PPPoE koncentrator pre 300+ zakaznikov

[Warcz]

Hapi,
Ale aj tak ti dakujem, este ma tento rok nikto nestihol zj*bat

)))

Nebuďte tak negativně naladěni. Má starou siť a chce to řešit to se přece cení ! Určitě bych usery co nejméně otravoval. Ty VLAN by mohli byt pohodové a nenáročné řešení.

[Maxik]

pptp nebo neco podobneho je take nebude otravovat, protoze to bude vytacet primo ta klientska krabicka. Nerikam ze to je nejlepsi reseni ale je to reseni a bezne se to pouziva co vim, samozrejme bez sifrovani dat, jde prece o autentifikaci ne o sifrovani provozu

[Caleb]

Ty totiž musíš třeba nastavovat MKčko pro PPPoE, musíš tam vlíst, dopsat usera, pak ho dopíšeš do nějakýho svýho seznamu userů.

Od toho je snad RADIUS server, ne? Diky PPPoE nemusi monteri co pripojuji lidi (at uz dratem nebo bezdratem) znat mikrotika, pouze si v IS vygeneruji username/password. Dalsi vyhoda je automaticky vyreseny accounting, takze presne vidim, kdy byl jakej user pripojenej a kolik stahnul dat atd. A pokud clovek neresi Queue Tree, tak ma i automaticky vyreseny shaping - parametry pro simple queue predava mikrotiku opet Radius server.
U routovanych bezdratu se jako PPPoE koncetratory daji pouzivat koncove APcka, dojde tim k distribuci vykonu. Jedinej problem by opravdu byl FTTB s hodne zakazniky. Za a) jak pises problem s licenci a b) problem s vykonem. Navic simple queue s vice jak desitkama pravidel je prasecina.

Pokud jde o duchodce co nechce wifi a ma jeden PC, tak si prinejhorsim muze vytacet PPPoE primo na pocitaci, zase tolik takovych lidi neni. Pokud ma nekdo vice PC, tak stejne potrebuje switch a ten se cenove od dratoveho routeru moc lisit nebude.

Sam tohle budu resit a PPPoE se mi stale jevi jako pro nas nejlepsi reseni. Lze ten system VLANu + DHCP nejak automatizovat, abych monter/admin pri pripojovani noveho zakaznika nemusel nikde nic konfigurovat?

[Peyrak]

Lze ten system VLANu + DHCP nejak automatizovat, abych monter/admin pri pripojovani noveho zakaznika nemusel nikde nic konfigurovat?

před výstavbou si zpracuju dokumentaci zapojení a k ní i konfiguraci, a tu stavbu plánuju na 100% penetraci, porty nepřpijených bytů na koncových switchích disabluju, pak při připojení nového klienta mu jen dodělám kabel po bytě a enabluju port na switchi a je to hotový

[honzam]

Přesně tak to děláme i my. Akorát že port na switchi je aktivní ale připojení je neaktivní. Zobrazuje se hláška s telefonním číslem že pokud má zájem o internet aby zavolal

[hapi]

moje řeč. Děláme to uplně stejně.

[Peyrak]

Přesně tak to děláme i my. Akorát že port na switchi je aktivní ale připojení je neaktivní. Zobrazuje se hláška s telefonním číslem že pokud má zájem o internet aby zavolal

já nepřipojeným nedávám kabel do bytu, zůstává smotaný někde v rozvaděči na chodbě

[honzam]

To my většinou taky. Ale pokud už do bytu vede a zákazník se odstěhuje tak pouze deaktivujem připojení a zásuvka v bytě zůstává

[DarkLogic]

Ja bych akorat nesouhlasil s tim, ze by se melo pocitat se 100% penetraci. Nevim, jak to vychazi vam, ale mi pripojime 30 % - 50 % bytu v dome. Kdyz ma panelak 32 bytu, tak prece nebudu zbytecne dopredu utracet za 48 portovy switch, kdyz vim, ze mi v pohode vystaci 24p.

[hapi]

on to myslel tak že jsou nastavený všechny porty, jsou prostě připravený. Je na nich dhcp atd... a jsou zapnutý

[Peyrak]

zatím jsme to vždy dělali tak, že switch byl v každým vchodě, a stačily 16ti porty, jen jednou byl 24p, teď nově plánujeme 12 objektů kde je po 64 bytech, tak zatím hledám co tam dáme

[soooc]

zatím jsme to vždy dělali tak, že switch byl v každým vchodě, a stačily 16ti porty, jen jednou byl 24p, teď nově plánujeme 12 objektů kde je po 64 bytech, tak zatím hledám co tam dáme

Doporucuju vyhnout se 48 portovym switchum, pokud provozujem multicast, vetsinou jsou stejne vykonne jako 24 porty, jen maji t ech portu 2x tolik. Jinak mi treba pouzivame 48 portoveho bratra od edgecora es3528m. Takže das 2 switche do rozvadece, propojis to 2x 1G a udelas trunk. Myslim, ze ti to bude stacit nadosmrti

[Peyrak]

díky, to vypadá zajímavě, kde to kupuješ a v jaký asi cenový relaci?

[pixall]

zdravim vsetkych,

kolega ma upozornil na tuto diskusiu... najprv som myslel ze kaslem na to, ale nakoniec mi to nedalo a prinutilo ma to az k registracii chcel by som podotknut zoapr drobnosti...

- PPPoE je urcite blbost - a preto ho pouzivaju provideri so stotisicmi / milionmi / desiatkami milionov klientov... lebo nevedia ako sa to robi a nerozumeju tomu, na rozdiel od lokalnych ISP

- k napadu na to ze kazdy user (kazdy access port) ma byt jedna VLANa... zoberme si len jedno sidlisko, par tisic access portov, a ukazte mi hardware ktory to zvladne aspon nastavit. ved limit na pocet naraz aktivnych VLAN je radovo v desiatkach, stovkach sucasne pouzivanych VLAN na jedno zariadenie (z celkoveho poctu 4096 moznych VLAN id). najvyssi pocet nastavitelnych VLAN ktore som kedy videl bol 1024, tam uz konci kazde mne zname zariadenie. alebo si mam kvoli tomu sidlisko rozbit na niekolko serverovni, niekolko routrov? alebo aspon segmentov v ktorych budem opakovat cisla VLAN a ktore nebudu navzajom prepojene? to prehladnosti urcite prospeje.

- VLANy su v kombinacii s PPPoE velmi dobre - v konfiguracii ze jedna bytovka alebo wifi APcko je jedna VLANa... takato VLAN (ktora vyjadruje miesto pripojenia uzivatela) je privedena k PPPoE koncentratoru, a v nej sa autorizuju uzivatelia cez PPPoE. vdaka VLANe sa da potom urcit lokalita z ktorej sa uzivatel na ten PPPoE koncentrator hlasi. ak chceme vediet az konkretny port, tak potom v ramci tej VLANy treba na switchoch pohladat konkretnu MAC adresu.

- k velikym sietam a velkym rychlostiam a (ne)vhodnosti PPPoE by som si rad najprv nechal od expertov vysvetlit, aky je rozdiel vo vykonnosti medzi tym, ci sa k paketu prida VLAN hlavicka, alebo PPPoE hlavicka... v jednom aj druhom pripade je to par bajtov naviac. preco by PPPoE nemalo zvladnut velke rychlosti a VLAN ano? (obzvlast napriklad v mikrotikoch, kde ani VLAN ani PPPoE nie je riesene na hardwarovej urovni)... len tak orientacne, aby sme vedeli o akych masivnych zatazach a vypoctovych vykonoch sa tu bavime, tu je vytazenie jedneho z nasich PPPoE koncentatorov - postavene na linuxe, s kernel-mode pppoe, a firewallom a 4-classovym shapingom+QoS pre kazdeho usera. je to 1.6GHz intel atom (supermicro board) servujuci aktualne cca 100 megabit cez PPPoE cca 400 userom, to vsetko zabalene do asi 40 VLAN:
20:58:39 up 92 days, 6:58, load average: 0.01, 0.00, 0.00
jak vidite, nestiha to, ani nahodou... lokality s trafficom ktory v spickach dosiahne max do 100mbit bezime na ALIXoch (tusim okolo 680mhz cpu, 256mb ram), a maju podobny load. latencie kvoli PPPoE su ako cez kazdy bezny router, radovo 1ms.

- naopak obavam sa ze s tou vykonnostou to medzi statickou per-user VLAN a PPPoE, bude v prospech PPPoE.... ked mam staticky dvihnute VLAN rozhrania pre kazdeho usera (nebodaj uz pripravene pre 100% penetraciu) a nebodaj tam mam pre nich dvihnute uz aj shapingy (traffic filtre a classy), tak mi kazdy paket musi preliezt kazde filtrovacie pravidlo pre kazdeho online+offline usera. naproti tomu pri PPPoE sa shaping a pravidla pre usera nahodia do systemu az v momente, ked sa user pripoji, takze paket vobec neprelieza filtrovacie pravidila pre userov ktori su prave offline. v spicke mame online cca 50% userov, mimo spicky tak 30-40% (kvoli tomu ze vela ludi ma PPPoE v domacich routroch a wifi klientoch, ktore nechavaju zapnute). takze mam v PPPoE routri o 50-70% pravidel menej, nez keby som tam mal vsetkych nahodenych natrdo... co myslite, bude to na rovnakom hardwari viac alebo mene vykonne? obzvlast ked vezmeme do uvahy, ze zataz stroja sa da vyjadriet ako pocet paketov (za sekundu) * pocet pravidiel (ktorymi kazdy paket musi prejst), a teda zataz CPU rastie s pribudajucim poctom userov exponencialne? na PPPoE pouzivame menej vykonne stroje ako sme pouzivali na staticky routing+shaping a davaju lepsie vysledky ako predtym. a to sme pravidla v minulosti hodne optimalizovali do stromovych struktur pre znizenie zataze, takze kazdy paket neliezol cez tisicky pravidiel, iba cez par desiatok.

- pri per-user VLANe je (prepodpokladam) nutne dat na kazdu VLANu, teda kazdemu klientovi, /30 alebo vacsi subnet (tj min. 4 IPcky), aby sa to dalo naroutovat. (inac by sme muslei tie VLANy zbridgovat, a to by uplne stratili zmysel). pri verejnych IPv4 adresach je to nemyslitelne, minut 4nasobne viac IPciek nez je nutne. pri PPPoE pridelujeme userom IPcky s maskou /32 (teda jeden user, jedna IPka), a tieto IPcky sa vacsinou prideluju z dynamickych poolov. nakolko online nebyva viac ako 50% userov naraz, na 1000 zazmluvnenych userov mi (teoreticky) staci 500 IP adries. a nie 4000 ako by tomu bolo pri per-user VLANach.

- pri PPPoE vieme klientom pridelovat staticke IP adresy, ktore zostavaju staticke bez ohladu na to, kde sa klient do siete prihlasi. princip je jednoduchy - user sa prihlasi cez PPPoE, overi sa do siete, radius mu prideli predvolenu staticku IP, a koncentrator ju cez OSPF vypropaguje do siete. a je to. po odhlaseni sa propagacia z OSPF zase zrusi. pridame niekde novy router? pridame nove APcko na zlepsienie pokrytia? user sa prestahuje do inej lokality? nech sa paci. pripoji sa na ine zariadenie, na iny port, a my kvoli tomu _NIC_ nemenime, user ma stale svoju staticku IP adresu, ktoru sme mu v systeme pridelili.

- diagnostika PPPoE a statickej siete je taktiez absolutne neporovnatelna... PPPoE previazane na radius mi presne povie, kedy sa user pripojil, odpojil, odkial, ako dlho bol pripojeny, kolko za ten cas preniesol. ked user zavola a povie, ze mu tyzden nejde internet, pri statickej IP to moze a nemusi byt pravda. pri PPPoE a radiuse to viem na sekundu presne, kedy mu to prestalo ist, mam to v logu ze sa odpojil. naviac, pri statickom prideleni IP adresy NIKDY nezistite ze k userovi je blba linka, ktora sa rozpadava, ma vypadky, jedine tak pingom alebo smokepingom, alebo inym nastrojom. PPPoE ma toto priamo v sebe. ked nevidi druhy koniec tunela, odpoji sa a zaloguje to, a ked je linka zas priechodna, pripoji sa. ak v radiuse vidime, ze sa niekto reconnectuje viackrat za den, znamena to ze ma problem na linke. a problem tak (vy)riesime skor, nez nam vobec user o nejakom probleme povie. ked sme mali staticke IP, mysleli sme si ze mame stabilnu siet. ked sme presli na PPPoE a videli sme, ze niektori wifisti sa reconnectovali 100x za den, pochopili sme ze to nebola ani tak dobra siet, ako nedostatocne sledovanie kvality...

este by som napisal asi tristo vyhod PPPoE oproti statickym IP ale nechcem vas nudit. chcel som len (so znalostami z praxe) trosku vyvazit tvrdenia tych, ktori PPPoE mozno videli, no nikdy neprevadzkovali (inac by nemohli pisat to, co pisu). dodam uz len tolko, ze na dobre nakonfigutovanom linux stroji nie je problem robit 100mbit alebo aj 300mbit na jedno PPPoE spojenie, pretoze cele PPPoE zabalovanie/vybalovanie sa odbavuje v kerneli a je tak plsuminus rovnako rychle ako napriklad VLANy. PPPoE je absolutne pouzitelne aj na metro sietach, teraz aj do buducnosti. PPPoE ma totiz este jednu mimoriadne zaujimavu vlastnost - pri pokuse o pripojenie najprv vysle (ethernetovy) paket ktorym hlada dostupne koncentratory, a potom sa pokusi prihlasit na ten, co odpovedal ako prvy (tj najbilzsi a najmenej vytazeny). to znamena, ze ked vam prestane stacit CPU alebo sietovka v jednom PPPoE koncentratore, jednoducho do tej istej LAN siete pripojte dalsi, a useri sa na nich prirodzene rozlozia cca pol na pol. pridajte treti, a budu sa delit na tretiny. ziadna zmena IPciek u nikoho z userov, user si nic nevsimne. neskutocne skalovatelne riesenie. chcete desat koncentratorov vedla seba? jak je libo. a redundancia je hned priamo v tom. zhori jeden router? absolutne nic sa nedeje. kazdy bezny domaci router za par korun/eur spravi za par sekund reconnect, a kedze od radiusu dostane spravidla tu istu IP, user postrehol zhoreny providerov router ako parsekundovy vypadok. to je cele. ukazte mi ako sa to robi na per-user statickych VLANach... kto chcete povedat ze existuje VRRP - ano existuje. ale nedokaze sucasne aj load balancing. taketo moznosti proste na statickom rieseni nespravite. a tieto moznosti su potrebne prave ked ideme do velkych poctov userov, velkych sieti. takze - nie PPPoE nie je na velke siete vhodne. staticke routingy nie su na velke siete vhodne.


btw, preco tvrdim to co tvrdim... necital som ziadnu mudru knizku. internet poskytujem 15 rokov, z toho 8 rokov vo svojej firme. z tych 8 rokov sme 6 rokov sme bezali na statickych (alebo DHCP) adresach. stale s tym boli nejake haluze. asi pred 3 rokmi sme zacali experimentovat s PPPoE+Radius - s myslienkou, ze ked to moze byt dobre pre stovky milionov pripojok na celom svete, preco by to nemohlo byt dobre aj pre nas. asi rok nam trvali postupne testy a vyladovanie, a odkedy sme na to zacali migrovat vsetkych klientov, vycitam si iba jednu jedinu vec - ze sme to neurobili uz davno. cest vasej praci

[wolf14]

pixall, kazdy user ma doma nejaky router? Alebo je realne prevadzkovat to tak ze ak je v domacnosti len jeden PC tak to PPPoE spojenie bude realizovat priamo pocitac? Ak pripojis nejakeho dochodcu ktory ma jeden kompik doma tak ten si router nebude kupovat urcite a dotovat to je nerealne...