СТГ + подсети

[Kucher2 122]

И снова здравствуйте.

Конфиг: Celeron 2,66, 512RAM, FreeBSD 6.2, прозрачный Squid, Apache, PHP, СТГ - вход в Инет через стандартный авторизатор, база на файлах.

Сеть на неуправляемых свитчах, стоит пара "удалёнок" по питанию.

Сеть вида 10.0.0.0/255.255.255.0. Шлюз 10.0.0.10. Висит на внутреннем ИФ - ещё пара алиасов: 10.0.0.9 и 192.168.0.5. Внешний смотрит на провайдера, имеет белый IP.

 

Сейчас в локалке чуть меньше сотни абонентов. И можно б было подключать и подключать, но...

 

...ситуация такова, что в скором времени возможен рост сети за счёт подключения групп абонентов, находящихся на приличном от сервера и от самой сети - расстоянии.

Поэтому считаю неправильным включать их в тот же диапазон адресов, чтоб потом носиться по всему району и искать источник флуда/неисправности.

 

Предполагается протяжка отдельного кабеля в центр сети - для каждой из таких отдельных групп абонентов: топология уже существующей сети такова, что проще к серверной дотянуться, чем цепляться где-то к краю и гонять трафик в "совсем не резиновой" и далёкой от идеала среде.

 

Я специально всё подробно расписал, может у кого возникнет светлая мысль.

 

Проблема в том, что я никогда с таким не сталкивался. Но ведь когда-то надо начинать.

Поэтому предполагаю создать сети вида 10.0.1.0/255.255.255.0, 10.0.2.0/255.255.255.0...

 

В связи с этим - у меня два нерешённых вопроса:

1. Чем их связать? Свзывать через сервер не хочу, т.к. в дальнейшем опасаюсь проблем с перенагрузкой и маршрутизацией, особенно если придётся связывать клиентов по VPN. Думаю использовать для этого какую-то умную железку, но не знаю что лучше. Линки к удалённым группам предполагаются оптические, думаю может лучше было бы что-то с оптическими портами и медью RG45 на 100/1000Мбит.

2. Как эти самые удалённые пользователи будут забирать Инет? Хотелось бы оставить авторизатор. Хотя вэб-морда для юзеров имеется, всё же нежелательно, чтобы юзеры использовали опцию "всегда Он-лайн".

[nightfly 1 239]

Поэтому считаю неправильным включать их в тот же диапазон адресов,

а вам это как-бы при такой инфраструктуре это и не поможет - смело включайте куда угодно

 

чтоб потом носиться по всему району и искать источник флуда/неисправности.

на неуправляшках... искать в любом раскладе будете методом вытаскивания шнурков носясь по всем домам - какая разница?

 

Если неуправляшки еще и ценовой категории "три на рубель" то мультикаст убаюкавший за 2 минуты всю сеть и не найдете.

 

Поэтому предполагаю создать сети вида 10.0.1.0/255.255.255.0, 10.0.2.0/255.255.255.0...

и в чем глубинный смысл? ну будет у вас несколько разных сетей, фиговая инфраструктура от этого как должна измениться?

 

в дальнейшем опасаюсь проблем с перенагрузкой и маршрутизацией,

а вы собрались маршрутизацию делать на пальцах?

 

особенно если придётся связывать клиентов по VPN

ОМГ

 

Как эти самые удалённые пользователи будут забирать Инет?

IPv4? =)

 

Хотелось бы оставить авторизатор.

думаете он на вас обидиться и уйдет?

 

 

Ответ на все ваши вопросы один - нормально обдумать топологию сети, купить нормальное железо и думать как заполнить свою первую /23 а не играться в пионерию.

[Kucher2 122]

Пока не планируется ничего докупать, кроме центральной железяки, которая предположительно должна рулить подсетями.

Нормальную топологию строить поздно, потому что для этого нужно всё переделать заново: требуется много капиталловложений.

Я думаю, что можно добиться относительной стабильности, хотя бы разделив сеть нормальной железкой, как я описал выше. Тогда она хоть не полностью ляжет, в случае чего.

Vypress Chat помрёт, например...

 

По крайней мере я так всё понял, почитав форум.

 

На счёт VPN - я имел ввиду лишнюю нагрузку на сервер. Да и завязывать всю сеть через машину, одноверменно работающую шлюзом - не хочется.

[zulu_Radist 856]

Разбить локалку на несклько подсетей, все подвести волокном до центра. В ядре писюк на серверной матери с парой гигабитных портов на борту пока хватит + L2 свитч 3526 или 3028 и вперед.

[Kucher2 122]

Я примерно так и хотел. У меня сейчас стоит шлюз и на внутренней сетевой висит сеть 10.0.0.0/24.

Я хотел поставить железку, чтобы на неё завести подсети (чтоб она рулила трафиком между подсетями и на сервер), а с неё уже - в шлюз.

Только это и существующую 10.0.0.0/24 - надо через ту железку заводить?

Глупая мысль?

[nightfly 1 239]

требуется много капиталловложений.

 

Я думаю, что можно добиться относительной стабильности

обосновать можете?

 

мне просто интерестно мыльницы от этого начнут веселее работать?

 

 

На счёт VPN - я имел ввиду лишнюю нагрузку на сервер.

а вы и трафики считаете, и натите, и туннели терминируете, и раутите конечно же на одном том вышеуказанном гробище?

 

Да и завязывать всю сеть через машину, одноверменно работающую шлюзом - не хочется.

если машина не имеет отношения к сети она кто угодно только не шлюз

 

Я хотел поставить железку, чтобы на неё завести подсети (чтоб она рулила трафиком между подсетями и на сервер), а с неё уже - в шлюз.

нормальный L3 на центр, а далее по вкусу.

 

Глупая мысль?

нет - умная кстати, у умных людей приблизительно так и делается изначально.

 

Только это и существующую 10.0.0.0/24 - надо через ту железку заводить?

а вы планируете делать маршрутизацию из вашего пресловутого 10.0.0.0/24 в 10.0.1.0/24 (повторюсь со своим наводящим вопросом - зачем? что это меняет? мыльницы перестают быть мыльницами?) делать на 3 разных маршрутизаторах? А почему просто не выделить под это нормальный граничный рутер на котором только раутить и натить, ну возможно стату по НФ снимать и хотя-бы после этого иметь представление о том как и что происходит с вашим трафиком?

 

Отсебятина:

zyxel 4012F (центром) - zyxel 3012F (районный) - zyxel 2108ES/foxgate s1l1 (домовой)

Получается дешевая, контролируемая, предсказуемая и проверенная годами схема.

 

Вообще хорошо перед тем как что-то делать: намалевать перед собой карандашиком на бамажечке схемку того что вы собираетесь делать (в вашем случае сети и раутинга) и посмотреть что же у вас в результате получится и удовлетворяет ли это поставленную задачу. После чего можно уже думать о узких местах (читаем перемалевать по новому), перспективах расширяемости (еще раз перемалевать по новому и утвердить новый бюджет) уже потом что-то делать, еще раза 2 после этого все перемалевав (убедившись что до репина далеко).

 

На данный момент вы просто пытаетесь выдаванием юзерам каких то левых сетей /24 (зачем? почему уж не каждому тогда персональную /30 - вобще же круто будет) и установкой одного приличного свича (ну нарежете вы эти мыльницы между собой по районам в лучшем случае.. ну и все что сможете сделать в таком варианте) сделать что-то похожее на правду компенсируя недостатки инфраструктуры.

 

Все эти простые истины вы поймете эдак после 500 абонента и после первого судебного разбирательства.

[Kucher2 122]

нет - умная кстати, у умных людей приблизительно так и делается изначально.

Спасибо, хоть в чём-то могу собой гордиться.

 

а вы планируете делать маршрутизацию из вашего пресловутого 10.0.0.0/24 в 10.0.1.0/24 (повторюсь - зачем? что это меняет?) делать на 3 разных маршрутизаторах? А почему просто не выделить под это нормальный граничный рутер на котором только раутить и натить, ну возможно стату по НФ снимать и хотя-бы после этого иметь представление о том как и что происходит с вашим трафиком?

Да нет же, я немного путаюсь, потому что не доводилось всё это настраивать.

Я согласен, что надо всё завести в одну железку, но не знаю какая железяка лучше для этого.

Желаемая схема такова: подсети заходят в "нормальный граничный роутер", через него ходят друг к другу. К этой же железке подключен шлюз, через который эти же подсети ходят в Инет.

 

нормальный L3 на центр, а далее по вкусу.

zyxel 4012F (центром) - zyxel 3012F (районный) - zyxel 2108ES/foxgate s1l1 (домовой)

Получается дешевая, контролируемая, предсказуемая и проверенная годами схема.

Наконец-то, конструктив. Спасибо, что-то начинает проясняться.

Может есть что попроще из таких железок, именно для моей задачи?

[nightfly 1 239]

ожет есть что попроще из таких железок, именно для моей задачи?

Ультрадешевая линейка S6008-S1L1, S-6008-S2L2, S-6024-S1L2 в виде домовых свичей. Но как показала практика в виде наступания на грабли с igmp, и нагрузками в 200-300 мбит на свиче сложно дальше жить.

 

А в центр полюбому что-то адекватное типа того же 4012 либо Summit48si

 

В любом случае вы сразу дабы не возникало далее недоразумений проясните следущий вопрос: для вас сия сеть чисто как хобби или как бизнес? (хочеться услышать - первый или второй вариант без полумер)

 

далее два варианта развития событий.

 

Если это просто хобби

1. оставляем все как есть или как нравиться, или на что бабла хватает ибо хобби же.

 

Если работать и зарабатывать душа жаждет

1. строим изначально нормальную конкурентоспособную сеть, наращиваем можности, вводим новые интересные сервисы, имеем возможность для демпинга или ценами или скоростями/сервисами, развиваемся, имеем возможности масштабируемости, переманиваем абонентов, подключаем новых, бОльшую часть прибыли вкладываем в развитие инфраструктуры, железо, людей... и так по кругу.

2. жмемся дать денег для развития своего же бизнеса, ставим на дома свичи вида 808sx, городим трехэтажные конструкции из медиаконверторов, 120 метровых пролетов utp 5e и pentium 200 mmx/64 ram. Первое время стоим на месте а потом резко скатываемся в сраное говно.

 

Был у меня один "знакомый" провайдер работавший по вышеуказанной схеме - и где он сейчас за один несчасный год?

 

Поверьте - сотня пользователей в моем понимании это где-то 5-8 хороших домов. Засим можно рассматривать это как строительство инфраструктуры с нуля. Когда на карте покрытия уже около 60 здоровых улиц тогда это "требуется много капиталловложений" (цитирую вас же) и переделать что-то сложно но всеравно в случае потребности - можно и нужно.

[Kucher2 122]

Поверьте - сотня пользователей в моем понимании это где-то 5-8 хороших домов

Увы, это несколько десятков хрущёвок + частный сектор.

Но смысл ясен: надо искать zyxel 4012F, разбираться с ней и ставить. Большое спасибо!

[nightfly 1 239]

Кстати посмотрите на саммит - он дешевле и функционал тоже радует но я как-то к нему с опаской отношусь (возможно это у меня измененное мировосприятие).

 

UPD ой он без sfp - городить огород с медиками не кошерно :\

 

Большое спасибо!

незачто, просто меня уже даже не веселит наблюдать как люди наступают в стодесятый раз на одни и теже грабли оставленные предшественниками.

 

Время сверхприбылей прошло - сейчас ничего не возможно сделать ничего не вложив

[Kucher2 122]

Эм...выходит, c хорошей железкой L3 - можно резать сеть на куски, взяв такую модель за основу построения всей структуры: по 40-60 машин на подсеть, например. Особенно если большая часть построена на дешёвых свитчах.

Мне подумалось, что в моём случае это выход, поскольку установка умной железяки на хрущёвку всего с 1-м абонентом (тем более - в отношении частного сектора, если в силу топологии имеем "колбасу" из свитчей) - не очень-то выгодна, а проблемы в подсети из 50-ти машин, устранить всё же легче. Во всяком случае, фатальности поменьше.

Я не прав?

 

P.S. Судя из этого - не так уж и не прав:

http://www.citforum.ru/nets/komutator/komutator.shtml

[nightfly 1 239]

Эм...выходит, c хорошей железкой L3 - можно резать сеть на куски

до, port isolation например в случае 4012

 

поскольку установка умной железяки на хрущёвку всего с 1-м абонентом

а там разве не может быть 8-10 абонентов?

 

Все зависит от маркетинга и желания работать на перспективу.

 

(тем более - в отношении частного сектора

а вот тут вы совершенно правы, поэтому у нас в часном секторе обитает только docsis, ибо частный сектор это изначально не рентабельное болото

 

а проблемы в подсети из 50-ти машин, устранить всё же легче

вы путаете физических 50 машин и 50 айпишек.

 

Придется возвратиться к предыдущему моему вопросу - почему не /30 каждому абоненту?

 

Ну вот приведу несколько примеров из области практики в виде падения либо половины либо всей сети на мыльницах:

- какой-то олух воткнул lan портом свой роутер с дхцп поднятым в шнурок - всем выдались ивоные айпишки, интернет естественно не ходит

- какой-то нехороший человек взял и навесил на себя айпишку и мак вашего ближайшего шлюза - естественно ничего не ходит а нехороший человек пытается наивно в промискусе слушать что же там интересного ходит

- какой-то нехороший человек колечком свернул патчкорд на вашем свиче - в результате имеем шторм и пол сети как минимум не работает

- какой-то идиот решил показывать порнуху друзьям в другом конце города при помощи vlc в виде igmp - итого имеете пачку повиснувших свичей и неработающую сеть

- мыльница взяла и банально повисла по трассе - вы не знаете которая ибо ни попингать, ни снять стату по snmp

- могу продолжать до безконечности

 

Итак вопрос - как при решении вышеуказанных проблем может помочь выдавание юзерам разных сетей а не из одной /21 скажем? Думаю никак по сути - вам будет абсолютно по барабану не работает 10 ipv4 подсетей или одна. Все проблемы могущие возникнуть в вашем случае носят своей первопричиной невозможность полной изоляции на l2 аборигентов между собой а не что-то иное. Все проблемы на уровне ipv4 решаются просто и наглядно подручными средствами без всяких отношений к свичам итд.

[Kucher2 122]

а там разве не может быть 8-10 абонентов?

Увы, если в доме на 8-12 квартир одни бабушки - не выселять же их.

А пройти кабелем через него надо...

- какой-то олух воткнул lan портом свой роутер с дхцп поднятым в шнурок

У нас статика.

какой-то нехороший человек взял и навесил на себя айпишку и мак вашего ближайшего шлюза

Логирование. Сначала убью, потом отключу.

какой-то нехороший человек колечком свернул патчкорд на вашем свиче

Да, это ППЦ. И что, действительно не поможет разделение на подсети? А если умную железку де-нить в середине сети?

акой-то идиот решил показывать порнуху друзьям в другом конце города при помощи vlc в виде igmp

Не сталкивался, но думаю что решение сродни проблеме ниже.

- мыльница взяла и банально повисла по трассе

Да, есть у нас тут одна такая. Пока боремся ребутом цепочки по удалёнке. Слава Богу - не надо бегать и смыкать, как раньше было. Хотя во втором случае уже б нашли, а так - найти пока не можем.

 

Думаю, моя проблема в непонимании особой разницы между L2 и L3. Даже на NAG'е о разнице между этими девайсами говорят весьма туманно: типа стали выпускать L2 с функциями L3, нет чёткого разделения и т.д. Не пойму.

 

Пока не определился с решением, до конца не понял почему разделение на подсети не является панацеей от флуда/мусора в виде широковещалок/проблем со шлюзом в сегменте и т.д.

Поглядываю на свой настольный P-IV, 2,8ГГЦ, 2ГГБ RAM. Мать P4P800 SE, 5 PCI-слотов.

Денег на хорошую железку не дают, может из него роутер сделать на Фряхе - для этого дела, пока?

Сегментов штуки 3-4, одна сетевая смотрит на шлюз, в сегментах народу будет 20, 50, 100 человек.

По всем направлениям суммарный поток в пике 150-200Мбит пока не превысит, потому что абонентов всего и 300 не наберётся в ближайшие месяца четыре, а там и вумную железку возьмём, поставим в готовое, только кабели переподключить... а?

Толк в этом есть?

[nightfly 1 239]

не выселять же их.

а кстати хорошая идея - возьмем на заметку

 

У нас статика.

фи

 

Логирование. Сначала убью, потом отключу.

не найдете, не отключите - в логах вы ничего не найдет. У вас останется один выход - тушить свой гейт и вырубать по очедеди все свичи и смотреть когда же самозванец начнет пингаться.

 

В нормальном варианте это все лечится прибиванием мака конкретного абонента к конкретному порту - вот и все.

 

Да, это ППЦ. И что, действительно не поможет разделение на подсети? А если умную железку де-нить в середине сети?

нет - только даже дешевые свичи но с защитой от лупа. прошедшему шторму будет плевать какие вы там айпишки и для чего понавыдумывали.

 

Не сталкивался, но думаю что решение сродни проблеме ниже.

будете раз в 20 секунд перегружать всех питанием? Ничего не скажешь - практично

 

моя проблема в непонимании особой разницы между L2 и L3

грубо соотноситься с моделью OSI

 

http://uk.wikipedia.org/wiki/%D0%9C%D0%BE%D0%B4%D0%B5%D0%BB%D1%8C_OSI

 

Все что у вас сейчас - это л2 (канальный уровень) которому плевать на ваши айпишки, подсети и прочую лабуду - он знает только о маках, фрагментациях и модуляциях. Л3 - вот там уже начинается работа с айпишечками, фильтриками итд итп.

 

Денег на хорошую железку не дают, может из него роутер сделать на Фряхе - для этого дела, пока?

если есть возможность, желание и смысл (а вы уже намалевали на личточке бумаги что вы пытаетесь сделать?) почему бы и нет?

 

Толк в этом есть?

в любом желании работать "как надо" а не "как дешевле" всегда есть толк

[Kucher2 122]

А какой поток рельно потянет такой роутер на компе, который я описал, еси в него 5 карточек воткнуть сетевых? И насколько он функциональный может получиться по сравнению с аппаратной железкой L3, на FreeBSD? Может какую другоу ОС поставить? Говорят Микротик сваливатеся при 150Мбитах...

P-IV, 2,8ГГЦ, 2ГГБ RAM. Мать P4P800 SE, 5 PCI-слотов