zdravim vsetkych,
kolega ma upozornil na tuto diskusiu... najprv som myslel ze kaslem na to, ale nakoniec mi to nedalo a prinutilo ma to az k registracii :) chcel by som podotknut zoapr drobnosti...
- PPPoE je urcite blbost - a preto ho pouzivaju provideri so stotisicmi / milionmi / desiatkami milionov klientov... lebo nevedia ako sa to robi a nerozumeju tomu, na rozdiel od lokalnych ISP ;)
- k napadu na to ze kazdy user (kazdy access port) ma byt jedna VLANa... zoberme si len jedno sidlisko, par tisic access portov, a ukazte mi hardware ktory to zvladne aspon nastavit. ved limit na pocet naraz aktivnych VLAN je radovo v desiatkach, stovkach sucasne pouzivanych VLAN na jedno zariadenie (z celkoveho poctu 4096 moznych VLAN id). najvyssi pocet nastavitelnych VLAN ktore som kedy videl bol 1024, tam uz konci kazde mne zname zariadenie. alebo si mam kvoli tomu sidlisko rozbit na niekolko serverovni, niekolko routrov? alebo aspon segmentov v ktorych budem opakovat cisla VLAN a ktore nebudu navzajom prepojene? to prehladnosti urcite prospeje.
- VLANy su v kombinacii s PPPoE velmi dobre - v konfiguracii ze jedna bytovka alebo wifi APcko je jedna VLANa... takato VLAN (ktora vyjadruje miesto pripojenia uzivatela) je privedena k PPPoE koncentratoru, a v nej sa autorizuju uzivatelia cez PPPoE. vdaka VLANe sa da potom urcit lokalita z ktorej sa uzivatel na ten PPPoE koncentrator hlasi. ak chceme vediet az konkretny port, tak potom v ramci tej VLANy treba na switchoch pohladat konkretnu MAC adresu.
- k velikym sietam a velkym rychlostiam a (ne)vhodnosti PPPoE by som si rad najprv nechal od expertov vysvetlit, aky je rozdiel vo vykonnosti medzi tym, ci sa k paketu prida VLAN hlavicka, alebo PPPoE hlavicka... v jednom aj druhom pripade je to par bajtov naviac. preco by PPPoE nemalo zvladnut velke rychlosti a VLAN ano? (obzvlast napriklad v mikrotikoch, kde ani VLAN ani PPPoE nie je riesene na hardwarovej urovni)... len tak orientacne, aby sme vedeli o akych masivnych zatazach a vypoctovych vykonoch sa tu bavime, tu je vytazenie jedneho z nasich PPPoE koncentatorov - postavene na linuxe, s kernel-mode pppoe, a firewallom a 4-classovym shapingom+QoS pre kazdeho usera. je to 1.6GHz intel atom (supermicro board) servujuci aktualne cca 100 megabit cez PPPoE cca 400 userom, to vsetko zabalene do asi 40 VLAN:
20 up 92 days, 6, load average: 0.01, 0.00, 0.00
jak vidite, nestiha to, ani nahodou... lokality s trafficom ktory v spickach dosiahne max do 100mbit bezime na ALIXoch (tusim okolo 680mhz cpu, 256mb ram), a maju podobny load. latencie kvoli PPPoE su ako cez kazdy bezny router, radovo 1ms.
- naopak obavam sa ze s tou vykonnostou to medzi statickou per-user VLAN a PPPoE, bude v prospech PPPoE.... ked mam staticky dvihnute VLAN rozhrania pre kazdeho usera (nebodaj uz pripravene pre 100% penetraciu) a nebodaj tam mam pre nich dvihnute uz aj shapingy (traffic filtre a classy), tak mi kazdy paket musi preliezt kazde filtrovacie pravidlo pre kazdeho online+offline usera. naproti tomu pri PPPoE sa shaping a pravidla pre usera nahodia do systemu az v momente, ked sa user pripoji, takze paket vobec neprelieza filtrovacie pravidila pre userov ktori su prave offline. v spicke mame online cca 50% userov, mimo spicky tak 30-40% (kvoli tomu ze vela ludi ma PPPoE v domacich routroch a wifi klientoch, ktore nechavaju zapnute). takze mam v PPPoE routri o 50-70% pravidel menej, nez keby som tam mal vsetkych nahodenych natrdo... co myslite, bude to na rovnakom hardwari viac alebo mene vykonne? obzvlast ked vezmeme do uvahy, ze zataz stroja sa da vyjadriet ako pocet paketov (za sekundu) * pocet pravidiel (ktorymi kazdy paket musi prejst), a teda zataz CPU rastie s pribudajucim poctom userov exponencialne? na PPPoE pouzivame menej vykonne stroje ako sme pouzivali na staticky routing+shaping a davaju lepsie vysledky ako predtym. a to sme pravidla v minulosti hodne optimalizovali do stromovych struktur pre znizenie zataze, takze kazdy paket neliezol cez tisicky pravidiel, iba cez par desiatok.
- pri per-user VLANe je (prepodpokladam) nutne dat na kazdu VLANu, teda kazdemu klientovi, /30 alebo vacsi subnet (tj min. 4 IPcky), aby sa to dalo naroutovat. (inac by sme muslei tie VLANy zbridgovat, a to by uplne stratili zmysel). pri verejnych IPv4 adresach je to nemyslitelne, minut 4nasobne viac IPciek nez je nutne. pri PPPoE pridelujeme userom IPcky s maskou /32 (teda jeden user, jedna IPka), a tieto IPcky sa vacsinou prideluju z dynamickych poolov. nakolko online nebyva viac ako 50% userov naraz, na 1000 zazmluvnenych userov mi (teoreticky) staci 500 IP adries. a nie 4000 ako by tomu bolo pri per-user VLANach.
- pri PPPoE vieme klientom pridelovat staticke IP adresy, ktore zostavaju staticke bez ohladu na to, kde sa klient do siete prihlasi. princip je jednoduchy - user sa prihlasi cez PPPoE, overi sa do siete, radius mu prideli predvolenu staticku IP, a koncentrator ju cez OSPF vypropaguje do siete. a je to. po odhlaseni sa propagacia z OSPF zase zrusi. pridame niekde novy router? pridame nove APcko na zlepsienie pokrytia? user sa prestahuje do inej lokality? nech sa paci. pripoji sa na ine zariadenie, na iny port, a my kvoli tomu _NIC_ nemenime, user ma stale svoju staticku IP adresu, ktoru sme mu v systeme pridelili.
- diagnostika PPPoE a statickej siete je taktiez absolutne neporovnatelna... PPPoE previazane na radius mi presne povie, kedy sa user pripojil, odpojil, odkial, ako dlho bol pripojeny, kolko za ten cas preniesol. ked user zavola a povie, ze mu tyzden nejde internet, pri statickej IP to moze a nemusi byt pravda. pri PPPoE a radiuse to viem na sekundu presne, kedy mu to prestalo ist, mam to v logu ze sa odpojil. naviac, pri statickom prideleni IP adresy NIKDY nezistite ze k userovi je blba linka, ktora sa rozpadava, ma vypadky, jedine tak pingom alebo smokepingom, alebo inym nastrojom. PPPoE ma toto priamo v sebe. ked nevidi druhy koniec tunela, odpoji sa a zaloguje to, a ked je linka zas priechodna, pripoji sa. ak v radiuse vidime, ze sa niekto reconnectuje viackrat za den, znamena to ze ma problem na linke. a problem tak (vy)riesime skor, nez nam vobec user o nejakom probleme povie. ked sme mali staticke IP, mysleli sme si ze mame stabilnu siet. ked sme presli na PPPoE a videli sme, ze niektori wifisti sa reconnectovali 100x za den, pochopili sme ze to nebola ani tak dobra siet, ako nedostatocne sledovanie kvality...
este by som napisal asi tristo vyhod PPPoE oproti statickym IP ale nechcem vas nudit. chcel som len (so znalostami z praxe) trosku vyvazit tvrdenia tych, ktori PPPoE mozno videli, no nikdy neprevadzkovali (inac by nemohli pisat to, co pisu). dodam uz len tolko, ze na dobre nakonfigutovanom linux stroji nie je problem robit 100mbit alebo aj 300mbit na jedno PPPoE spojenie, pretoze cele PPPoE zabalovanie/vybalovanie sa odbavuje v kerneli a je tak plsuminus rovnako rychle ako napriklad VLANy. PPPoE je absolutne pouzitelne aj na metro sietach, teraz aj do buducnosti. PPPoE ma totiz este jednu mimoriadne zaujimavu vlastnost - pri pokuse o pripojenie najprv vysle (ethernetovy) paket ktorym hlada dostupne koncentratory, a potom sa pokusi prihlasit na ten, co odpovedal ako prvy (tj najbilzsi a najmenej vytazeny). to znamena, ze ked vam prestane stacit CPU alebo sietovka v jednom PPPoE koncentratore, jednoducho do tej istej LAN siete pripojte dalsi, a useri sa na nich prirodzene rozlozia cca pol na pol. pridajte treti, a budu sa delit na tretiny. ziadna zmena IPciek u nikoho z userov, user si nic nevsimne. neskutocne skalovatelne riesenie. chcete desat koncentratorov vedla seba? jak je libo. a redundancia je hned priamo v tom. zhori jeden router? absolutne nic sa nedeje. kazdy bezny domaci router za par korun/eur spravi za par sekund reconnect, a kedze od radiusu dostane spravidla tu istu IP, user postrehol zhoreny providerov router ako parsekundovy vypadok. to je cele. ukazte mi ako sa to robi na per-user statickych VLANach... kto chcete povedat ze existuje VRRP - ano existuje. ale nedokaze sucasne aj load balancing. taketo moznosti proste na statickom rieseni nespravite. a tieto moznosti su potrebne prave ked ideme do velkych poctov userov, velkych sieti. takze - nie PPPoE nie je na velke siete vhodne. staticke routingy nie su na velke siete vhodne.
btw, preco tvrdim to co tvrdim... necital som ziadnu mudru knizku. internet poskytujem 15 rokov, z toho 8 rokov vo svojej firme. z tych 8 rokov sme 6 rokov sme bezali na statickych (alebo DHCP) adresach. stale s tym boli nejake haluze. asi pred 3 rokmi sme zacali experimentovat s PPPoE+Radius - s myslienkou, ze ked to moze byt dobre pre stovky milionov pripojok na celom svete, preco by to nemohlo byt dobre aj pre nas. asi rok nam trvali postupne testy a vyladovanie, a odkedy sme na to zacali migrovat vsetkych klientov, vycitam si iba jednu jedinu vec - ze sme to neurobili uz davno. cest vasej praci :)