jaké řízení sítě, dhcp, pppoe .... má to smysl?

[Majklik]

Zaujímalo by ma, ako inak sa dá robiť riadenie siete okrem statickej IP, DHCP a PPPoE. V ankete je tam zopár ľudí, preto ma to zaujíma

Těch mechaniszmů je mnohem víc, záleží jakou infrastrukturu a na čem provozuješ. Třeba dneska se začínají objeovat už i IPv6 only přenosové sítě, které pak případný přenost IPv4 řeší nějakým AFT (NAT64/DNS64 a podobné experimenty) nebo 4over6 (celkem funkční a třeba v Číně aplikováno masově) mechanismem. Např u takového DS-lite je pak natvrdo zadrátovaná IPv4 adresa každého klienta 192.0.0.2.

Třeba proto, že Mikrotik/UBNT je nepoužitelný pro takový klasický carrier koncept. Jak douho lidi řvou na MikroTIky třeba kvůli podpoře LAC/LNS (LAC nula bodů, LNS funkce budiž, pokud se nepoužívá autentizace řídícího spojení).

Okoune, došlo mi, že zrovna podpora LAC by se ti možná hodně hodila a líbila na řešení toho, že ti koncové APčka už SQ nedávají. Tak se zpaoj do klubu řvoucích.
O co jde, Okoun má klasikou routovnou síť, kde na koncových AP má puštěné PPPoE servery, tím pádem PPPoE jde jen poslední hop. Takto přichází o kus kouzla PPP like přístupových sítí. Přihlašovací údaje má v RADIUSu, psolu s IPčky a nastavením pro vytváření automatických SQ. Nu, od nějaké doby to ty koncové RBčka nedávají, takže řešil, jak přesunout to řezání toků na něco výkoněkšího. Celkem je problém dle těch dat automaticky vygenrovat i třeba QT na hlavní bráně, takže snaha posunout ty PPPoE servery na něco výkonějšího a AP nechat jak jako AP. Škoda rozbíjet routovanou síť, tak pomocí tunelů. Kde EoIP nedopadlo nejlépe, snaha o VPLS tunely nějak nedopadla kvůli problémům s L2MTU (to se nedořešilo, že)?
Pokud by ROS podporoval koncept LNS/LAC, tak to máu na tři kliknutí. LNS je v podstatě L2TP server, to ROS s určitými ale umí, a LAC je v podstatě trnaslátor PPPoE na L2TP, takže by jen pustil L2TP server na hlavní bráně a na APčkách místo PPPoE serveru LAC, který přicházející PPPoE přebalí do L2TP a pošle k L2TP serverům a na nich už jede klasicky, jak doteď. Celá síť pro lidi zmizí a má to na jendé hromadě na nějaké tlusté bedně, která to v pohodě dá (a na celou přenosovou síť nemusí ani šahat, v porovnání s konfigurací MPLS). LNS/LAC je starší a takové řešení pro chudé, dneska to nahrazuje obvykle MPLS aplikace, ale to je pakárna provozovat u větší ítě v podobě, jak MPLS páchá MikroTik. Na korporátní klienty pak spíše neř klasické L2TP (v2 s vloženým PPP) máme L2TPv3, což je opět náhlda za VPLS pro chudé a hlavně tam, kde musím lézt přes hranice své sítě (L2TPv3 snad bude v ROS7).

Jiná pěkná aplikace LAC/LNS je to, co začínám dosti vidět v okolí ve chvíli, kdy přitáhne do kraje jedna konkurence, jejiž jméno jse nevyslovuje. Ostatní začnou mít snahu i spolupracovat a celkem běžně se řeší, že přijde ISP2 za ISP1 se slovy - voe, klofl jsme kunčofta, ale není od něj k nám vidět, k tobě vidím krásně, hele připojím ho na tebe, udělej mi tam vituální AP a pošli ho pak přes EoIP nebo něco na můj hlavní sajt, recipročně si také můžeš přijít.... V případě LAC/LNS je to jen o tom - OK, jedeme PPPoE, dej klientovi přihlašovací jméno třeba formátu kuncoft@isp2 a LAC server v APčku se nastaví, že když přileze PPPoE požadavek s loginem <něco>@isp2, tak to to tím L2TP pošle přímo k ISP2 na jeho LNS a ostatní na moji sadu L2TP serverů...

[stepan.benes]

Majklík +1, konečně rozumná odpověd !
Celý problém je minimálně o 2. řády složitější než jen prosté statika/DHCP/PPPoE ... Je to o celé koncepci sítě a jejích služeb, oddělení vrstev (access, agregace, core ...), zabezpečení, atd.
Zrovna o vhodnosti PPPoE v prostředí triple-play sítí založených na Ethernetu nejsem moc přesvědčen. Mě osobně přijde kombinace 802.1X a DHCP elegantnější, ale že bych to hlásal jako nějaké dogma ...
Víceméně to už vychází z business modelu, jestli někdo staví síť jako přerostlou Ethernet LAN, s tím že jeho bude poskytovat připojení na až/asi/možná parametrech nebo jako skutečně operátorskou síť.

[okoun]

Okoune, došlo mi, že zrovna podpora LAC by se ti možná hodně hodila a líbila na řešení toho, že ti koncové APčka už SQ nedávají. Tak se zpaoj do klubu řvoucích.
O co jde, Okoun má klasikou routovnou síť, kde na koncových AP má puštěné PPPoE servery, tím pádem PPPoE jde jen poslední hop. Takto přichází o kus kouzla PPP like přístupových sítí. Přihlašovací údaje má v RADIUSu, psolu s IPčky a nastavením pro vytváření automatických SQ. Nu, od nějaké doby to ty koncové RBčka nedávají, takže řešil, jak přesunout to řezání toků na něco výkoněkšího. Celkem je problém dle těch dat automaticky vygenrovat i třeba QT na hlavní bráně, takže snaha posunout ty PPPoE servery na něco výkonějšího a AP nechat jak jako AP. Škoda rozbíjet routovanou síť, tak pomocí tunelů. Kde EoIP nedopadlo nejlépe, snaha o VPLS tunely nějak nedopadla kvůli problémům s L2MTU (to se nedořešilo, že)?

Ano nepovedlo se kvůli slabému MTU nicméně problém nastal někde mezi bránou a alcomo kde z jedné strany bylo MTU dost divné a zdruhé normální Brána půjde co neviodět pryč. Jinak asi ano bylo by to řešení, možná že na Mikrotik začnu také tlčit. Více by se mi ale líbili kdyby billung uměl ověřit pomocí PPPoE/radius klienta a potom by na základě toho pomocí třeba API vytvořil na brábně pěkné QT ješlě dle toho z jaké je lokality ap odobně, clekem pěkná agregace by to mohla být

[Majklik]

Ano nepovedlo se kvůli slabému MTU nicméně problém nastal někde mezi bránou a alcomo kde z jedné strany bylo MTU dost divné a zdruhé normální Brána půjde co neviodět pryč. Jinak asi ano bylo by to řešení, možná že na Mikrotik začnu také tlčit. Více by se mi ale líbili kdyby billung uměl ověřit pomocí PPPoE/radius klienta a potom by na základě toho pomocí třeba API vytvořil na brábně pěkné QT ješlě dle toho z jaké je lokality ap odobně, clekem pěkná agregace by to mohla být

Jistě, bylo by hezké, kdyby to šlo jendoduše udělat, aby dle dat z LDAPu, co máš, se na hlavní bráně sestavilo SQ/QT dle IP adres a na koncích to PPPoE to dle toho zase pěkně ověřovalo/přidělovalo IPčka. Nu, to si budeš muset udělat sám. A nebo doufat, že přibude ta podpora pro VPDN (což je Cisco zkratka pro ten PPPoe na L2TP bridge). Ale lidí o něj brblají už dob ROS3 a pořád nic... Viz např: http://forum.mikrotik.com/viewtopic.php?f=2&t=18611 (a podobných je na fóru vícero).

Celý problém je minimálně o 2. řády složitější než jen prosté statika/DHCP/PPPoE ... Je to o celé koncepci sítě a jejích služeb, oddělení vrstev (access, agregace, core ...), zabezpečení, atd.
Zrovna o vhodnosti PPPoE v prostředí triple-play sítí založených na Ethernetu nejsem moc přesvědčen. Mě osobně přijde kombinace 802.1X a DHCP elegantnější, ale že bych to hlásal jako nějaké dogma ...
Víceméně to už vychází z business modelu, jestli někdo staví síť jako přerostlou Ethernet LAN, s tím že jeho bude poskytovat připojení na až/asi/možná parametrech nebo jako skutečně operátorskou síť.

On ten PPP koncept je hodně starý a funkční. Vždyť dneska řada lepších access switchů uní funkci PPPoE koncentrátorů/serverů nebo ty levné aspoň PPPoE helpery atd. Vlastně v některých RotuerBoardech jsou i switch chipy, které mají hardwarovou podporu pro PPPoE, ale ROS ji neumí používat. Nicméně, jak jsme psal o pár příspěvků výše, je vidět snaha PPP z toho zrušit při zachování logické funkčnosti PPP bod-bod tunelů. Vždyť i do DSL linek se řeší, jak to PPP vypárat a honit to jako klasický Ethernet.
Ano, pokud mám už plně síť na optice a Ethernetu, tak do toho cpát PPPoE bych se nesnažil, spíše využít VLAN, případně QinQ, ale počítám s tím, že je s tím víc práce a méně pohodlí, jak ten PPPoE koncept. PPPoE má také plus, že ho umí každá krabice a pokud dávám lidem veřejky přímo na jejich CPE, tak přes PPPoE je dopravím v pohodě s minimem ztrát protože těch home krabic není moc, co sežerou IP s /32 přímo na ethernet (pokud nechci lidme nutit RBčka domů nebo dělat NAT1:1 v centrále) a při použití kalsického /30 spojováků na veřejkách je moc odpadních ztrát.

A i když budu mét svoji síť pěkně L2 Ethernet, tak princip LNS/LAC by bylo velmi nevhodné přehlížet! Zvláště teď, kdy O2 se chystá nasadit vectoring do DSL ve větším, což znamená trochu znepříjemnění konkurence s vysokými rychlostmi připojení, ale zároveň změnu konceptu přeprodeje do stavu, který může být velmi zajimavý. Teď máme buď přeprodej jejich ADSL připojení za nějaký bakšiš, pár lidí dělá, nebo přenechání holého drátu, což znamená vlastní DSLAM vedle jejich, což je nesmysl pro malý objem. Ale holý drát končí, nelze při použití vectoringu mít na kabelovém svazku vedle sebe dva DSLAMy, takže se jde na sdílení bitstreamu, což teď nějak vyjednávají s ČTU. A bitstream znamená, že to obslouží DSLAM O2 na DSL/PPPoE vrstvě všem a následně linky prodané jiným, tak jejich LAC v DSLAMu to PPPoE pošle obvykle tím L2TP tomu, kdo je má odkoupeno. Toto je nejčastější metoda přeprodeje v rozumných zemích a zřejmě to tak dopadne i zde. A pokud bude velkoobchodní nabídka aspoň trochu rozumná, tak to bude použitelné i když takto klovnu pár desítek/stovku DSL linek. Řada lokálních ISPíků v okolních státech má takto v nabídce i "své DSLko" na sdíleném bitstreamu. Takže jen doufat, že O2 nebude zatvrzele trvat na autorizaci spojenní LAC/LNS na L2TP vrstvě, protože tu ROS neumí, pak půjde si nechat posílat DSL linky k sobě třeba na CCRko a dávat jim svoje IP a parametry přes svůj L2TP server... Na stejném principu dávno fungují různé OneNet/OneConnect služby, kdy se takto posílají DSL/CDMA/GSM+ datové linky přímé do firmy a ne, aby to šlo jako normální Internet připojení.