29 июня 2011 в 19:06

Настройка свитчей уровня доступа в сети провайдера из песочницы

В статье я расскажу о том, как мы (небольшой региональный провайдер) настраиваем коммутаторы уровня доступа.

В начале, кратко пробежимся по тому, что такое иерархическая модель построения сети, какие функции рекомендуют вешать на каждый ее уровень и как именно устроена сеть, на примере которой я буду излагать настройку свитча. Ну и затем настроим свитч исходя из предложенных требований.

Иерархическая модель построения сети

image
И так, в иерархической модели построения сети коммутации выделяют три уровня — уровень доступа (access layer), уровень агрегации (distibution layer) и уровень ядра (core layer). Деление на уровни позволяет добиться большей легкости в обращении с сетью: упрощается мастшабируемость сети, легче настраивать устройства, легче вводить избыточность, проектировать сеть и тому подобное.

От каждого уровня требуется определенный набор функций, так на access уровне (в сети провайдера) от устройств требуется
  • Подключение конечных пользователей на 100 Мбит/сек
  • Подключение (желательно через SFP) к коммутатору distribution уровня на 1 Гбит/сек
  • Поддержка VLAN
  • Поддержка port security
  • Поддержка acl
  • Поддержка других функций безопасности (loopback detection, storm control, bpdu filtering и прочее)


Применительно к сети провайдера получается следующая картина:

  • Жилой дом — свитч access уровня
  • Микрорайон — свитч distribution уровня, к нему подключаем отдельные дома
  • ЦОД — свитч core уровня, к нему подключаем отдельные микрорайоны


На ditribtution уровне и, тем более, на core уровне, как правило работают продвинутые коммутаторы Cisco и/или Juniper, но на access уровень приходится ставить более дешевые железки. Как правило это D-Link (или Linksys или Planet).

Пара слов об устройстве сети

И так, с уровнем доступа в первом приближении, разобрались, теперь, прежде чем переходить к непосредственно настройке коммутатора, несколько слов о том, как устроена сеть, в которой коммутатору предстоит работать.

Во-первых, мы не используем VLAN per user. Сеть достаточно старая и начинала строиться во времена, когда Q-in-Q еще не был стандартом, так что большая часть старого оборудования двойное тегирование не поддерживает.
Во-вторых, мы использует PPPoE. И не используем DHCP. То есть клиент получает один белый адрес, через PPP протокол, домашняя сеть отсутствует как класс.
В-третьих, все коммутаторы живут в отдельном, выделенном только для них VLAN, все домашние PPPoE клиенты также живут в одном VLAN'е.

Настройка коммутатора

В качестве подопытного свитча я буду использовать D-Link DES-3200-10, поскольку
  1. В нашем городе легче всего покупать именно D-Link, поэтому этой марке отдано предпочтение перед Planet, Linksys и прочими конкурентами
  2. Этот коммутатор обладает всем нужным нам функционалом


И так, поехали. Все команды приведены для означенной выше модели D-Link, впрочем не составит никакого труда проделать все то же самое и на устройстве другого вендора.

Исходя из вышеприведенных требований к коммутатору уровня доступа, сформулируем, что именно мы хотим на нем настроить и сделаем это.

И так, на необходимо…

Создать два VLAN, один для клиентов, другой для управления коммутатором и назначить их на порты свитча. 100 мегбитные порты — клиентские, гигабитные порты — аплинки.
create vlan USER tag 2
create vlan MANAGEMENT tag 3
config vlan USER add untagged 1-8
config vlan USER add tagged 9-10
config vlan MANAGEMENT add tagged 9-10

Настроить port security, запретив более одного mac адреса на порту (таким образом мы боремся с нежелательной и потенциально опасной ситуацией, когда клиент подключает в сеть провайдера не маршрутизатор, а коммутатор, сливая бродакстовый домен своей домашней сети с бродкастовым доменом провайдера)
config port_security ports 1-8 admin_state enable max_learning_addr 1 lock_address_mode DeleteOnTimeout

Запретить STP на клиентских портах, чтобы пользователи не могли гадить в сеть провайдера BPDU пакетами
config stp version rstp
config stp ports 1-8 fbpdu disable state disable

Настроить loopback detection, чтобы 1) глючные сетевые карточки, которые отражают пакеты обратно и 2) пользователи, создавшие в своей квартире кольца на втором уровне не мешали работе сети
enable loopdetect
config loopdetect recover_timer 1800
config loopdetect interval 10
config loopdetect ports 1-8 state enable
config loopdetect ports 9-10 state disable

Создать acl, который запретит прохождение не PPPoE пакетов в USER vlan'е (блокируем DHCP, IP, ARP и все остальные ненужные протоколы, которые позволят пользователям общаться напрямую между собой, игнорируя PPPoE сервер).
create access_profile ethernet vlan 0xFFF ethernet_type profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet vlan USER ethernet_type 0x8863 port 1-10 permit
config access_profile profile_id 1 add access_id 2 ethernet vlan USER ethernet_type 0x8864 port 1-10 permit
config access_profile profile_id 1 add access_id 3 ethernet vlan USER port 1-10 deny

Создать ACL, который запретит PPPoE PADO пакеты с клиентских портов (блокируем поддельные PPPoE сервера).
create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l3 0 0xFF profile_id 2
config access_profile profile_id 2 add access_id 1 packet_content offset1 0x8863 offset2 0x0007 port 1-8 deny

И, наконец, включить STORM Control для борьбы с бродкастовыми и мультикастовыми флудами. Может показаться, что мы уже решили эту проблему, запретив не PPPoE трафик, однако есть но. В PPPoE первый запрос (на поиск PPPoE сервера) отсылается бродкастом, и если оборудование клиента в силу глюка, вируса или иных причин, посылает такие запросы интенсивно, это вполне может вывести сеть из строя.
config traffic control 1-8 broadcast enable multicast enable action drop threshold 64 countdown 5 time_interval 5


Таким образом, мы решаем многие проблемы, присущие плоской сети — поддельные DHCP и PPPoE сервера (зачастую многие включают такие вещи ненамеренно, а по не знанию, то есть злого умысла нет, но работать другим клиентам мешают), бродкастовые штормы, глючные сетевые карточки и прочее.
Илья Рассадин @elcamlost
карма
11,0
рейтинг 0,0
Perl разработчик, системный администратор
Самое читаемое Администрирование

Комментарии (141)

  • 0
    Если с помощью ACL запрещается весь не PPPoE трафик от клиентов, откуда возьмутся «бродкастовые и мультикастовые флуды»? Включение Storm Control избыточно?
    • +1
      Соглашусь, на первый взгляд может показаться, что storm control избыточен.

      С другой стороны, вполне вероятно (и были такие случаи), когда клиент флудит именно PPPoE запросами (PADI), именно против них и работает storm control.

      Поправил статью, отразив это замечание.
      • +1
        multicast да, избыточен.
      • 0
        Теперь понятно.
  • +1
    окей, а как на счёт IPTV и других прелестей жизни?
    … да, это ж сколько интерфейсов то потом на PPPoE сервере…
    • +1
      а IPTV мы пока не внедрили. В июле запустим этот процесс.

      PPPoE сервер держит порядка 800 сессий, с загрузкой интерфейса порядка 500 Мбит/сек
      • 0
        Вот так новость. У нетиса будет IPTV!
        Отличная контора должен сказать, как юрик и как физик претензий не имел ни разу.
      • 0
        Коллеги, как ваше ничего?
        Как с внедрением IPTV?
        • 0
          Дак внедрили. Осталось кое что дошлифовать конечно, но уже работает.
  • 0
    Всё-таки интересно что стоит в CORE и в Distribution уровне…
    Можно в ПМ чтобы не сочли за рекламу.

    Да, кстате… трафик режется тоже на этой же железке?
    • +1
      catalyst 3550 — distribute
      catalyst3560e,catalyst4506 — core

      трафик режется на PPPoE серверах, в роли которых выступают двхуъядерные x86.
      • 0
        А расскажите как вы их роскомнадзору сдавали?
        • 0
          Я имел в виду PPPoE-сервера на x86
  • +1
    Статья про настройку коммутатора от D-Link? У них на сайте не такая уж и плохая документация, кстати ;).
    • +2
      Статья про то, какой функционал на мой взгляд надо включать на access свитчах в домовой сети. D-Link просто взят как пример, чтобы не быть голословным. Почему именно D-Link — я указал в статье.

      Для разнообразия, если это кому то интересно, могу рассказать как эта же идеология реализована на PLANET свитчах.
      • 0
        а 8 портов на дом — это как-то совсем стыдно, кстати :)
        • +1
          для 24х портового свитча схема отличаться не будет, так что не понял придирки.
          А вообще оборудование ставим так
          сначала 10 портовый, потом 2 десятипортовых, потом меняем их на 28 портовый, и так далее.
      • 0
        acl жрет процессор. Попробуйте пофильтровать трафик, когда у человека тариф 100Мбит/c.
  • +3
    когда от pppoe, планируете уходить?
    • 0
      не планируем. А зачем от него уходить?
      • +2
        Н-р затем чтобы разгрузить сеть и оптимизировать маршруты трафика.
        Используя чистый l2(фильтруя только штормы+dhcp 82)+vpn вы снизите нагрузку на сервера за счет локального трафика. Также это позволит пользователям лично держать сервера а-ля игровых, торрентов и т.п., что будет дополнительным стимулом при выборе вас, как провайдера.
        Шейпить можно будет и на порту и на сервере, имея «двойные» тарифы (локалка и инет). +ИПТВ.
        • 0
          Всегда хотел собрать всех таких деятелей на одном корабле и затопить их, нафиг…

          1. Это совместит core + distribution уровень и перенесёт большую часть нагрузки туда, что несколько децентрализует архитектуру и вообще это не очень логично
          2. Позволит любому человеку без авторизации попасть в эту внутреннюю сеть (тупо воткнувшись в свитч access уровня в любой порт) и попытаться провести man in the middle атаку, либо пофлудить, либо что-нибудь ещё
          3. А о клиентах вы подумали?
          3.1. Не секрет что у постоянно увеличивающегося количества людей сейчас по нескольку устройств которые могут пользоватся интернетом, соответственно возникает необходимость в покупке маршрутизатора, и тут-то эти уродские решения а-ля dual access проявляют себя целиком и полностью:
          — не все маршрутизаторы поддерживают dual access
          — ни один пользователь, что я знаю, не смог настроить маршрутизатор с таким видом подключения сам (куча статических маршрутов для локальных ресурсов, которые обновляются вручную, редко программами; непонимание самого процесса как происходит подключение и ещё ВАША тех. поддержка часто сама не может помочь)
          — из-за подобного рода решений СИЛЬНЕЕ нагружаются маршрутизаторы пользователей у них нестабильная или медленная связь (что очень плохо сказывается на имидже провайдера, хотя он как бы и не виноват) и большинство пользователей будут покупать самые дешёвые(!!) маршрутизаторы, ибо до подключения интернета они не могут оценить нагрузку
          — да и вообще маршрутизацией должен заниматься провайдер а не пользователь
          3.2. исходя из выше указанных проблем очень сильно возрастёт нагрузка на техподдержку, кстати, у нас в Самаре постоянно ожидать при звонке в основном у провайдеров с dual access
          3.3. у меня у самого есть выбор из более выгодных провайдеров, но из-за их dual access я на них переходить не буду, ибо у меня linksys wrt610n, покупать новые железки я не хочу, а на dd-wrt времени нет
          4. Про шейпинг фигня написана( при PPPoE всё так же шейпится и двойные тарифы можно делать, хоть тройные), про локальный траффик тоже фигня (также можно маршрутами (на оборудовании провайдера, где есть системные администраторы, а не у пользователей) завернуть куда надо)
          5. Да и не особо понятно где экономия или удобство, опишите пожалуйста поподробнее

          В общем, я считаю что dual access — удел провайдеров, которые нанимают неквалифицированных системных администраторов для планирования инфраструктуры сети.
          • –1
            Согласен, за исключением «неквалифицированных системных администраторов», тут дело не всегда в этом, есть бизнес план, есть коммерческий отдел и куча других структур, которые уже выбрали из предложенных вариантов. Этот самый dual access это самый простой и дешевый способ предоставить интернет, авторизовать пользователя можно даже на тупом свитче и при этом не грузить BRAS локальным трафиком. pptp сервер поднимается на любом писюшнике, готового софта завались, а вот соорудить авторизацию через opt82 это может быть долго и дорого.
            • 0
              У нас работала и работает 82 опция. Человек допилил за пару месяцев, в одного, включая патчи к bind. Нагрузка — ~5000 онлайн, сейчас видимо больше, полгода уже как там не работаю, не знаю.
              • –1
                Вот о чем и речь, а пптп ставится за 15 минут уже отточенная технология.
                С opt82 готовых решения «из коробки» нету и каждый пилит как хочет.

                ПС: А зачем патчить бинд? )
                • –1
                  Вернее готовые решения есть, ISG и прочее реализованное в железе, но это уже вопрос к стоимости)
            • 0
              Про «неквалифицированных системных администраторов» я несколько погорячился, извиняюсь если кого-то задел, просто меня сводят с ума толпы друзей и родственников кому надо роутеры настраивать (очень часто провайдеры им с этим не могут СОВСЕМ помочь).

              Про дешевизну способа я ничего объективного сказать не смогу…

              По поводу простоты я написал выше, PPPoE легче внедрять и система получается проще и меньше головной боли с клиентами (а она будет!!!). PPPoE сервер тоже на любом писишнике поднимается, с любыми распространёнными серверными ОС. Софт для биллинга будет тот же.

              По поводу авторизации DHCP, можно адрес из внутренней подсети провайдера выставить вручную, что может привести к конфликтам (а на некоторых роутерах приходится делать именно так).

              Опять же внутренняя локальная сеть способствует распространению вирусов и позволяет неконтролируемый прямой взлом других клиентов, что тоже не есть хорошо, да и о паразитном траффике завирусованных клиентов не стоит забывать.

              В любом случае, создавая проблемы для клиентов, вы много их к себе не заманите.
              • 0
                Но в некоторых случаях клиентов манит обширная высокоскоростная внутренняя сеть, чего нет у PPPoE.

                С pppoe тоже свои заморочки, это надо везде таскать за собой l2, серьезнее подходить к построению фильтров и т.п., возможно усложнение диагностики.

                В общем что pppoe что pptp два сапога пара, лишний тунель поверх эзернета совсем ненужен пользователю, гораздо удобнее воткнуть кабель в розетку и получить интернет. Эти технологии удобны в первую очередь провайдерам, а не клиентам )
                • 0
                  Эти технологии провайдерам нужны для управления услугами.
                  • 0
                    Вот-вот, но не пользователям, хотя у некоторых, при поднятии впн, создается чувство причастности и гордость за себя ))))
                  • –2
                    PPPoE лучше PPTP с любой точки зрения — и с клиентской и с админской
                    • 0
                      аргументируйте пожалуйста свои минусы.

                      я могу данное утверждение («PPPoE лучше!») подкрепить ссылками на авторитетные источники, т.е. правота его тем кто разбирается в вопросе ясна

                      ставите минус — изложите свою точку зрения

                      и тогда посмотрим чья версия сколько минусов наберёт
                      :-)
                • 0
                  Но в некоторых случаях клиентов манит обширная высокоскоростная внутренняя сеть, чего нет у PPPoE.
                  Тот же «дом.ру», есть у них всё это (и IPTV тоже) и работает отлично (у них PPPoE). И те кто туда подключились ко мне обычно не обращаются, да и тех. поддежку не мучают, и на пропускную способность не жалуются, хотя у вас цены дешевле на тарифы, т.е. на практике ваши клиенты должны быть довольнее.

                  В общем что pppoe что pptp два сапога пара, лишний тунель поверх эзернета совсем ненужен пользователю, гораздо удобнее воткнуть кабель в розетку и получить интернет. Эти технологии удобны в первую очередь провайдерам, а не клиентам )
                  Как ни странно в dual access и есть лишний туннель =), а туннель поверх езернета позволяет провайдеру игнорировать весь паразитирующий траффик, что очень благосклонно влияет на безопасность и не забивает каналы.

                  И воткнуть кабель и получить интернет не получиться при любом подключении.

                  Эти технологии удобны в первую очередь провайдерам, а не клиентам )
                  Суть моих опусов в том, что некоторые технологии могут быть неудобны клиентам.
                  • +2
                    Ниче не понял, вы хотите сказать, что клиентам неудобен чистый ипшник на эзернет интерфейсе?
                    Клиенту нравятся извраты с тунелями (pppoe/pptp/l2tp/etc)?
                    Я только за то, чтобы клиенту было удобнее, меня любые тунели раздражают =)

                    А какая скорость у ДОМ.ру в эту локалку? Неужели они стомегабит могут переварить через bras? Или же у них тотже дуал акссесс но только с пппое? Тогда это шило на мыло ))
                    • 0
                      я ниже вам ответил про это
                  • 0
                    >Тот же «дом.ру», есть у них всё это (и IPTV тоже)
                    Вы про какой регион говорите? У них же кабельное ТВ, IPTV нету?
              • 0
                Просто внедрять Ethernet. Всё остальное неуважение по отношению к пользователю.

                Опять же внутренняя локальная сеть способствует распространению вирусов

                А ещё распространению игр, музыки и фильмов. А если серьёзно, то локальная сеть не страшнее выделенного ip

                да и о паразитном траффике завирусованных клиентов не стоит забывать.

                Много меньше, чем трафик от торрентов и DC++
            • 0
              pptp на любом писюшнике — это для двух человек. А для десятков тысяч уже не айда.
              • +1
                У вас разве специализированная железка для терминации pptp? Простой писюшник имеется ввиду не циска/жунипер, а обычный x86, пусть и xeon c 8 ядрами ))
                • 0
                  Ну тогда да, но их много.
            • 0
              Ха-ха! Кстати, я почитал вашу информацию, вы из «аиста». Моему родному брату и нескольким друзьям отказали настроить роутер за деньги в вашей компании (то есть они сами предлагали: «давайте мы вам денег заплатим, только настройте»), мотивировав это тем что «нету системных администраторов для этого», причём речь шла не о цене вопроса, а о самой возможности. Плюс к этому, друзья (брату я помогал роутер выбирать) жалуются на скорость соединения (они взяли недорогие dir-300) и дозвониться с 1 раза в вашу компанию я не смог, т.е. чтобы позвонил и сразу ответили. А ещё, те у кого нет роутера, периодически меня пытаются доставать с подключением ноутбуков гостей и.т.п., которых я отшиваю и вроде бы это стоит у вас дополнительных денег (что любви не прибавляет).

              P.S. хотя по ценам и услугам у вас всё в порядке, так что переход на PPPoE и любовь юзеров вам обеспечена (шутко, я отлично понимаю что сейчас уже сложно вам кардинально менять что-либо)
              P.P.S. а ещё у меня есть друг у которого машрутизатор от cisco и там это двойное подключение очень специфично настраивается (что тоже на его отношение к вам повлияло)
              P.P.S. в общем компания у вас хорошая, но из-за dual access возникает много проблем на пустом месте, что не есть хорошо и портит отношение клиентов к вам.
              • 0
                И что из этого? Это политика компании значит, причем здесь то, как строиться сеть, о чем речь была выше?

                п.п.с: у меня тоже есть cisco :)
                п.п.п.с.: спасибо, но выше речь по сетестроительство.
                • 0
                  Да, надо было в личку написать… раззадорился я блин… (((
              • +1
                Тсс, без паники, мы совсем не из того отдела )))
                Вполне возможно что и нет такой услуги, как настройках роутеров, можно обратиться в техподдержку, в том чилсе и онлайн, или попросить проконсультировать по телефону относительно настроек роутера. А настроить роутер за деньги специально обученным человеком могут кучу разных контор в городе, для любого провайдера.
                • 0
                  Проблема всё равно решилась так или иначе… Просто я привёл пример сложностей которые получают клиенты и которых они, в принципе, могли бы избежать.
                  • 0
                    Мне коллеги подсказывают что АИСТ настраивает такие вещи… Для этого нужно оформить заявку в саппорте. За деньги.
                    • 0
                      Ну это было полгода назад, может быть с тех пор что-то изменилось, опять же, сравните:
                      1. пользователь по минимальной инструкции настраивает сам PPPoE подключение на роутере и получает интернет и ресурсы внутренней сети
                      2. пользователь по достаточно серьёзной инструкции пытается настроить dual access + маршруты чтобы работала внутреняя сеть

                      что проще?

                      по поводу второго пункта:

                      У меня есть друг, он достаточно опытный пользователь, даже представляет что такое «подсети». Он подключен к «Билайну». Купил роутер. Позвонил туда, ему сказали что это стоит 1,5 т.р. (по памяти говорю), он посчитал что это дорого, попросил меня помочь, я был занят, потому быстро нашёл ему инструкцию по настройке для его модели роутера (со скриншотами, именно для его модели роутера, именно для его провайдера), быстро ответил на некоторые вопросы и продолжил заниматься своими делами. Так вот, он сам свой роутер настроить не смог. То есть к интернету-то он подключился, а вот к хвалёной внутренней сети нет. Пришлось потом отвечать ему ещё на кучу вопросов и долго выяснять почему же он статические маршруты неправильно прописал.
                      • 0
                        PPPoE от PPTP в тех-же длинках отличается только на одну строчку, у пптп нужно указывать сервер, а у пппое нет, остальное все практически одинаково. Прописать маршруты, это вопервых не всем нужно, а во вторых делается опятьже двумя галочками и двумя полями, ничего сложного, особенно имея инструкцию. Уж незнаю, что у вас там за разбирающиеся в компьютерах люди ))

                        Лично как для пользователя по мне разницы нет, что пппое, что пптп, все одинаково плохо и неудобно в сравнении с чистым ип )
                        • 0
                          ну «plug and play» в сетях это утопия, авторизация всё равно нужна, либо какой-то однозначный способ подтверждения своей личности (понятный любому пользователю), так что этот вариант, с вашего позволения, рассматривать не будем =)
                          • 0
                            Почему еще утопия, DHCP opt82, авторизация по порту, ISG, тут все уже придумано давно и работоспособно, просто не внедряется в силу определенных причин.

                            Какой профит пользователю от авторизации через тунель и логин с паролем, когда у человека уже есть авторизация. Кабель включенный в нужный порт, который однозначно определяет к какому абоненту он идет.

                            Многие кстати практикуют еще авторизацию по MACу, удобнее в плане отсутствия тунелей, но есть другие нюансы.
                            • –2
                              Привязка по маку это вообще изврат. Одно дело на предприятии, чтобы гавнюк не завелся, но когда у тебя тысячи пользователей, у которых сохи, вай-фаи, свитч, куда воткнуто 5 компьютер/ноутбуков… Это утопия.
                              • 0
                                Согласен, ибо пока MACи можно менять на произвольный из настроек сетевой платы, будет очень много проблем с этим.

                                Хороший вариант авторизация через IEEE 802.1X, но это многие сохо-роутеры не умеют, может быть если придумают адаптеры для этого жизнь станет краше. Можно тогда будет давать пользователю настроенный адаптер и кабель, включил и заработало!
                            • –1
                              Как я уже писал выше, у меня в подъезде ящик сломан для оборудования провайдера, потому для того чтобы воткнуться вместо кого-нибудь, либо параллельно с кем то у меня проблем не возникнет ((( (я так делать конечно же не буду, но я знаю некоторое количество людей которые нахаляву пользуются телевидением по похожему принципу (они то и ломают эти ящики))
                              • +1
                                Неактивные порты провайдер может погасить.
                                Ограничить количество маков на порту до одного и проблема с параллельным подключением решена. Справедливости ради, если заниматься таким вандализмом, то пппое и пптп от этого не защищены тоже.
                          • 0
                            я бы не стал так утверждать:

                            Dynamic Configuration of IPv4 Link-Local Addresses
                            tools.ietf.org/html/rfc3927

                            en.wikipedia.org/wiki/Universal_Plug_and_Play
                            avahi.org/
                            www.apple.com/ru/macosx/technology/bonjour.html
                      • +1
                        Я понял к чему вы клоните, давайте разберемся, есть три варианта

                        1) Голый pppoe, маршруты прописывать ненужно, но и внутренняя сеть далеко на стомегабит.
                        2) Дуал аксесс с pppoe
                        3) Дуал аксесс с pptp
                        Так вот второй и третий варианты в настройках разницы никакой не имеют и настройка в них сложнее чем в первом варианте (если нужна внутренка), но эти два варианта обеспечивают максимальную скорость внутренней сети.

                        Вы сравниваете 1 вариант и 3, тут несомненно проще настраивается первый, но у него есть и описанный минус со скоростью.
                        • –1
                          Вы меня правильно поняли я сравниваю 1 и 3 способ.

                          При наличии должного оборудования и правильной настройке всё будет нормально. У меня дома провайдер «дом.ру»(у них PPPoE подключение, ещё раз напомню) внутренний трафик самое большое видел — 80мегабит реальных. CD образ убунты у меня чуть больше минуты качался через torrent. Передаю через скайп файлы знакомым в среднем со скоростью 20-40 мегабит (тариф у меня на 10 мегабит, у знакомых хз какие, но тоже домрушники), меня это более чем устраивает (и их тоже).

                          P.S. чтобы не считали что я пиарю дом.ру — компания сама по себе отвратительная:
                          — тех. поддержка хамит и проблемы решать не хочет
                          — 1 раз потеряли мою оплату долго с ними ругался
                          — самовольно могут переводить ваши деньги с разных услуг (есть строчка мелким шрифтом в договоре)
                          — общался с ними как юр.лицо — очень ушлые, попросили денег в разы больше чем конкуренты, причём менеджер знал что там присутствует провайдер, чьим каналом они сами пользуются
                          — они «сдают» клиентов властям (у них есть «шареман» внутренний торрент сервер, у меня пара знакомых имели из-за этого большие проблемы)

                          но у них есть плюс — очень хорошая скорость, просто подключаться и невысокие требования к роутеру
                          • +2
                            п.с.: чтобы не думали что я вообще кого пиарю или антипиарю — я пишу просто как человек, который когда-то где-то видел компьютер и какие-то провода с коробочками :) :)
                            • 0
                              Отмаз защитан )))
                          • +2
                            п.п.с.: они не могут не сдавать людей по запросу из полиции… Все сдают, таковы законы.
                            • 0
                              Я знаю, ну пусть хоть при скачивании этой программы напишут «не качайте порно,1с, продукцию microsoft, abbyy или autocad, вы будете автоматически виновны в распространении» (хотя может и пишут, я не знаю, не качал). А то некрасиво получается для тех кто не «в теме», они-то думают что просто скачивают, а оказывается ещё и распространяют и доказать это легко.
                              • 0
                                провайдер должен в вашем торренте/емуле/ДС поп-ап с предупреждением приделать чтоли? :)
                                • 0
                                  =)))) ну у них программа клиент своя, в ней могут

                                  У них есть на сайте предупреждение, правда в подвале, докуда никто не долистывает.

                                  Кстати, у них сайт хостится в Америке, потому они не обязаны предоставлять данные полицейским, хотя… может быть после некоторого количества исков они туда его и перевели…

                                  Всё равно репутацию они подмочили себе в этом плане…
          • 0
            Утопи, я не далеко живу, в Тольятти.

            1. С чего бы оно совместит? Ядро занимается маршрутизацией между агрегациями и другими ядрами, на агрегации терминируются клиенты (юрики, физики). Зачем гнать весь трафик в одно место, иметь толстые каналы до этого места, если часть трафика может коммутироваться на акссесе или роутиться на агрегации/ядре?

            2. Н-р у нас все свитчи в металлических ящиках. У остальных провайдеров тоже. Как?

            3. Только о них и думаем.

            3.1. Все soho-свитчи/роутеры что были у нас на тесте (не лохматых годов) отлично работали с pptp. Настройте нормально dhcp и раздавайте маршруты по dhcp. Все упирается в квалификацию админа провайдера. Колхоз клиента — проблема клиента. Ему дается шнурок, на этом шнурке все работает замечательно. Если я поставлю перед компьютером шейпер, мне тоже чтоли пинять на провайдера?

            3.2. Мы не поддерживаем (пока) клиентские роутеры.

            3.3. Хозяин-барин. Нравится pppoe — пользуйтесь. В нашей компании он не нравится, я уже выше объяснил основные минусы.

            4. Не фигня. Шейпинг на сервере повышает нагрузку на сервер. Резать на порту — одно удовольствие. Свитчи не умеют роутить по определению, т.о. гнать надо до агрегации минимум, а там уже как настроено. У некоторые switchport protect написано…

            5. Трафик ходит «короче» и «правильнее». Нагрузка на сервера меньше, как следствие нужно меньше серверов. Т.к. часть функций перекладывается на акссес, то на вышестоящие уровни нагрузка снова ниже, как следствие можно ограничится 3500-серией каталистов (в зависимости конечно от нагрузки. 3560 больше 3килоабонентов жуёт и не жужжит по моей «схеме».)

            Значит я лузер :)
            • 0
              1. Честно говоря, надеюсь что провайдеры которые решают подобные проблемы подскажут по этому вопросу, но:
              — проблем с каналами, у вас («аиста») не должно быть, ибо в Самаре оптика у вас вроде бы
              — по поводу траффика и «одного места», на мой взгляд это тоже решается, при чём, также как и с VPN, но я у провайдеров не работал, работал просто в крупной компании, а чтобы на эту тему дискуссировать вам надо точнее описать внутреннее устройство вашей сети, что не есть правильно, так что предлагаю обсудить эту тему в «личке», либо ждать какого-нибудь представителя провайдера с PPPoE
              2. У большинства конечно же в ящиках, но
              — их легко поломать (у меня вот в подъезде сломан (не мной))
              — ящик от вирусов или злоумышленников не защитит, причём я в своей практике несколько раз встречал как несколько компьютеров инфицированных могут положить целый сегмент сети с дешёвыми коммутаторами
              3.1. Работать-то они работают, а как же подключение к «внутренней сети»?
              Про «настройте dhcp» несколько непонятно что вы имели в виду. SOHO роутеры не умеют маршруты раздавать по dhcp, тем более это клиент сам это настроить в принципе не сможет.
              3.2. Вот и я про то же, а вот PPPoE клиенту достаточно реально и самому настроить с небольшой инструкцией.
              3.3. Сразу видно что вы не менеджер, хехе )))
              4. Про нагрузку — согласен, но она в любом случае будет где-нибудь, ибо шейпить надо.
              Про «резать на порту», access свитчи у вас вряд ли это умеют, так что шейпить в любом случае на уровне агрегации надо, как минимум и отличий тут от шейпинга с PPPoE я не вижу.
              Про «Свитчи» — они разные бывают (L3, например), не думаю что локальные игровые серверы столько траффика нагоняют что это заметно, а вот для торрентов и.т.п. локальных маршрутизация всё равно на уровне ядра, либо распространения происходит (потому что маловероятно что клиент торрента выберет вашего соседа и у этого соседа скачиваемые вами файлы есть), что для PPPoE и dual access настраивается одинаково.
              Про «switchport protect» прочитал, это опять же не access уровень, непонятно что вы хотели этим сказать.
              5. Про короче я не спорю, про правильнее тоже, НО вашей компании важно иметь как можно БОЛЬШЕ клиентов чтобы больше зарабатывать, потому простоту подключения клиентов, тоже нужно учитывать. И насколько сопоставимы затраты на усиленную тех. поддержку и стоимость оборудования cisco? (железо то вы купите 1 раз, а на тех поддержку надо тратиться постоянно + содержать дополнительных людей для их обслуживания).

              Значит я лузер :)
              Я не пытаюсь доказать что кто-то лузер, я хочу предостеречь начинающих провайдеров о проблемах которые могут возникнуть, либо попытаться заставить переосмыслить провайдеров текущих.
              • 0
                1. Оптика оптикой, но если занялся 1/10 Гб/с — делать что-то надо. Либо решать проблему железом (уплотнение, новая оптика, 40G и т.д.), либо оптимизировать трафик. 2 вариант приоритетнее. С vpn этой проблемы нет, если настроены маршруты.

                2. Нууу, попробуйте поломать наш :) У нас выдается /26 на устройство. Я конечно поверхностно знаю о таких проблемах, но не слышал что вирус поработил свитч вместе с его пользователями.

                3.1. Сохам не надо раздавать, им надо получать. 90% протестированных нами умеют.

                3.3. Не стал прибалтывать? :)

                4. Что это врядли? Все модели аксесс-свитчей что у нас используются — умеют. Если пир в той же подсети — то на уровне доступа, если в одной ospf-зоне, то на агрегации, если нет, то да, трафик через ядра пойдет. Плюс я строю сеть с балансировкой трафика между ядрами. Между агрегациями смысла не вижу… Конечно, если провайдер раскинулся на 1-2 км в радиусе и у него 500 клиентов, то можно не заморачиваться.

                5. Да один раз настроил и забыл. Тем более соху: там виндовса нет, юзер не поломает :)

                Ну почти буквально в мой адрес звучала нота некомпетентности, я не поддержал троллинг и согласился :)
                • 0
                  1. хз… ждём чтобы представители других провайдеров прокомментировали, у меня мало данных
                  3.1. если бы умели, я бы не говорил, у меня ни один знакомый сам с маршрутами не разобрался (кстати, среди них начальник-админ с одной из моих прошлых работ, хе-хе, у него провайдер «теленет» был и он сам настроить не смог себе роутер, причём там просто PPTP был доступ(там шлюз был вне подсети, винда создаёт маршрут по-умолчанию автоматически, а вот тот роутер нет))
                  3.3. ну да =)))
                  4. ну вот видите, значит свитчи access уровня дороже надо иметь, что опять возвращает нас к вопросу о дешевизне dual access решений
                  5. это для человека с достаточным багажом знаний «один раз настроил», для обычного человека это целая эпопея

                  Ну почти буквально в мой адрес звучала нота некомпетентности, я не поддержал троллинг и согласился :)
                  Я извинился чуть ниже в комментариях, просто что-то я разгорячился увидев такую тему интересную =).
                  Ещё раз извините меня.

                  В общем я понял почему вы пошли на такой тип подключения (на мой взгляд, это всё равно недостаточно оправдано в долгосрочной перспективе, ибо затраты на железо обычно меньше чем на персонал), но чтобы дальше дискуссировать, мне надо больше знать о «внутренней кухне»… (((
                  • 0
                    3.1. Значит он не достаточно квалифицированный ИТшник, не смотря на должность.
                    4. Они максимально дешевые, поверьте.
                    5. Ну вы настроили вашему другу dir-*** н-р, зачем он полезет его перенастраивать?

                    Да ничего страшного…
                    • +1
                      Прошу прощения за вклинивание, но тут беседа очень интересная и затрагивает мою область работы.
                      Начну с того что я работаю у провайдера.
                      Продолжу тем что мы намеренно отказались от dual access так как пользователи начали генерировать тонны трафика которые забивали сеть, а зачем нас трафик межабонентский внутри сети когда они могут обмениваться информацией через BRAS. Свитчи access уровня используем D-Link DES-3528, Distribution — DGS-3100-24TG ну а Core естественно Cisco C3750. В роли BRAS выступает Cisco ASR 1002. Бед не знаем!.. А когда был dual access с pppoe это был кошмар! Забивались аплинки, забиваались «молотилки» (Distribution уровень).
                      ИМХО pppoe PROFIT!
                      Есть у нас в городе провайдер Мультинекс (ныне МТС) использует 802.1x авторизацию, мало того что 90% SOHO маршрутизаторов не работают с ним из коробки, у них ещё и всё сеть порой еле ворочается, хотя у МТС-а думаю денег на нормальное оборудование достаточно.
          • +1
            Зачем вообще *TP и PPPoE?

            Мне как админу много удобнее админить Ethernet нежели какую либо инкапсулированную дрянь, будь то L2TP, PPPoE или IPoIB.
            Мне как пользователю удобнее иметь чистый Ethernet с DHCP. Воткнул — работает. Какие настройки?! Вы серьёзно думаете, что чистый Ethernet для пользователя сложнее PPPoE?

            1. Вообще не понял точку зрения. Либо вы очень богатый, что можете ставить железо Core уровня на дистрибьюцию, либо не сталкивались с такими объёмами трафика когда железа Destribution уровня перестаёт хватать.
            2. Все свободные порты должны быть в пустом vlan'е или погашены. ARP replies разрешены только с ip выданного dhcp'ой. MAC разрешён только один. Итого если кто-то подключится в свитч посидеть нахаляву, то нужно будет выдернуть живого абонента. Тот в свою очередь позвонит в ТП и к кому-то придёт МВД.
            3. А вы?
            3.1
            — Зачем dual-access? Выкиньте всю инкапсуляцию нафиг.
            — Да. Вставить шнур в нужную дырку это сложно. DHCP изобрели уже давно.
            — Чистый ethernet грузит маршрутизатор много меньше PPPoE. Получите ваши же аргументы против вас самих.
            — DHCP
            3.2 ,3.3, 4. втопку dual access, втоооопку.
        • +1
          Breaker, а вы сами не планируете уходить от PPTP? )
        • 0
          Мы и так имеем двойные тарифы локалка + инет. Сервер с процессором dual core 3GHz может держать порядка 1000 pppoe сессий. IPTV тоже в это дело должен отлично вписаться (планов продажи IPTV отдельно от интернета нет).
  • 0
    Думаю стоит топик перенсти, из телекома в сетевые технологии.
    • +1
      перенес. спасибо за совет.
  • +5
    PPPoE позапрошлий век. Юзайте dhcp option 82 и vlan на железяку.
    Если есть интересующиеся опишу свой опыт на выходных.
    • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    D-link… Нет, спасибо, лучше на access Zyxel.
    • 0
      Полностью согласен. На зексель, в отличии от длинка нареканий практически нет. Хотя и он по удобству сильно уступает тем же HP.
      • 0
        Тогда уж лучше б/у Catalyst 2950 по $100 за 24 порта.
        • 0
          он ущербен по функционалу для аксесса: н-р отсутствие контент фильтра (uTP или как в топике — защита от ложных pppoe), не очень помню как там с QoS, и есть трудности с mstp.
        • 0
          Забыл: объемы поставок. Вопросом не задавался, но я думаю 100 штук каждые 2 недели сложно найти.
          • 0
            ACL L3 там есть, но вот с объемом поставок, наверное, действительно будет проблема.
            Насчет QoS что имеется в виду — приоритезация трафика или шейпинг/рейтлимит?
            • 0
              контент фильтр — это не l3.
              по куосу: маркировка dscp+шейпинг.
        • +1
          К выше сказанным минусам добавлю отсутствие комбо портов. Конечно можно поставить конвертер костылем, но это удорожание свитча еще на 1,5к рублей. А так отличный свитч, вполне юзабелен, в сетях не провайдерских, а скажем внутри организации, настоятельно рекомендую.
          • 0
            Либо там, где нужно тупо л2, н-р коммутатор для серверов.
    • +2
      DES-3526 в количестве нескольких тысяч. Требуют редкого внимания, со своими задачами справляются. Учитывая объемы — выгода значимая.
      • 0
        Тут как повезет (: Да и многое зависит от того как проектировалась сеть
    • 0
      на одном популярном у провайдеров форуме есть замечательная тема — «свичи доступа».
      Почитайте на досуге и посмотрите статистику голосования :)
  • +2
    Неплохо. Ждать продолжение про distribution и core уровнях?
  • +2
    Чем вас пугает бродкаст от клиента? Если у вас на акссесе стоят 8 портовые свитчи, вы можете выделять /28 сеть на свитч + dhcp. Думаете сеть сильно пострадает? В любом случае если за абонентом сетка на 100 машин, то он поставит роутер.
  • 0
    хорошая статья, ждем про distrubution и core уровни.
  • 0
    Незнаю, как у вас, но в свое время мы отказались от использования DES-3200-10. Постоянные проблемы с данной моделью, просто не давали работать. Флуд с порта самая любимая их болезнь.
    По поводу настройки лупов. Если 9 порт входящий, то на 10 порту я все таки повесил бы лупдетект.
    • +1
      с 3010g были подобные проблемы, когда порт внезапно начинает работать mirror'ом трафика. с 3200-10 пока никаких нареканий.
  • 0
    кстати, а почему у вас в distribution layer стоит значок не свитча, а роутера?
  • +2
    Сдается мне, что правило в ACL с profile_id 2 не будет работать вообще, т.к. первым правилом вы разрешаете все пакеты с ethertype 0x8663, а документация говорит так:
    A lower profile_id gives the rule a higher priority. In case of a
    conflict in the rules entered for different profiles, the rule with the highest priority (lowest profile_id) will take precedence.

    И еще несколько замечаний:
    1. Один VLAN на всех пользователей… Неужели еще не было проблем с хэшами? Думается как-только появится мультикаст, вам придется применять схему vlan на свитч… Включите опцию enable flood_fdb и настройте трапы, хоть увидите сколько конфликтов будет;

    2. Не плохо бы включить tarffic segemntation, что бы пользователи гарантировано не видели друг-друга в пределах одного коммутатора: config traffic_segmentation 1-8 forward_list 9-10.

    Вот такие ACL у меня (по материалам форумов nag.ru и dlink.ru, а так же личной переписки с саппортом d-link'а)

    ## CPU Filter
    delete cpu access_profile profile_id 1

    ## — Deny Multicast traffic
    create cpu access_profile profile_id 1 ip destination_ip_mask 240.0.0.0
    config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 224.0.0.0 port 1-28 deny
    enable cpu_interface_filtering

    ## ACL
    delete access_profile all

    ## — Deny clients with BRAS MAC's
    create access_profile ethernet source_mac FF-FF-FF-FF-FF-00 profile_id 1
    config access_profile profile_id 1 add access_id auto_assign ethernet source_mac 00-18-82-AD-34-00 port 1-24 deny

    ## — Deny fake PPPoE Servers on clients ports
    ## — PPPoE Discovery (0x8863) + Active Discovery Offer (PADO) (0x07)
    create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff00ff profile_id 2
    config access_profile profile_id 2 add access_id auto_assign packet_content offset 12 0x88630007 port 1-24 deny

    ## — Deny PPPoE Session (0x8864) + Protocol IP (0x0021),
    ## — Version 4 + Destination port 135,137,138,139,445
    create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff0000 offset_16-31 0x0 0xfffff000 0x0 0x0 offset_32-47 0x0 0x0 0x0 0xffff0000 profile_id 3
    config access_profile profile_id 3 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x00870000 port 1-28 deny
    config access_profile profile_id 3 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x00890000 port 1-28 deny
    config access_profile profile_id 3 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x008a0000 port 1-28 deny
    config access_profile profile_id 3 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x008b0000 port 1-28 deny
    config access_profile profile_id 3 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x01bd0000 port 1-28 deny

    ## — Deny PPPoE Session (0x8864) + Protocol IP (0x0021), Version 4 + Protocol: TCP (0x06), UDP (0x11) +
    ## — Destination port TCP/53, UDP/67, UDP/1900, TCP/2869
    create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff0000 offset_16-31 0x0 0xfffff000 0x00000000 0x000000ff offset_32-47 0x0 0x0 0x0 0xffff0000 profile_id 4
    config access_profile profile_id 4 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 28 0x00000006 offset 44 0x00350000 port 1-28 deny
    config access_profile profile_id 4 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 28 0x00000011 offset 44 0x00430000 port 1-28 deny
    config access_profile profile_id 4 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 28 0x00000011 offset 44 0x076c0000 port 1-28 deny
    config access_profile profile_id 4 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 28 0x00000006 offset 44 0x0b350000 port 1-28 deny

    ## — Permit EtherType PPPoE Discovery (0x8863), PPPoE Session (0x8864)
    create access_profile ethernet ethernet_type profile_id 5
    config access_profile profile_id 5 add access_id auto_assign ethernet ethernet_type 0x8863 port 1-28 permit
    config access_profile profile_id 5 add access_id auto_assign ethernet ethernet_type 0x8864 port 1-28 permit

    ## — Deny broadcasts
    create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 6
    config access_profile profile_id 6 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-24 deny

    ## — Deny IPv6 EtherType
    create access_profile ethernet ethernet_type profile_id 7
    config access_profile profile_id 7 add access_id auto_assign ethernet ethernet_type 0x86dd port 1-28 deny

    ## — Deny all
    create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 8
    config access_profile profile_id 8 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port 1-24 deny

    ## — Other
    config traffic control 1-24 broadcast enable multicast enable unicast disable action drop threshold 64 countdown 0 time_interval 5
    config filter dhcp_server ports 1-24 state enable
    config traffic_segmentation 1-24 forward_list 25-28
    enable flood_fdb

    Применив такие правила и встав на клиентский порт wireshark'ом, вы не увидите ничего кроме PADI (у меня кольца, а d-link может только входящий на порт трафик блокировать), так же не дадите лазить по виндовым шарам при установленной pppoe-сессии.
    • 0
      Забыл добавить, эти ACL для DES-3028.
    • 0
      фильтровать netbios/прочую хрень на акцесе не нужно, лучше пусть это будет в distribution, а пользователи ограничатся traffic_segmentation. Секурность не пострадает, зато значительно упростится конфигурирование/сопровождение.
      • 0
        При звезде — да, но у меня кольца. И я не хочу, что бы в пределах одного кольца пользователи шарились там, где их не ждут.
        • 0
          а причем тут кольца? У вас один акцесс подключен к нескольким distribution?
          • 0
            Во-первых, один access всегда должен быть подключен к нескольким distribution.

            А во-вторых, есть MetroEthernet, где все намного интереснее.

            Фильтровать надо на аксессе.
            • 0
              это в теории, в реальной жизни вам никто не даст тянуть несколько волокон из разных веток на каждый дом. Опять-таки, мы говорим о провайдинге, т.е. о SP, а не о локальной сети предприятия. В случае с большим предприятием это обосновано и оправдано, а вот в случае с SP в этом нет никакого смысла — стоит это слишком больших денег, а при той конкуренции в нашей отрасли это не окупится никогда. Никто не оценит надежность связи, т.к. пользователи смотрят далеко не на это.
              • 0
                Это у вас провайдинг какой-то мелкий просто :-) Гляньте мой коммент чуть ниже:
                habrahabr.ru/blogs/network_technologies/123038/?reply_to=4033660#comment_4033660
                • 0
                  а мы точно о метроэзернете говорим? :)
                  • 0
                    Ну, в данном конкретном случае мы говорим про «тянуть несколько волокон из разных веток на каждый дом» :-) ME свичи там используются на уровне аггрегации.
                    • 0
                      «ME свитчи» — это вышеописанные вами с4506? А что же тогда на акцессе? DSLAM? PON (который вообще принудительно деревянный)? Просто непонятен пассаж про «несколько волокон в каждый дом».
                      • 0
                        «деревянный» — в смысле топологии «дерево» :)
                        • 0
                          Нет, 4506 там в качестве access выступают, а aggregation — это ME 4924.

                          Как аксесс девайсы — да — использовались и DSLAM, и GPON, а помимо этого еще и эзернет на Хуавей, но лично я там имел дело только с цисками.

                          Сам оператор находится в одной из жарких и богатых арабских стран, и телекоммуникационный рынок там развит очень хорошо. Потому на один дом мог выделяться как один свич 4506, так и несколько, а на бизнес-центр — даже пара 4924 со всеми ее «кольцами» из 4506. На самый большой из небоскреб выделялась даже отдельная пара PE роутеров со всеми причитающимися ей парами ME и access свичей :-)

                          Сама архитектура, как видите, очень надежна и расширяема. Кстати, точно такую же я видул у одного уже американского оператора из Tier1, и мне рассказывали, что такая же — у одного из крупных украинских. Количество портов на PE роутере определяет количество ME пар, которые можно на них повесить. Количество портов на ME свиче — количество access колец.

                          Скажем, для бизнес-заказчиков была такая услуга, как избыточный линк — к одному кастомеру подводилось два линка от разных access колец.

                          Много там всякого интересного, в общем :-)
        • 0
          более того, даже в пределах одного свитча они никуда не полезут — traffic segmentation же.
    • +1
      Я правильно понял, что у вас маки bras серверов ручками выставлены, чтобы укладываться в нужный диапазон?
      И почему TCP 53 режете? Насколько помню, нормальная ситуация, когда DNS сервер работает по TCP, редкая, но ничему не противоречит.
      Не проще ли фильтровать IP,TCP,UDP на BRAS а не на свитчах?
      Зачем запрещать IPv6?
      • 0
        Режем, потому как нам не нужно что б это бегало в сети… Да и на мой взгляд — лучше обрезать ближе к клиенту. Эксперимента ради, встаньте на клиентский порт сниффером и поглядите сколько Г. валится… даже с неподнятой PPPoE-сессией.
  • 0
    Оффтоп, но наболело просто. Прошу совета, так как слабо разбираюсь в вопросе. Проблема — подтормаживание и просто медленная скорость на ютубе и других видеохостингах. Канал заявленный провайдером — 12Мб в обе стороны. На торрентах примерно такая скорость и есть. Сеть — домовая. Доступ — PPPoE. Кто виноват и как аргументированно достучаться до техподдержки?
    • 0
      Попробуйте посмотреть видео в районе четырех-шести часов утра, в часы наименьшей загрузки. Если все хорошо, то большая вероятность того, что у ISP перегружены аплинки…
      • 0
        Да, ночью немного пошустрее все бегает, но все равно после начального рывка секунд на 30 все стопорится, и лишь через пару минут начинает с черепашьей скоростью догружать поток.
        • 0
          Это гнется оборудование у прова, которое шейпит трафик.
          • +1
            То есть, выход один — менять прова?
            • 0
              можно попробовать с тех. поддержкой пободаться. соберите статистику (пинг до того же youtube в разное время как меняется, посмотрите через WinMTR где именно возникают задержки). Еще вариант — если у вас есть маршрутизатор, то подключите вместо него напрямую компьютер (проверенный до этого на вирусы) и посмотрите будут ли тормоза без маршрутизатора. Если пинг стабильно большой, узлы провайдера вносят ощутимую задержку, и компьютер пролечен от вирусов — меняйте провайдера.
              • 0
                Маршрутизатора нет. Комп вроде чистый. Буду смотреть по вашему рецепту, спасибо. Может еще в чем-то быть проблема с такой симптоматикой?
                • 0
                  Пров, конечно может и не прав, но раз уж те же торенты у вас забивают канал на полную скорость, что заявлена, то б.м. проблема в вашем ПО, которое мониторит трафик (антивирусы/фаерволы)?
                  • 0
                    Та же проблема встречается по всей сети, но на всякий случай попробую на чистой системе.
        • 0
          Это нормально. Этот рывок делает сам youtube. Я такое видел на всех провайдерах.
          • 0
            останавливать загрузку ютуба и ждать минут пять при качестве в 360 когда у тебя заявленная скорость 12Мb/s — ненормально. Рывка нет при гораздо меньших скоростях на 3-х других провайдерах в городе.
  • 0
    elcamlost
    В сети доступа вашей компании каким-либо образом реализуется защита от кабельного вандализма?
    • +1
      антивандальные шкафы, в особенно плохих домах тянемся не чердаком, а по металлическому коробу снаружи здания.
      сильно пока не упирались против этого, масштаб проблемы для нас не носит угрожающего характера пока.
  • 0
    А QoS не настраиваете? 1 Гбит на коробку, и включение абонентов на 100 Мбит без qos как то грустно.
    И как у вас реализована схема отключения абонента при минусе на балансе?
    В остальном исключая PPPoE чисто тебе схема Триолана :). Разве что они все таки DHCP option 82 используют.
    • +1
      при отрицательном балансе абоненту также через PPPoE выдается серый адрес, с ним он имеет доступ к сайту статистики с возможностью внести обещанный платеж.
  • 0
    А все-таки, зачем PPPoE? Неужели 4094 (за вычетом пары зарезервированных) ВЛАН-ов недостаточно на одну пару aggregation устройств?
    • 0
      Сосед поломает коробку, поставит свой роутер, и ты уже пользуешься интернетом не один. Большинство смертных это никогда и не заметят.
      • 0
        Та ну, паранойя какая-то :-)
      • 0
        … и монтажники подключающие новых клиентов тоже, да, да.
        С таким же успехом он может сломать коробку, поставить туда свой свитч вместо вашего, подвести к нему свою оптику и начать продавать свой Интренет. Вероятность того, что это не заметят примерно такая же.
    • +1
      когда я пришел работать, PPPoE уже был. Менять что-то — это дополнительные затраты финансов, времени тех. отдела (мы увы маленький провайдер, и этот ресурс критичен) и даже при тщательном планировании наверняка создаст проблемы для клиентов. Поскольку на настоящий момент сеть работает и сбоев, связанных с именно такой схемой построения сети нет, мы стараемся улучшить то, что есть. В будущем, конечно, придется переходить на более современные решения, но мне это будущее (именно в рамках работы нашей компании) кажется довольно далеким.
      • 0
        Ясно. Понимаю.

        Если интересно, могу как-нибудь описать схему distribution-access сети, принятую в крупных провайдерах на примере нескольких заграничных. Выглядит вот так:

        image

        В двух словах: там на distribution уровне свичи 3 уровня проводят маршрутизацию между VLAN-ами и PE роутерами. Непосредственно до PE роутеров пробрасываюся только те VLAN-ы, которые нужны для Layer 2/3 (в вашем случае некий аналог PE роутеру был бы core switch). Получаем в итоге отдельный домен VLAN-ов на каждую пару PE роутеров и aggregation свичей.
        • 0
          «Layer 2/3 VPN». Пардон.
        • +1
          Конечно интересно.
          А картинка хорошая, только где бы денег взять на ditribution 4506 ставить при ARPU с абонента 450 р?
          • 0
            4506 — это access уже, distribution — 4924.

            Да, 450 р. — это печально, конечно.
            • –1
              +1
              если появится быстрый тариф за 300 руб — побегу из АЕЗДа

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.