Внедрение PPPoE.

[Гайджин 574]

Ну, то, что я не админ ещё не означает, что я не разбираюсь в теме .

Не ну мне то по сути пофигу, но Вы задаете такие вопросы, на которые при сети формата 5К должны бы ответы знать.

Вообще не понятно как вы дожили до 5К при статической IP-адресации.

Админы нагружены полезный работой. Начальники шерстят форумы, дабы накинуть админам работы .

Командир "попингуев" начальник администратора? - Занятнос...

Просто интересно мнение общественности, ибо при внедрении с меня тоже будут спрашивать мнение.

В PPPoE страшного ничего нет, и работает оно нормально - главное его грамотно приготовить.

Тут дело в другом - если у вас сеть на plain IP, то более перспективным было бы все же двигаться в сторону IPoE (DHCP+Opt82).

То что это затратнее - это да, но опять же, мы не знаем насколько развита ваша сетевая инфраструктура.

[Гайджин 574]

Угу. Или рвутся по причине кривого файрвола, или еще каких софтовых проблем.

Точно так же и IP не получается по DHCP на "загаженных" машинах, и из-за того-же файрвола. Или получается, но инета нет. Так что разницы не вижу.

Абсолютно в дырочку. - Полностью с Вами согласен.

Т.е. если сеть в настолько убогом состоянии что PPPoE сессия рвется по LCP-timeout, то и в режиме plain IP абоненты будут испытывать мучения.

[centaurus 0]

Не ну мне то по сути пофигу, но Вы задаете такие вопросы, на которые при сети формата 5К должны бы ответы знать.

Интересен практический опыт внедрения технологии. Какая разница какое у нас количество абонентов, если мы с PPPoE сроду не работали?

Вообще не понятно как вы дожили до 5К при статической IP-адресации.

А что тут непонятного? Дожили и нормально себе живём дальше.

Командир "попингуев" начальник администратора? - Занятнос...

А я написал, что я начальник администратора? Я написал, что мы коллегиально будем решать что делать, в том числе и с моим участием.

Читайте внимательнее .

В PPPoE страшного ничего нет, и работает оно нормально - главное его грамотно приготовить.

Это я уже понял. Но с другой стороны - народ сообщает, что есть странные глюки при работе с PPPoE, а этого мы себе по понятным причинам позволить не можем.

Тут дело в другом - если у вас сеть на plain IP, то более перспективным было бы все же двигаться в сторону IPoE (DHCP+Opt82).

То что это затратнее - это да, но опять же, мы не знаем насколько развита ваша сетевая инфраструктура.

DHCP тоже глючит дай Боже. Года полтора назад столкнулись с тем, что у некоторых абонентов на WinXP SP3 dhcp client запрашивал настройки каждые 10 секунд, из-за чего вешалась сетевуха намертво. Пробивали настройки статикой - всё нормально. Со временем эта проблема ушла сама собой.

[Tux 24]

В PPPoE страшного ничего нет, и работает оно нормально - главное его грамотно приготовить.

Это я уже понял. Но с другой стороны - народ сообщает, что есть странные глюки при работе с PPPoE, а этого мы себе по понятным причинам позволить не можем.

А можно узнать примеры этих самых странных глюков?

Из личной практики pppoe работает очень даже стабильно. Перестал pppoe сервер справляться с нагрузкой, поставил параллельно второй и работаешь дальше, плюс повысилась отказоустойчивость.

[centaurus 0]

А накой геморрой везде наживать-то?

Вон, по вафле больше пары мегабит абонам реально нельзя раздавать - так что, по всей сети ставить такие же тарифы?

Не стоит лепить костыли там, где и без них прекрасно работает.

Сравниваете Вы несравнимое. Плодить зоопарк технологических решений не хочется, чтобы не утонуть в них же.

У нас огромное количество что Л2 свичей, что shdsl модемов, wifi точек доступа, медных подключений. Советуете их всех содержать используя для каждого конкретного способа подключения свою схему авторизации или получения настроек? В таком случае точно нужно будет увеличивать штат саппорта, потому, что имеющиеся повесятся точно.

Портал авторизации, авторизация средствами самих точек доступа (да-да, многие умеют радиус-авторизацию), и т.п., ну или же туннели только на отдельных участках (т.е. только на вафлях).

Я ответил выше.

Иначе получается рай для пионернетов, перепродающих тот же укртелекомовский инет через вашу AP, либо (если настроен isolated режим и пионерам халява обломится) периодические неведомые глюки из-за по какой либо причине неработающих абонов (не оплатили/отключились/etc), у которых вирусня весело флудит udp пакетами....

Никаких пионернетов. Всё изолировано и засекьюрено. На заре вафлестроения у нас когда-то была описанная Вами проблема на славноизвестных в узких кругах АПшках ZCOM- 580-ЧЕГО-ТО-ТАМ, но мы там помню и её очень оперативно пофиксили.

При дхцп абоненту ничего не надо вводить. Включил комп и все, интернет есть. А вот пппое настроить, когда винда подбита, или файрвол/антивирь блочит, или еще что - это печально.

Если венда подбита, то она подбита, и гарантировать нормальную работу на такой системе никто не берётся.

То, что Вы написали прекрасно касается и к странностям работы DHCP на побитых вирусами машинах.

Угу. Или рвутся по причине кривого файрвола, или еще каких софтовых проблем. А еще точки доступа часто туннели не умеют. И прочие "прелести".

Если кривое - нужно ровнять киянкой .

[centaurus 0]

Господа, благодарю за ваше внимание.

Присоединюсь к беседе завтра.

Удачного вечера .

[NiTr0 584]

Точно так же и IP не получается по DHCP на "загаженных" машинах, и из-за того-же файрвола. Или получается, но инета нет. Так что разницы не вижу.

Неужели ни у кого из абонов не выскакивало волшебной 720-й ошибки, которая возникает от чего удобно (один из примеров - прерванная установка дров на сетевуху из-за подвисания процесса), и в общем случае решается только переустановкой оси?

 

А еще чаще они роутером вообще работать не умеют, так что IPoE им никак не поможет.

А пофиг, что не умеют. Один клиент за аткой точкой прекрасно будет работать. Без необходимости поднимать туннель и т.п.

 

Т.е. если сеть в настолько убогом состоянии что PPPoE сессия рвется по LCP-timeout, то и в режиме plain IP абоненты будут испытывать мучения.

Однако проблем с туннелями по причине проблем на стороне абонента намного больше, чем проблем с DHCP - факт.

 

Интересен практический опыт внедрения технологии. Какая разница какое у нас количество абонентов, если мы с PPPoE сроду не работали?

Основной "практический опыт" для вас будет заключаться в перенастройке оборудования клиентов, приучиванию их к необходимости запуска соединения каждый раз и ответе на вопрос "а какого хрена, если раньше и так работало?", а потом - разъяснению толпам абонов, перебивших себе винду, по ошибке вбивших не тот логин, стерших пароль (или со сбившимся паролем из-за бага винды - бывает вроде иногда слетает сам по себе), куда ткнуть мышкой и как ввести пароль по новой, и где искать логин-пароль если договор после заключения сразу же постелили котику в лоток, а еще - отсеять тех, кто действительно является владельцем учетки, от их соседей, косящих бод забывчивых абонентов с целью выведать пароль и посидеть в инете на халяву. Это так, далеко не полный перечень того, к чему вы стремитесь.

 

Это я уже понял. Но с другой стороны - народ сообщает, что есть странные глюки при работе с PPPoE, а этого мы себе по понятным причинам позволить не можем.

Проблемы не странные, а вполне себе предсказуемые и общеизвестные. Заключаются в глюкавости некоторых железок и недоделанности осей от M$, благодаря чему геморроя в общей сложности от PPPoE больше, чем от обычного IPoE.

 

DHCP тоже глючит дай Боже. Года полтора назад столкнулись с тем, что у некоторых абонентов на WinXP SP3 dhcp client запрашивал настройки каждые 10 секунд, из-за чего вешалась сетевуха намертво. Пробивали настройки статикой - всё нормально. Со временем эта проблема ушла сама собой.

Ни разу такого не было.

 

А можно узнать примеры этих самых странных глюков?

Из личной практики pppoe работает очень даже стабильно. Перестал pppoe сервер справляться с нагрузкой, поставил параллельно второй и работаешь дальше, плюс повысилась отказоустойчивость.

Со стороны сервера-то проблем никаких. Проблемы - с тем, что у клиентов с туннелями неприятности случаются намного чаще, чем с обычным DHCP. + далеко не каждый роутер на жирном пакете сможет сотку по пппое выжать, о пптп вообще молчу.

 

Сравниваете Вы несравнимое. Плодить зоопарк технологических решений не хочется, чтобы не утонуть в них же.

У нас огромное количество что Л2 свичей, что shdsl модемов, wifi точек доступа, медных подключений. Советуете их всех содержать используя для каждого конкретного способа подключения свою схему авторизации или получения настроек? В таком случае точно нужно будет увеличивать штат саппорта, потому, что имеющиеся повесятся точно.

 

Нет, это вы как раз зоопарк на ровном месте разводите. Ибо в придачу к уже существующей авторизации абонента по порту пытаетесь лепить еще и авторизацию по логину-паролю, непонятно накой. А если при этом хотите еще и управляемую сеть низвести до неуправляемой помойки, где каждый желающий может легко и непринужденно просниффить пароль соседа и пользоваться инетом на халяву - это вдвойне печально.

 

Если венда подбита, то она подбита, и гарантировать нормальную работу на такой системе никто не берётся.

То, что Вы написали прекрасно касается и к странностям работы DHCP на побитых вирусами машинах.

Повторюсь, проблемы с туннелями возникают в разы чаще, чем проблемы с дхцп. Роответственно, штат саппорта нужно будет увеличить в несколько раз. И кол-во недовольных клиентов тоже в несколько раз возрастет.

 

Хотя, как говорится, каждый сам п№%?ец своего счастья. Мы собираемся уходить от пппое на полностью управляемое железо и IPoE, хотя бы в районах с большой плотностью абонов. Хотите наоборот - ваше право. Только логике это не поддается.

[Гайджин 574]

Однако проблем с туннелями по причине проблем на стороне абонента намного больше, чем проблем с DHCP - факт.

Проблемы на стороне абонента возникают не из за применяемой технологии доступа, а из за наличия самого абонента. - Но этого избежать, увы, не удастся.

Ибо в придачу к уже существующей авторизации абонента по порту пытаетесь лепить еще и авторизацию по логину-паролю, непонятно накой.

Opt82 не отменяет авторизацию по логину и паролю. И опять же, с чего вы взяли что у них существует авторизация по порту - этого вроде бы как написано не было.

 

Хотя в общем и целом, я уже сказал (хоть и менее эмоционально чем Вы ), если уже есть plain IP, то переходить на PPPoE не дальновидно (не перспективно).

[madf 279]

В PPPoE страшного ничего нет, и работает оно нормально - главное его грамотно приготовить.

Это я уже понял. Но с другой стороны - народ сообщает, что есть странные глюки при работе с PPPoE, а этого мы себе по понятным причинам позволить не можем.

А можно узнать примеры этих самых странных глюков?

Из личной практики pppoe работает очень даже стабильно. Перестал pppoe сервер справляться с нагрузкой, поставил параллельно второй и работаешь дальше, плюс повысилась отказоустойчивость.

У моего провайдера бывает "зависает" сессия. Переподнять не сложно, но неприятно.

[centaurus 0]

Спасибо.

Для себя вопрос исчерпал . Донесу мыслю до топ менеджмента.

Всем спасибо.

[Гайджин 574]

Спасибо.

Для себя вопрос исчерпал . Донесу мыслю до топ менеджмента.

Всем спасибо.

Собрание, заходит незнакомый мужчина.

- Эй! Ты кто такой?

- Я!!? Топ-менеджер!!!

- А ну пшол нах отсюда!!!!!

топ-топ-топ-топ-топ...

[fet4 46]

PPPoE - прекрасный протокол, если он подходит вашей сети технически и "религиозно" - ставьте. Разговоры типа - будет очень много проблем и не стыковок на стороне клиента бред, это их личные проблемы. Из собственного опыта - бывают выпадают 720-ые ошибки у клиентов связанные с кривизной винды, дров или еще чего-то. Удаление пароля - лечится убиранием галочки "Запрашивать логин, пароль, сертификат". От людей обслуживающих сеть вообще не слышно о проблемах pppoe.

Так что решайте!

[Gang 5]

Уже не первый раз такие темы всплывают. Вместо того, чтобы сделать маленький шаг и довести все на ума, учитывая что железо позволяет, делают комбек ту 2000-е - БРЕД (С) НЕП

[NiTr0 584]

Проблемы на стороне абонента возникают не из за применяемой технологии доступа, а из за наличия самого абонента. - Но этого избежать, увы, не удастся.

Однако 5 проблем, или 50 - есть разница же?

 

Opt82 не отменяет авторизацию по логину и паролю.

В общем-то отменяет. Т.к. известно, в какой порт какой абонент включен - накой еще что-то проверять? Ну а технологические проверки по косвенным признакам (миграция мака и т.п.), для выявления и наказания виновника ошибочного включения (прощелкавшего клювом диспетчера либо же монтажана, самовольно поигравшегося кабелями), проходят прозрачно для абона.

[Гайджин 574]

1. 5 или 50 - это вилами по воде писано.

2. Я конечно понимаю что Вам поспорить хочется, но я лишу Вас этого удовольствя. Ибо если Вы не видите необходимости авторизации при ipoe, то спорить с Вам грешно.

3. Что же касается "преступления и наказания", то мне ближе не "кто виноват", а "что делать".

[petrovi4 178]

PPPoE - прекрасный протокол, если он подходит вашей сети технически и "религиозно" - ставьте. Разговоры типа - будет очень много проблем и не стыковок на стороне клиента бред, это их личные проблемы. Из собственного опыта - бывают выпадают 720-ые ошибки у клиентов связанные с кривизной винды, дров или еще чего-то. Удаление пароля - лечится убиранием галочки "Запрашивать логин, пароль, сертификат". От людей обслуживающих сеть вообще не слышно о проблемах pppoe.

Так что решайте!

Мы уже от этого "прекрасного" протокола пострадали. Начинали с 2мбсек минималка - все норм, сеть строили сразу "чтобы не переделывать" на управляемом оборудовании. Проходит год - тариф 20мбсек - все норм.. проходит еще надцать месяцев - дошли до сотки. Только вот беда, 100 давили только мощные тазики, у тех что послабее проц умерает. приходилось обьяснять абонам что ихнее ведро не вывозит соточку. Заходит в город КС! И ох йопт! тот- же "не очень" тазик давит все 80 мег!! Все бы ничего, один клиент, бывает.. Но когда таких "сравнивателей" набралось около сотни мы резко перешли на DHCP+opt82+ edge-corовская авторизация по радиусу. Теперь у всех все давит как нужно, плюс никаких настроек. Как по мне PPPoE только там где скорости до 20м,сек и сеть на мыльницах.

[Гайджин 574]

Слова местами правельные но выводы не верные. А почему? - да потому что однобоко подходите к сути вопроса, а так же забываете сказать что у pppoe есть и светлые стороны. Такие как, очень гибкое управление адресным прстранством и рачительное его использование. В режиме ipoe такого не получается. И при определенных обстоятельствах это может быть серьезным доводом в пользу pppoe. Но насколько я понимаю, ТС имеет серую статику plain IP, а поэтому это довод его не касается - он этого просто не видел.

Что же касается "быстрого прыгания" - Вы можете ответить на три простых вопроса?

1. Примерное количество кастомеров в Вашей сети (с вероятностью 99% оно зночительно меньше чем у ТС)?

2. Топология Вашей сети?

3. Имеется ли промежуточная агрегация, и если да, то какая она - l2 или l3?

После того получения ответов станет ясно почему "быстро".

[NiTr0 584]

1. 5 или 50 - это вилами по воде писано.

Это примерная статистика. Ибо у нас пппое юзается для доступа в инет, а локалка - благодаря раздаваемым по дхцп маршрутам, как-то кол-во проблем можем сравнить.

 

2. Я конечно понимаю что Вам поспорить хочется, но я лишу Вас этого удовольствя. Ибо если Вы не видите необходимости авторизации при ipoe, то спорить с Вам грешно.

3. Что же касается "преступления и наказания", то мне ближе не "кто виноват", а "что делать".

Зачем авторизировать как-либо при однозначной идентификации абонента по порту?

Повторюсь, выявление ошибок сотрудников - это задача не авторизации, а последующего анализа логов и генерации уведомлений при подозрительных ситуациях (к примеру, миграция мака с одного порта на другой). И потом уже их рассматривать - если мак на постоянно поселился на другом порту и перед этим на узле присутствовали сотрудники, давать по рукам за несанкционированное переключение в другой порт и править настройки.

 

Мы уже от этого "прекрасного" протокола пострадали. Начинали с 2мбсек минималка - все норм, сеть строили сразу "чтобы не переделывать" на управляемом оборудовании. Проходит год - тариф 20мбсек - все норм.. проходит еще надцать месяцев - дошли до сотки. Только вот беда, 100 давили только мощные тазики, у тех что послабее проц умерает. приходилось обьяснять абонам что ихнее ведро не вывозит соточку. Заходит в город КС! И ох йопт! тот- же "не очень" тазик давит все 80 мег!! Все бы ничего, один клиент, бывает.. Но когда таких "сравнивателей" набралось около сотни мы резко перешли на DHCP+opt82+ edge-corовская авторизация по радиусу. Теперь у всех все давит как нужно, плюс никаких настроек. Как по мне PPPoE только там где скорости до 20м,сек и сеть на мыльницах.

Есть такое дело, хотя это актуально для железок возрастом лет 7+. С пптп все еще более печально - дуалкор 1.8ггц под виндами более 50 мбит не вывозит

 

очень гибкое управление адресным прстранством и рачительное его использование. В режиме ipoe такого не получается.

Получится, при желании. Пара примеров:

1) DHCP + /32 маршрут на абона на шлюзе + OSPF с трансляцией static маршрутов, абону выдается подсеть равная AS, включается proxyarp

2) lISG с натом 1:1

[Гайджин 574]

1. 5 или 50 - это вилами по воде писано.

Это примерная статистика. Ибо у нас пппое юзается для доступа в инет, а локалка - благодаря раздаваемым по дхцп маршрутам, как-то кол-во проблем можем сравнить.

Сравнение сладкого с мягким. - От этого и статистика такая.

Зачем авторизировать как-либо при однозначной идентификации абонента по порту?

Не ну если у Вас 24 порта (абонента), то пожалуй что да - тут не аутентификация, а просто фейсконтроль больше подходит.

очень гибкое управление адресным прстранством и рачительное его использование. В режиме ipoe такого не получается.

Получится, при желании. Пара примеров:

1) DHCP + /32 маршрут на абона на шлюзе + OSPF с трансляцией static маршрутов, абону выдается подсеть равная AS, включается proxyarp

Вы описанную связочку на чем исполнять собираетесь?

Отморозившись, по заданным Вам вопросам, Вы четко дали понять, что понимаете, что то что хорошо для Вас в иных случаях выглядит как любимое слово NEP-а.

2) lISG с натом 1:1

Т.е. Вы находите NAT 1:1 тождественной заменой белого IP на интерфейсе кастомера? - Занятнос...

[Gang 5]

Эм, а зачем такие сложности ?

 

НАТ 1:1, /32 на абонента...

 

Купить хотя бы ту же 3560 и воспользоваться Ip unnumbered и vlan per ***, чем не вариант то?

 

А ежели есть брас на котором ISG, или аналоги от Ericsson, Juniper, то прямо там уже можно на основе dhcp рулить, как хочешь. Хоть из пула выдавать, хоть как, главное чтобы биллинг все понимал.

[Гайджин 574]

Купить хотя бы ту же 3560 и воспользоваться Ip unnumbered и vlan per ***, чем не вариант то?

Воот! Я ждал этого вопроса. (с) ВВЖ - А вот теперь подумайте сами и ответьте, в каких случаях Ваше предложение не фен шуй? (на сообщение #42 при этом гляньте).

[fet4 46]

PPPoE - прекрасный протокол, если он подходит вашей сети технически и "религиозно" - ставьте. Разговоры типа - будет очень много проблем и не стыковок на стороне клиента бред, это их личные проблемы. Из собственного опыта - бывают выпадают 720-ые ошибки у клиентов связанные с кривизной винды, дров или еще чего-то. Удаление пароля - лечится убиранием галочки "Запрашивать логин, пароль, сертификат". От людей обслуживающих сеть вообще не слышно о проблемах pppoe.

Так что решайте!

Мы уже от этого "прекрасного" протокола пострадали. Начинали с 2мбсек минималка - все норм, сеть строили сразу "чтобы не переделывать" на управляемом оборудовании. Проходит год - тариф 20мбсек - все норм.. проходит еще надцать месяцев - дошли до сотки. Только вот беда, 100 давили только мощные тазики, у тех что послабее проц умерает. приходилось обьяснять абонам что ихнее ведро не вывозит соточку. Заходит в город КС! И ох йопт! тот- же "не очень" тазик давит все 80 мег!! Все бы ничего, один клиент, бывает.. Но когда таких "сравнивателей" набралось около сотни мы резко перешли на DHCP+opt82+ edge-corовская авторизация по радиусу. Теперь у всех все давит как нужно, плюс никаких настроек. Как по мне PPPoE только там где скорости до 20м,сек и сеть на мыльницах.

Да ну отказываться от вкусностей из-за того что у кого-то слабый тазик?!) Непойдет. Личной мой комп средней мощности по сегодняшним меркам, 100 вывозит по pppoe аж бегом и стоит рядом 8-и летней давности, тот да выше 20 не дает.

[petrovi4 178]

PPPoE - прекрасный протокол, если он подходит вашей сети технически и "религиозно" - ставьте. Разговоры типа - будет очень много проблем и не стыковок на стороне клиента бред, это их личные проблемы. Из собственного опыта - бывают выпадают 720-ые ошибки у клиентов связанные с кривизной винды, дров или еще чего-то. Удаление пароля - лечится убиранием галочки "Запрашивать логин, пароль, сертификат". От людей обслуживающих сеть вообще не слышно о проблемах pppoe.

Так что решайте!

Мы уже от этого "прекрасного" протокола пострадали. Начинали с 2мбсек минималка - все норм, сеть строили сразу "чтобы не переделывать" на управляемом оборудовании. Проходит год - тариф 20мбсек - все норм.. проходит еще надцать месяцев - дошли до сотки. Только вот беда, 100 давили только мощные тазики, у тех что послабее проц умерает. приходилось обьяснять абонам что ихнее ведро не вывозит соточку. Заходит в город КС! И ох йопт! тот- же "не очень" тазик давит все 80 мег!! Все бы ничего, один клиент, бывает.. Но когда таких "сравнивателей" набралось около сотни мы резко перешли на DHCP+opt82+ edge-corовская авторизация по радиусу. Теперь у всех все давит как нужно, плюс никаких настроек. Как по мне PPPoE только там где скорости до 20м,сек и сеть на мыльницах.

Да ну отказываться от вкусностей из-за того что у кого-то слабый тазик?!) Непойдет. Личной мой комп средней мощности по сегодняшним меркам, 100 вывозит по pppoe аж бегом и стоит рядом 8-и летней давности, тот да выше 20 не дает.

На счет вкусностей, никогда не встречали когда один и тот-же логинпароль бегает от хомяка к хомяку? Это вкусность для абона.

Если железо позволяет дхцп+опт82 никаких вкусностей в пппое не вижу вообще, избавились от него как от полметрового гемороя

[Гайджин 574]

Если не видите, то либо не хотите, либо не дано. -Но в конечном итоге это не важно, суслика тоже не видно. Но и это тоже не важно, ТСу уже давно ответили на его вопросы - так что ведем праздную полемику.

 

p.s. что касается креденталсов и их гуляния - у Вас биллинг какой, что Вы такие вопросы задаете? PPPoE эксплуатируеься ужэ наверное лет 7-8, уж не думаете ли Вы, что за это время все эти финты ушами не поотсекали?

[KaYot 3 679]

PPPoE идеален для неуправляемых/частично управляемых сетей, с ним в таких условиях инет у абонентов вполне прилично работает. Без pppoe в неуправляемой сети полный бардак.

Для полностью управляемой сети с умным доступом это извращение, plain IPoE(не важно как реализованный, хоть на серых адресах с разными ip spource guard, хоть на белых с ip unnumbered, хоть микс с серыми и НАТом 1:1) наше все.