйтесь. В нашей компании он не нравится, я уже выше объяснил основные минусы.
4. Не фигня. Шейпинг на сервере повышает нагрузку на сервер. Резать на порту — одно удовольствие. Свитчи не умеют роутить по определению, т.о. гнать надо до агрегации минимум, а там уже как настроено. У некоторые switchport protect написано…
5. Трафик ходит «короче» и «правильнее». Нагрузка на сервера меньше, как следствие нужно меньше серверов. Т.к. часть функций перекладывается на акссес, то на вышестоящие уровни нагрузка снова ниже, как следствие можно ограничится 3500-серией каталистов (в зависимости конечно от нагрузки. 3560 больше 3килоабонентов жуёт и не жужжит по моей «схеме».)
Значит я лузер :)
1. С чего бы оно совместит? Ядро занимается маршрутизацией между агрегациями и другими ядрами, на агрегации терминируются клиенты (юрики, физики). Зачем гнать весь трафик в одно место, иметь толстые каналы до этого места, если часть трафика может коммутироваться на акссесе или роутиться на агрегации/ядре?
2. Н-р у нас все свитчи в металлических ящиках. У остальных провайдеров тоже. Как?
3. Только о них и думаем.
3.1. Все soho-свитчи/роутеры что были у нас на тесте (не лохматых годов) отлично работали с pptp. Настройте нормально dhcp и раздавайте маршруты по dhcp. Все упирается в квалификацию админа провайдера. Колхоз клиента — проблема клиента. Ему дается шнурок, на этом шнурке все работает замечательно. Если я поставлю перед компьютером шейпер, мне тоже чтоли пинять на провайдера?
3.2. Мы не поддерживаем (пока) клиентские роутеры.
3.3. Хозяин-барин. Нравится pppoe — пользуйтесь. В нашей компании он не нравится, я уже выше объяснил основные минусы.
4. Не фигня. Шейпинг на сервере повышает нагрузку на сервер. Резать на порту — одно удовольствие. Свитчи не умеют роутить по определению, т.о. гнать надо до агрегации минимум, а там уже как настроено. У некоторые switchport protect написано…
5. Трафик ходит «короче» и «правильнее». Нагрузка на сервера меньше, как следствие нужно меньше серверов. Т.к. часть функций перекладывается на акссес, то на вышестоящие уровни нагрузка снова ниже, как следствие можно ограничится 3500-серией каталистов (в зависимости конечно от нагрузки. 3560 больше 3килоабонентов жуёт и не жужжит по моей «схеме».)
Значит я лузер :)
1. Честно говоря, надеюсь что провайдеры которые решают подобные проблемы подскажут по этому вопросу, но:
— проблем с каналами, у вас («аиста») не должно быть, ибо в Самаре оптика у вас вроде бы
— по поводу траффика и «одного места», на мой взгляд это тоже решается, при чём, также как и с VPN, но я у провайдеров не работал, работал просто в крупной компании, а чтобы на эту тему дискуссировать вам надо точнее описать внутреннее устройство вашей сети, что не есть правильно, так что предлагаю обсудить эту тему в «личке», либо ждать какого-нибудь представителя провайдера с PPPoE
2. У большинства конечно же в ящиках, но
— их легко поломать (у меня вот в подъезде сломан (не мной))
— ящик от вирусов или злоумышленников не защитит, причём я в своей практике несколько раз встречал как несколько компьютеров инфицированных могут положить целый сегмент сети с дешёвыми коммутаторами
3.1. Работать-то они работают, а как же подключение к «внутренней сети»?
Про «настройте dhcp» несколько непонятно что вы имели в виду. SOHO роутеры не умеют маршруты раздавать по dhcp, тем более это клиент сам это настроить в принципе не сможет.
3.2. Вот и я про то же, а вот PPPoE клиенту достаточно реально и самому настроить с небольшой инструкцией.
3.3. Сразу видно что вы не менеджер, хехе )))
4. Про нагрузку — согласен, но она в любом случае будет где-нибудь, ибо шейпить надо.
Про «резать на порту», access свитчи у вас вряд ли это умеют, так что шейпить в любом случае на уровне агрегации надо, как минимум и отличий тут от шейпинга с PPPoE я не вижу.
Про «Свитчи» — они разные бывают (L3, например), не думаю что локальные игровые серверы столько траффика нагоняют что это заметно, а вот для торрентов и.т.п. локальных маршрутизация всё равно на уровне ядра, либо распространения происходит (потому что маловероятно что клиент торрента выберет вашего соседа и у этого соседа скачиваемые вами файлы есть), что для PPPoE и dual access настраивается одинаково.
Про «switchport protect» прочитал, это опять же не access уровень, непонятно что вы хотели этим сказать.
5. Про короче я не спорю, про правильнее тоже, НО вашей компании важно иметь как можно БОЛЬШЕ клиентов чтобы больше зарабатывать, потому простоту подключения клиентов, тоже нужно учитывать. И насколько сопоставимы затраты на усиленную тех. поддержку и стоимость оборудования cisco? (железо то вы купите 1 раз, а на тех поддержку надо тратиться постоянно + содержать дополнительных людей для их обслуживания).
Значит я лузер :)
Я не пытаюсь доказать что кто-то лузер, я хочу предостеречь начинающих провайдеров о проблемах которые могут возникнуть, либо попытаться заставить переосмыслить провайдеров текущих.
— проблем с каналами, у вас («аиста») не должно быть, ибо в Самаре оптика у вас вроде бы
— по поводу траффика и «одного места», на мой взгляд это тоже решается, при чём, также как и с VPN, но я у провайдеров не работал, работал просто в крупной компании, а чтобы на эту тему дискуссировать вам надо точнее описать внутреннее устройство вашей сети, что не есть правильно, так что предлагаю обсудить эту тему в «личке», либо ждать какого-нибудь представителя провайдера с PPPoE
2. У большинства конечно же в ящиках, но
— их легко поломать (у меня вот в подъезде сломан (не мной))
— ящик от вирусов или злоумышленников не защитит, причём я в своей практике несколько раз встречал как несколько компьютеров инфицированных могут положить целый сегмент сети с дешёвыми коммутаторами
3.1. Работать-то они работают, а как же подключение к «внутренней сети»?
Про «настройте dhcp» несколько непонятно что вы имели в виду. SOHO роутеры не умеют маршруты раздавать по dhcp, тем более это клиент сам это настроить в принципе не сможет.
3.2. Вот и я про то же, а вот PPPoE клиенту достаточно реально и самому настроить с небольшой инструкцией.
3.3. Сразу видно что вы не менеджер, хехе )))
4. Про нагрузку — согласен, но она в любом случае будет где-нибудь, ибо шейпить надо.
Про «резать на порту», access свитчи у вас вряд ли это умеют, так что шейпить в любом случае на уровне агрегации надо, как минимум и отличий тут от шейпинга с PPPoE я не вижу.
Про «Свитчи» — они разные бывают (L3, например), не думаю что локальные игровые серверы столько траффика нагоняют что это заметно, а вот для торрентов и.т.п. локальных маршрутизация всё равно на уровне ядра, либо распространения происходит (потому что маловероятно что клиент торрента выберет вашего соседа и у этого соседа скачиваемые вами файлы есть), что для PPPoE и dual access настраивается одинаково.
Про «switchport protect» прочитал, это опять же не access уровень, непонятно что вы хотели этим сказать.
5. Про короче я не спорю, про правильнее тоже, НО вашей компании важно иметь как можно БОЛЬШЕ клиентов чтобы больше зарабатывать, потому простоту подключения клиентов, тоже нужно учитывать. И насколько сопоставимы затраты на усиленную тех. поддержку и стоимость оборудования cisco? (железо то вы купите 1 раз, а на тех поддержку надо тратиться постоянно + содержать дополнительных людей для их обслуживания).
Значит я лузер :)
Я не пытаюсь доказать что кто-то лузер, я хочу предостеречь начинающих провайдеров о проблемах которые могут возникнуть, либо попытаться заставить переосмыслить провайдеров текущих.
1. Оптика оптикой, но если занялся 1/10 Гб/с — делать что-то надо. Либо решать проблему железом (уплотнение, новая оптика, 40G и т.д.), либо оптимизировать трафик. 2 вариант приоритетнее. С vpn этой проблемы нет, если настроены маршруты.
2. Нууу, попробуйте поломать наш :) У нас выдается /26 на устройство. Я конечно поверхностно знаю о таких проблемах, но не слышал что вирус поработил свитч вместе с его пользователями.
3.1. Сохам не надо раздавать, им надо получать. 90% протестированных нами умеют.
3.3. Не стал прибалтывать? :)
4. Что это врядли? Все модели аксесс-свитчей что у нас используются — умеют. Если пир в той же подсети — то на уровне доступа, если в одной ospf-зоне, то на агрегации, если нет, то да, трафик через ядра пойдет. Плюс я строю сеть с балансировкой трафика между ядрами. Между агрегациями смысла не вижу… Конечно, если провайдер раскинулся на 1-2 км в радиусе и у него 500 клиентов, то можно не заморачиваться.
5. Да один раз настроил и забыл. Тем более соху: там виндовса нет, юзер не поломает :)
Ну почти буквально в мой адрес звучала нота некомпетентности, я не поддержал троллинг и согласился :)
2. Нууу, попробуйте поломать наш :) У нас выдается /26 на устройство. Я конечно поверхностно знаю о таких проблемах, но не слышал что вирус поработил свитч вместе с его пользователями.
3.1. Сохам не надо раздавать, им надо получать. 90% протестированных нами умеют.
3.3. Не стал прибалтывать? :)
4. Что это врядли? Все модели аксесс-свитчей что у нас используются — умеют. Если пир в той же подсети — то на уровне доступа, если в одной ospf-зоне, то на агрегации, если нет, то да, трафик через ядра пойдет. Плюс я строю сеть с балансировкой трафика между ядрами. Между агрегациями смысла не вижу… Конечно, если провайдер раскинулся на 1-2 км в радиусе и у него 500 клиентов, то можно не заморачиваться.
5. Да один раз настроил и забыл. Тем более соху: там виндовса нет, юзер не поломает :)
Ну почти буквально в мой адрес звучала нота некомпетентности, я не поддержал троллинг и согласился :)
1. хз… ждём чтобы представители других провайдеров прокомментировали, у меня мало данных
3.1. если бы умели, я бы не говорил, у меня ни один знакомый сам с маршрутами не разобрался (кстати, среди них начальник-админ с одной из моих прошлых работ, хе-хе, у него провайдер «теленет» был и он сам настроить не смог себе роутер, причём там просто PPTP был доступ(там шлюз был вне подсети, винда создаёт маршрут по-умолчанию автоматически, а вот тот роутер нет))
3.3. ну да =)))
4. ну вот видите, значит свитчи access уровня дороже надо иметь, что опять возвращает нас к вопросу о дешевизне dual access решений
5. это для человека с достаточным багажом знаний «один раз настроил», для обычного человека это целая эпопея
Ну почти буквально в мой адрес звучала нота некомпетентности, я не поддержал троллинг и согласился :)
Я извинился чуть ниже в комментариях, просто что-то я разгорячился увидев такую тему интересную =).
Ещё раз извините меня.
В общем я понял почему вы пошли на такой тип подключения (на мой взгляд, это всё равно недостаточно оправдано в долгосрочной перспективе, ибо затраты на железо обычно меньше чем на персонал), но чтобы дальше дискуссировать, мне надо больше знать о «внутренней кухне»… (((
3.1. если бы умели, я бы не говорил, у меня ни один знакомый сам с маршрутами не разобрался (кстати, среди них начальник-админ с одной из моих прошлых работ, хе-хе, у него провайдер «теленет» был и он сам настроить не смог себе роутер, причём там просто PPTP был доступ(там шлюз был вне подсети, винда создаёт маршрут по-умолчанию автоматически, а вот тот роутер нет))
3.3. ну да =)))
4. ну вот видите, значит свитчи access уровня дороже надо иметь, что опять возвращает нас к вопросу о дешевизне dual access решений
5. это для человека с достаточным багажом знаний «один раз настроил», для обычного человека это целая эпопея
Ну почти буквально в мой адрес звучала нота некомпетентности, я не поддержал троллинг и согласился :)
Я извинился чуть ниже в комментариях, просто что-то я разгорячился увидев такую тему интересную =).
Ещё раз извините меня.
В общем я понял почему вы пошли на такой тип подключения (на мой взгляд, это всё равно недостаточно оправдано в долгосрочной перспективе, ибо затраты на железо обычно меньше чем на персонал), но чтобы дальше дискуссировать, мне надо больше знать о «внутренней кухне»… (((
3.1. Значит он не достаточно квалифицированный ИТшник, не смотря на должность.
4. Они максимально дешевые, поверьте.
5. Ну вы настроили вашему другу dir-*** н-р, зачем он полезет его перенастраивать?
Да ничего страшного…
4. Они максимально дешевые, поверьте.
5. Ну вы настроили вашему другу dir-*** н-р, зачем он полезет его перенастраивать?
Да ничего страшного…
Прошу прощения за вклинивание, но тут беседа очень интересная и затрагивает мою область работы.
Начну с того что я работаю у провайдера.
Продолжу тем что мы намеренно отказались от dual access так как пользователи начали генерировать тонны трафика которые забивали сеть, а зачем нас трафик межабонентский внутри сети когда они могут обмениваться информацией через BRAS. Свитчи access уровня используем D-Link DES-3528, Distribution — DGS-3100-24TG ну а Core естественно Cisco C3750. В роли BRAS выступает Cisco ASR 1002. Бед не знаем!.. А когда был dual access с pppoe это был кошмар! Забивались аплинки, забиваались «молотилки» (Distribution уровень).
ИМХО pppoe PROFIT!
Есть у нас в городе провайдер Мультинекс (ныне МТС) использует 802.1x авторизацию, мало того что 90% SOHO маршрутизаторов не работают с ним из коробки, у них ещё и всё сеть порой еле ворочается, хотя у МТС-а думаю денег на нормальное оборудование достаточно.
Начну с того что я работаю у провайдера.
Продолжу тем что мы намеренно отказались от dual access так как пользователи начали генерировать тонны трафика которые забивали сеть, а зачем нас трафик межабонентский внутри сети когда они могут обмениваться информацией через BRAS. Свитчи access уровня используем D-Link DES-3528, Distribution — DGS-3100-24TG ну а Core естественно Cisco C3750. В роли BRAS выступает Cisco ASR 1002. Бед не знаем!.. А когда был dual access с pppoe это был кошмар! Забивались аплинки, забиваались «молотилки» (Distribution уровень).
ИМХО pppoe PROFIT!
Есть у нас в городе провайдер Мультинекс (ныне МТС) использует 802.1x авторизацию, мало того что 90% SOHO маршрутизаторов не работают с ним из коробки, у них ещё и всё сеть порой еле ворочается, хотя у МТС-а думаю денег на нормальное оборудование достаточно.
Зачем вообще *TP и PPPoE?
Мне как админу много удобнее админить Ethernet нежели какую либо инкапсулированную дрянь, будь то L2TP, PPPoE или IPoIB.
Мне как пользователю удобнее иметь чистый Ethernet с DHCP. Воткнул — работает. Какие настройки?! Вы серьёзно думаете, что чистый Ethernet для пользователя сложнее PPPoE?
1. Вообще не понял точку зрения. Либо вы очень богатый, что можете ставить железо Core уровня на дистрибьюцию, либо не сталкивались с такими объёмами трафика когда железа Destribution уровня перестаёт хватать.
2. Все свободные порты должны быть в пустом vlan'е или погашены. ARP replies разрешены только с ip выданного dhcp'ой. MAC разрешён только один. Итого если кто-то подключится в свитч посидеть нахаляву, то нужно будет выдернуть живого абонента. Тот в свою очередь позвонит в ТП и к кому-то придёт МВД.
3. А вы?
3.1
— Зачем dual-access? Выкиньте всю инкапсуляцию нафиг.
— Да. Вставить шнур в нужную дырку это сложно. DHCP изобрели уже давно.
— Чистый ethernet грузит маршрутизатор много меньше PPPoE. Получите ваши же аргументы против вас самих.
— DHCP
3.2 ,3.3, 4. втопку dual access, втоооопку.
Мне как админу много удобнее админить Ethernet нежели какую либо инкапсулированную дрянь, будь то L2TP, PPPoE или IPoIB.
Мне как пользователю удобнее иметь чистый Ethernet с DHCP. Воткнул — работает. Какие настройки?! Вы серьёзно думаете, что чистый Ethernet для пользователя сложнее PPPoE?
1. Вообще не понял точку зрения. Либо вы очень богатый, что можете ставить железо Core уровня на дистрибьюцию, либо не сталкивались с такими объёмами трафика когда железа Destribution уровня перестаёт хватать.
2. Все свободные порты должны быть в пустом vlan'е или погашены. ARP replies разрешены только с ip выданного dhcp'ой. MAC разрешён только один. Итого если кто-то подключится в свитч посидеть нахаляву, то нужно будет выдернуть живого абонента. Тот в свою очередь позвонит в ТП и к кому-то придёт МВД.
3. А вы?
3.1
— Зачем dual-access? Выкиньте всю инкапсуляцию нафиг.
— Да. Вставить шнур в нужную дырку это сложно. DHCP изобрели уже давно.
— Чистый ethernet грузит маршрутизатор много меньше PPPoE. Получите ваши же аргументы против вас самих.
— DHCP
3.2 ,3.3, 4. втопку dual access, втоооопку.
Breaker, а вы сами не планируете уходить от PPTP? )
Уже многократко отвечали: pppoe у нас не будет. Я сейчас курю в сторону 82+ipv6 и параллельно pptp как архаизм :)
И ненадо пппое никакое! Долой все тунели! Хочу чистый ип!
IPSec
правда, у АЕЗДа он может выродиться в IPSEX — когда их тель-авидение перестаёт показывать из-за того что их DHCP сервер выдал клиенту другой IP, а их собственная программа не может перенастроить SAP на новый ойпишнег
правда, у АЕЗДа он может выродиться в IPSEX — когда их тель-авидение перестаёт показывать из-за того что их DHCP сервер выдал клиенту другой IP, а их собственная программа не может перенастроить SAP на новый ойпишнег
Мы и так имеем двойные тарифы локалка + инет. Сервер с процессором dual core 3GHz может держать порядка 1000 pppoe сессий. IPTV тоже в это дело должен отлично вписаться (планов продажи IPTV отдельно от интернета нет).
Думаю стоит топик перенсти, из телекома в сетевые технологии.
D-link… Нет, спасибо, лучше на access Zyxel.
Полностью согласен. На зексель, в отличии от длинка нареканий практически нет. Хотя и он по удобству сильно уступает тем же HP.
Тогда уж лучше б/у Catalyst 2950 по $100 за 24 порта.
он ущербен по функционалу для аксесса: н-р отсутствие контент фильтра (uTP или как в топике — защита от ложных pppoe), не очень помню как там с QoS, и есть трудности с mstp.
Забыл: объемы поставок. Вопросом не задавался, но я думаю 100 штук каждые 2 недели сложно найти.
К выше сказанным минусам добавлю отсутствие комбо портов. Конечно можно поставить конвертер костылем, но это удорожание свитча еще на 1,5к рублей. А так отличный свитч, вполне юзабелен, в сетях не провайдерских, а скажем внутри организации, настоятельно рекомендую.
DES-3526 в количестве нескольких тысяч. Требуют редкого внимания, со своими задачами справляются. Учитывая объемы — выгода значимая.
на одном популярном у провайдеров форуме есть замечательная тема — «свичи доступа».
Почитайте на досуге и посмотрите статистику голосования :)
Почитайте на досуге и посмотрите статистику голосования :)
Неплохо. Ждать продолжение про distribution и core уровнях?
Чем вас пугает бродкаст от клиента? Если у вас на акссесе стоят 8 портовые свитчи, вы можете выделять /28 сеть на свитч + dhcp. Думаете сеть сильно пострадает? В любом случае если за абонентом сетка на 100 машин, то он поставит роутер.
хорошая статья, ждем про distrubution и core уровни.
Незнаю, как у вас, но в свое время мы отказались от использования DES-3200-10. Постоянные проблемы с данной моделью, просто не давали работать. Флуд с порта самая любимая их болезнь.
По поводу настройки лупов. Если 9 порт входящий, то на 10 порту я все таки повесил бы лупдетект.
По поводу настройки лупов. Если 9 порт входящий, то на 10 порту я все таки повесил бы лупдетект.
кстати, а почему у вас в distribution layer стоит значок не свитча, а роутера?
Сдается мне, что правило в ACL с profile_id 2 не будет работать вообще, т.к. первым правилом вы разрешаете все пакеты с ethertype 0x8663, а документация говорит так:
И еще несколько замечаний:
1. Один VLAN на всех пользователей… Неужели еще не было проблем с хэшами? Думается как-только появится мультикаст, вам придется применять схему vlan на свитч… Включите опцию enable flood_fdb и настройте трапы, хоть увидите сколько конфликтов будет;
2. Не плохо бы включить tarffic segemntation, что бы пользователи гарантировано не видели друг-друга в пределах одного коммутатора: config traffic_segmentation 1-8 forward_list 9-10.
Вот такие ACL у меня (по материалам форумов nag.ru и dlink.ru, а так же личной переписки с саппортом d-link'а)
Применив такие правила и встав на клиентский порт wireshark'ом, вы не увидите ничего кроме PADI (у меня кольца, а d-link может только входящий на порт трафик блокировать), так же не дадите лазить по виндовым шарам при установленной pppoe-сессии.
A lower profile_id gives the rule a higher priority. In case of a
conflict in the rules entered for different profiles, the rule with the highest priority (lowest profile_id) will take precedence.
И еще несколько замечаний:
1. Один VLAN на всех пользователей… Неужели еще не было проблем с хэшами? Думается как-только появится мультикаст, вам придется применять схему vlan на свитч… Включите опцию enable flood_fdb и настройте трапы, хоть увидите сколько конфликтов будет;
2. Не плохо бы включить tarffic segemntation, что бы пользователи гарантировано не видели друг-друга в пределах одного коммутатора: config traffic_segmentation 1-8 forward_list 9-10.
Вот такие ACL у меня (по материалам форумов nag.ru и dlink.ru, а так же личной переписки с саппортом d-link'а)
## CPU Filter
delete cpu access_profile profile_id 1
## — Deny Multicast traffic
create cpu access_profile profile_id 1 ip destination_ip_mask 240.0.0.0
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 224.0.0.0 port 1-28 deny
enable cpu_interface_filtering
## ACL
delete access_profile all
## — Deny clients with BRAS MAC's
create access_profile ethernet source_mac FF-FF-FF-FF-FF-00 profile_id 1
config access_profile profile_id 1 add access_id auto_assign ethernet source_mac 00-18-82-AD-34-00 port 1-24 deny
## — Deny fake PPPoE Servers on clients ports
## — PPPoE Discovery (0x8863) + Active Discovery Offer (PADO) (0x07)
create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff00ff profile_id 2
config access_profile profile_id 2 add access_id auto_assign packet_content offset 12 0x88630007 port 1-24 deny
## — Deny PPPoE Session (0x8864) + Protocol IP (0x0021),
## — Version 4 + Destination port 135,137,138,139,445
create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff0000 offset_16-31 0x0 0xfffff000 0x0 0x0 offset_32-47 0x0 0x0 0x0 0xffff0000 profile_id 3
config access_profile profile_id 3 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x00870000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x00890000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x008a0000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x008b0000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x01bd0000 port 1-28 deny
## — Deny PPPoE Session (0x8864) + Protocol IP (0x0021), Version 4 + Protocol: TCP (0x06), UDP (0x11) +
## — Destination port TCP/53, UDP/67, UDP/1900, TCP/2869
create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff0000 offset_16-31 0x0 0xfffff000 0x00000000 0x000000ff offset_32-47 0x0 0x0 0x0 0xffff0000 profile_id 4
config access_profile profile_id 4 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 28 0x00000006 offset 44 0x00350000 port 1-28 deny
config access_profile profile_id 4 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 28 0x00000011 offset 44 0x00430000 port 1-28 deny
config access_profile profile_id 4 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 28 0x00000011 offset 44 0x076c0000 port 1-28 deny
config access_profile profile_id 4 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 28 0x00000006 offset 44 0x0b350000 port 1-28 deny
## — Permit EtherType PPPoE Discovery (0x8863), PPPoE Session (0x8864)
create access_profile ethernet ethernet_type profile_id 5
config access_profile profile_id 5 add access_id auto_assign ethernet ethernet_type 0x8863 port 1-28 permit
config access_profile profile_id 5 add access_id auto_assign ethernet ethernet_type 0x8864 port 1-28 permit
## — Deny broadcasts
create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 6
config access_profile profile_id 6 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-24 deny
## — Deny IPv6 EtherType
create access_profile ethernet ethernet_type profile_id 7
config access_profile profile_id 7 add access_id auto_assign ethernet ethernet_type 0x86dd port 1-28 deny
## — Deny all
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 8
config access_profile profile_id 8 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port 1-24 deny
## — Other
config traffic control 1-24 broadcast enable multicast enable unicast disable action drop threshold 64 countdown 0 time_interval 5
config filter dhcp_server ports 1-24 state enable
config traffic_segmentation 1-24 forward_list 25-28
enable flood_fdb
Применив такие правила и встав на клиентский порт wireshark'ом, вы не увидите ничего кроме PADI (у меня кольца, а d-link может только входящий на порт трафик блокировать), так же не дадите лазить по виндовым шарам при установленной pppoe-сессии.
Забыл добавить, эти ACL для DES-3028.
фильтровать netbios/прочую хрень на акцесе не нужно, лучше пусть это будет в distribution, а пользователи ограничатся traffic_segmentation. Секурность не пострадает, зато значительно упростится конфигурирование/сопровождение.
При звезде — да, но у меня кольца. И я не хочу, что бы в пределах одного кольца пользователи шарились там, где их не ждут.
а причем тут кольца? У вас один акцесс подключен к нескольким distribution?
Во-первых, один access всегда должен быть подключен к нескольким distribution.
А во-вторых, есть MetroEthernet, где все намного интереснее.
Фильтровать надо на аксессе.
А во-вторых, есть MetroEthernet, где все намного интереснее.
Фильтровать надо на аксессе.
это в теории, в реальной жизни вам никто не даст тянуть несколько волокон из разных веток на каждый дом. Опять-таки, мы говорим о провайдинге, т.е. о SP, а не о локальной сети предприятия. В случае с большим предприятием это обосновано и оправдано, а вот в случае с SP в этом нет никакого смысла — стоит это слишком больших денег, а при той конкуренции в нашей отрасли это не окупится никогда. Никто не оценит надежность связи, т.к. пользователи смотрят далеко не на это.
Это у вас провайдинг какой-то мелкий просто :-) Гляньте мой коммент чуть ниже:
habrahabr.ru/blogs/network_technologies/123038/?reply_to=4033660#comment_4033660
habrahabr.ru/blogs/network_technologies/123038/?reply_to=4033660#comment_4033660
а мы точно о метроэзернете говорим? :)
Ну, в данном конкретном случае мы говорим про «тянуть несколько волокон из разных веток на каждый дом» :-) ME свичи там используются на уровне аггрегации.
«ME свитчи» — это вышеописанные вами с4506? А что же тогда на акцессе? DSLAM? PON (который вообще принудительно деревянный)? Просто непонятен пассаж про «несколько волокон в каждый дом».
«деревянный» — в смысле топологии «дерево» :)
Нет, 4506 там в качестве access выступают, а aggregation — это ME 4924.
Как аксесс девайсы — да — использовались и DSLAM, и GPON, а помимо этого еще и эзернет на Хуавей, но лично я там имел дело только с цисками.
Сам оператор находится в одной из жарких и богатых арабских стран, и телекоммуникационный рынок там развит очень хорошо. Потому на один дом мог выделяться как один свич 4506, так и несколько, а на бизнес-центр — даже пара 4924 со всеми ее «кольцами» из 4506. На самый большой из небоскреб выделялась даже отдельная пара PE роутеров со всеми причитающимися ей парами ME и access свичей :-)
Сама архитектура, как видите, очень надежна и расширяема. Кстати, точно такую же я видул у одного уже американского оператора из Tier1, и мне рассказывали, что такая же — у одного из крупных украинских. Количество портов на PE роутере определяет количество ME пар, которые можно на них повесить. Количество портов на ME свиче — количество access колец.
Скажем, для бизнес-заказчиков была такая услуга, как избыточный линк — к одному кастомеру подводилось два линка от разных access колец.
Много там всякого интересного, в общем :-)
Как аксесс девайсы — да — использовались и DSLAM, и GPON, а помимо этого еще и эзернет на Хуавей, но лично я там имел дело только с цисками.
Сам оператор находится в одной из жарких и богатых арабских стран, и телекоммуникационный рынок там развит очень хорошо. Потому на один дом мог выделяться как один свич 4506, так и несколько, а на бизнес-центр — даже пара 4924 со всеми ее «кольцами» из 4506. На самый большой из небоскреб выделялась даже отдельная пара PE роутеров со всеми причитающимися ей парами ME и access свичей :-)
Сама архитектура, как видите, очень надежна и расширяема. Кстати, точно такую же я видул у одного уже американского оператора из Tier1, и мне рассказывали, что такая же — у одного из крупных украинских. Количество портов на PE роутере определяет количество ME пар, которые можно на них повесить. Количество портов на ME свиче — количество access колец.
Скажем, для бизнес-заказчиков была такая услуга, как избыточный линк — к одному кастомеру подводилось два линка от разных access колец.
Много там всякого интересного, в общем :-)
более того, даже в пределах одного свитча они никуда не полезут — traffic segmentation же.
Я правильно понял, что у вас маки bras серверов ручками выставлены, чтобы укладываться в нужный диапазон?
И почему TCP 53 режете? Насколько помню, нормальная ситуация, когда DNS сервер работает по TCP, редкая, но ничему не противоречит.
Не проще ли фильтровать IP,TCP,UDP на BRAS а не на свитчах?
Зачем запрещать IPv6?
И почему TCP 53 режете? Насколько помню, нормальная ситуация, когда DNS сервер работает по TCP, редкая, но ничему не противоречит.
Не проще ли фильтровать IP,TCP,UDP на BRAS а не на свитчах?
Зачем запрещать IPv6?
Оффтоп, но наболело просто. Прошу совета, так как слабо разбираюсь в вопросе. Проблема — подтормаживание и просто медленная скорость на ютубе и других видеохостингах. Канал заявленный провайдером — 12Мб в обе стороны. На торрентах примерно такая скорость и есть. Сеть — домовая. Доступ — PPPoE. Кто виноват и как аргументированно достучаться до техподдержки?
Попробуйте посмотреть видео в районе четырех-шести часов утра, в часы наименьшей загрузки. Если все хорошо, то большая вероятность того, что у ISP перегружены аплинки…
Да, ночью немного пошустрее все бегает, но все равно после начального рывка секунд на 30 все стопорится, и лишь через пару минут начинает с черепашьей скоростью догружать поток.
Это гнется оборудование у прова, которое шейпит трафик.
То есть, выход один — менять прова?
можно попробовать с тех. поддержкой пободаться. соберите статистику (пинг до того же youtube в разное время как меняется, посмотрите через WinMTR где именно возникают задержки). Еще вариант — если у вас есть маршрутизатор, то подключите вместо него напрямую компьютер (проверенный до этого на вирусы) и посмотрите будут ли тормоза без маршрутизатора. Если пинг стабильно большой, узлы провайдера вносят ощутимую задержку, и компьютер пролечен от вирусов — меняйте провайдера.
Это нормально. Этот рывок делает сам youtube. Я такое видел на всех провайдерах.
elcamlost
В сети доступа вашей компании каким-либо образом реализуется защита от кабельного вандализма?
В сети доступа вашей компании каким-либо образом реализуется защита от кабельного вандализма?
А QoS не настраиваете? 1 Гбит на коробку, и включение абонентов на 100 Мбит без qos как то грустно.
И как у вас реализована схема отключения абонента при минусе на балансе?
В остальном исключая PPPoE чисто тебе схема Триолана :). Разве что они все таки DHCP option 82 используют.
И как у вас реализована схема отключения абонента при минусе на балансе?
В остальном исключая PPPoE чисто тебе схема Триолана :). Разве что они все таки DHCP option 82 используют.
А все-таки, зачем PPPoE? Неужели 4094 (за вычетом пары зарезервированных) ВЛАН-ов недостаточно на одну пару aggregation устройств?
Сосед поломает коробку, поставит свой роутер, и ты уже пользуешься интернетом не один. Большинство смертных это никогда и не заметят.
когда я пришел работать, PPPoE уже был. Менять что-то — это дополнительные затраты финансов, времени тех. отдела (мы увы маленький провайдер, и этот ресурс критичен) и даже при тщательном планировании наверняка создаст проблемы для клиентов. Поскольку на настоящий момент сеть работает и сбоев, связанных с именно такой схемой построения сети нет, мы стараемся улучшить то, что есть. В будущем, конечно, придется переходить на более современные решения, но мне это будущее (именно в рамках работы нашей компании) кажется довольно далеким.
Ясно. Понимаю.
Если интересно, могу как-нибудь описать схему distribution-access сети, принятую в крупных провайдерах на примере нескольких заграничных. Выглядит вот так:
В двух словах: там на distribution уровне свичи 3 уровня проводят маршрутизацию между VLAN-ами и PE роутерами. Непосредственно до PE роутеров пробрасываюся только те VLAN-ы, которые нужны для Layer 2/3 (в вашем случае некий аналог PE роутеру был бы core switch). Получаем в итоге отдельный домен VLAN-ов на каждую пару PE роутеров и aggregation свичей.
Если интересно, могу как-нибудь описать схему distribution-access сети, принятую в крупных провайдерах на примере нескольких заграничных. Выглядит вот так:
В двух словах: там на distribution уровне свичи 3 уровня проводят маршрутизацию между VLAN-ами и PE роутерами. Непосредственно до PE роутеров пробрасываюся только те VLAN-ы, которые нужны для Layer 2/3 (в вашем случае некий аналог PE роутеру был бы core switch). Получаем в итоге отдельный домен VLAN-ов на каждую пару PE роутеров и aggregation свичей.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Настройка свитчей уровня доступа в сети провайдера