Det ultimata byanätet - Finlandssvenskt fiberforum (1)
Bredbandsgruppen  
Forum RSS feed    Forum - Svara - Statistik - Registrering - Sök -

Finlandssvenskt fiberforum / Byanät / Det ultimata byanätet
. 1 . 2 . 3 . 4 . >>
Författare Meddelande
Guje
Medlem
# Skrivet: 19 Nov 2012 21:33 - Editerad av: Guje
Svara 


Hej gott folk! Upp till bevis, eller pratar ni bara?

Nu bygger vi det ultimata byanätet!

Skulle behöva materialet till en konkurrensutsättningn på Hilma om någon vecka.


Vilka principer? Vilka grejer? Vilka servrar? Vilka tjänser?

Här hade vi en diskussion för ca. ett år sedan
http://bredband.selfip.net/forum/index.php?action= vthread&forum=25&topic=592

Här en annan för nån dag sedan
http://bredband.selfip.net/forum/index.php?action= vthread&forum=15&topic=658&page=0

Föreslår att vi utgår från Nisses nät, Ett enkelt nät, med NAT och en IP-adress ut mot världen.

Den mer vedertagna modellen kallas CGN

"Carrier-Grade NATs
One possible response is to add a further NAT into the path. In theory the Internet Service Provider (ISP) could add NATs on all upstream and peer connections, and perform an additional NAT operation as traffic enters and leaves the ISP's network. Variations of this approach are possible, placing the ISP NATs at customer aggregation points within the ISP's network, but the principle of operation of the ISP NAT is much the same."


http://www.cisco.com/web/about/ac123/ac147/archive d_issues/ipj_13-2/132_address.html

Beskrivning av CGN konceptet:
http://datatracker.ietf.org/doc/draft-ietf-behave- lsn-requirements/


Till detta koncept sätter vi alltid in IPv4 adresser åt dem som behöver.

IPv6 är ett "borde vara med", men hur?


Hur ser tant Gunhilds anslutning ut och hur ser Propellerhattens anslutning ut? Hurudan anslutning har Läkarstationen och hurudan har verkstaden Remont Ab?


Är det klokt att skippa tjänster via VLAN? Nån som har tankar att dela med sig av?



Goda länkar om standarder mm. finns här: http://datatracker.ietf.org/wg/behave/

Danno
Medlem
# Skrivet: 19 Nov 2012 23:35
Svara 


Vilka principer?
Djupt begrepp, många leyers... Vi kan börja med det fysiska nätet t.ex Optowests nät. Den svagaste länken måste beaktas: det finns ingen redundans i nätet så det är oerhört viktigt att det finns en back upp plan ifall en kabel grävs av t.ex. att noderna har alla sin trådlösa uppkopplingar så att man kan lokalisera felet och sköta nödsamtalen under tiden felet åtgärdas. Elförsörjningen och hur den skall styras, t.ex. ett fel meddelande till Entrepenör som kör ut med generator ifall UPS-tekniken inte räcker till. slutar idag med...

Har en idé om hur säkerheten och automatiseringen skulle kunna fungera med burkarna från burkautomaten (observera gällande ett ipv6 baserat nät). Anslutaren får köpa en färdig konfigurerad burk av Byanätet (ISP:n) som är färdigt registrerad med mac adressen i ett register kan även också använda serienumret. När man kopplar burken till nätverket får den en ip adress av DHCPv6 servern och man når endast Byanätets hemsida som ligger i det interna nätet (förutom då nödsamtal). På hemsidan kan man logga in som registrerad kund med kundnummer och en kod man fått via snigelposten. Som inloggad kan man registrera burken i sitt eget namn och anslutningsplatsen (porten i byanätverkets switch)*. När man registrerat burken kan man nå ut på Internet med den eller registrera övriga burkar som man behöver ha direkt kopplade till nätet. Problemet är att mac adresserna inte är säkra men det kanske inte gör så mycket i ett litet Byanät när man vet vem som registrerat den?
Burken kan innehålla en färdigt konfigurerad brandmur som beaktat kundens specialbehov och som kunden såklart betalat för vid beställning. Frågan är hur en brandmur som är "färdigt" konfigurerad skall konfigureras för att tillfredsställer 98% av hushållen. Med att nämna hushåll syftar jag på att kunder som är annat än hushåll behöver oftast specialkonfigurerade brandmurar, men de har också oftast råd med att ha en betald person att göra det.

*extra funktion som säkerställer att man lånar burken åt grannen så att han inte behöver betala månadsavgiften.


Guje: Är det klokt att skippa tjänster via VLAN? Nån som har tankar att dela med sig av?
Inte behöver man skippa något protokoll men Byanätet kan alltid sälja en sådan tjänst om det nu är någon som verkligen behöver en sådan. Jag ser personligen ingen nytta med att använda just VLAN p.g.a. att den förutsätter låsning av hårdvara och som nisse påpekat hör sådant till telefonmonopolens era på 1900-talet.

Guje: IPv6 är ett "borde vara med", men hur?
Kolla t.ex dual-stacking finns många modeller, sådana som är OK och sämre.

Guje
Medlem
# Skrivet: 20 Nov 2012 09:26
Svara 


FYI: Vi har inget nödsamtals krav på oss. Det ansvaret har teleoperatören (Soner hos oss) som enligt lag skall ha tillräckligt stora muskler. Våra biceps är anspråkslösa, om ens det.

Anslutningens On/off funktion är viktig hos oss. Nästa andelsstämma kommer antagligen att bestämma att en anslutning kan kopplas ur för xx € och därefter upphör månadsavgiften. Den börjar igen då anslutningen tas i bruk för 0€.

IPv6 finns på köplistan.


Var går gränsen där byanätets ansvar slutar och där abbonentens börjar?

Danno
Medlem
# Skrivet: 20 Nov 2012 12:00
Svara 


Guje i tråden Frågor kring IPv4 och IPv6: Det i sin tur kräver nån form av inbyggd intelligens i hemmaroutern. Vilket i sin tur betyder att riktigt vad som helst kan man inte koppla in i hemändan.
Det är det här som är stötestenen... Telebolagen har skött det med SIM-kort och hur skall då Byanätet ordna med de här sakerna?
Förutsättningen för att hålla administrationen låg, kvaliteten hög och nätet öppet så bör det skötas med mjukvara och inte hänga på en burk som kan gå sönder med åskan.

Guje: FYI: Vi har inget nödsamtals krav på oss. Det ansvaret har teleoperatören (Soner hos oss) som enligt lag skall ha tillräckligt stora muskler. Våra biceps är anspråkslösa, om ens det.
Jag är mycket medveten om att Optowest inte har det. Men det är bara en tidfråga innan det sker. Antagligen kommer det ansvaret när kom.verket förstått att fibernätverken är de mest pålitliga infran för kommunikation.

Guje: Anslutningens On/off funktion är viktig hos oss.
Den är mycket viktig för att säkerställa nätets tillgänglighet och säkerhet. Jag anser att den skall skötas i listan på registrerade burkar som jag nämnde tidigare. Då finns finessen att nätet kan tillfälligt stänga av en burk om behovet skulle finnas och alla andra burkar fortsätter fungera som vanligt. Kom poängen fram? Om kunden inte betalat månadsavgiften stängs automatiskt alla burkar som är registrerade på dennes kundnummer. Det är bara vilket protokoll eller kombination av vilka, som skall användas för den här funktionen som är oklar för mej och sedan hur säker den egentligen är!? Så långt har jag det klart för mej som jag skrev tidigare: att adressen delas ut av en kombination av slaac och ipv6. Då vet man exakt var burken finns på nätet och att den använder en av de tillgängliga globala adresserna som Byanätet har till förfogande och vem som användaren är bara genom att Byanätet bara konfigurerar en burk en gång. Sedan kommer det som är lite oklart för mej ännu. De lokala switcharna skall sortera bort paket från alla burkar som inte är registrerade av någon kund eller Byanätet självt (utgående trafik). Det betyder att alla burkar (hemma routern,kan lika gärna vara en pad eller telefon) som är inkopplade direkt i kontakt till Byanätets switchar bör klara av detta protokoll som "signerar" paketen med den signeringen som servern* för "burklistan" givit den burken.

*behöver egentligen inte vara en server utan helst skulle det vara en P2P protokoll som använder sej av just de burkar som är anslutna till nätverket. Så EFTERLYSES om någon vet en färdig programvara för det här?!

Guje: Var går gränsen där byanätets ansvar slutar och där abbonentens börjar?
Min personliga uppfattning är att ansvaret för den fysiska delen (fibern) slutar i fastigheten där man stöppslar in elektroniken. Ansvaret för elektroniken slutar där fibern kopplas in i switchen och för trafiken där man kör in på "privat väg" (alltså på vägen till fastigheten). Förenklat den del som man kan mäta från centralen (dB eller packet loss). Den som sköter Byanätets anläggning skall inte behöva ta sej in i en enskild fastighet (om inte Byanätet äger en central i den) utan att fastighetsägaren eller innehavaren blir ersättningsskyldig för "ändringen", efter det att slutändan installerats och konstaterats fungerande vid den första montering som Byanätet bekostat (hört till anslutningsavgiften). Eller har någon annan en annan uppfattning?

Guje
Medlem
# Skrivet: 20 Nov 2012 13:16
Svara 


- Intelligenta burkar. Svåra att hitta - ok. Måste fråga säljsidan och se vad som dyker upp.

- Jag tror nödtrafik är en muskelfråga och inte en teknik-grej. Dessutom funderar myndigheterna på saken i Finland eftersom det nuvarande systemet inte funkade i senaste vinterstormen. Vi väntar och ser. Kan inte beaktas nu. (Ok -strömförsörjning och sånt, men inte vilka styrsystem vi måste ha för att sköta nödtrafiken)

- On/off funktionen tror jag inte att vi behöver uppfinna. Bara man vet att fråga efter den så finns den nog.

Men vad skriver du Danno: "De lokala switcharna skall sortera bort paket från alla burkar som inte är registrerade av någon kund eller Byanätet självt (utgående trafik)." !!?

Är inte det ett ganska klokt nät. Var det inte ett dumt nät vi skulle bygga?


- Efterlyser mera förslag på var gränsen egentligen går.


- Ordet "automatiskt" förknippar jag med kostnader. Ordet "helautomatiskt" med enorma kostnader. Det krävs goda motiveringar tilll att automatisera.

Danno
Medlem
# Skrivet: 20 Nov 2012 18:32 - Editerad av: Danno
Svara 


Guje: Men vad skriver du Danno: "De lokala switcharna skall sortera bort paket från alla burkar som inte är registrerade av någon kund eller Byanätet självt (utgående trafik)." !!?

Är inte det ett ganska klokt nät. Var det inte ett dumt nät vi skulle bygga?


Ja var går gränsen, jag menar det finns en stor sannolikhet i att Internet linjen blir överbelastad om det finns massor med burkar som börjar skicka "oregistrerade" paket igenom nätet. Och då har Byanätet ett stort problem. För att t.ex. göra som telebolagen och sätta en övre gräns eller balansering på de enskilda anslutningarna till nätet ser jag som komplicerad och tungrodd av flera anledningar. I själva verket syftar jag på att nätet skall vara dumt men att det bör finnas en system vem som har rätten att använda det. Dela upp rätten till burkar i stället för uppkopplings punkter (Byanätets fiberändor). För då bl.a. att eliminera att grannen till den som äger en anslutning inte skall använda Byanätets kunds trådlösa nätverk att surfa på Byanätets Internetlinje. Då ser jag ända möjligheten till det här genom att varje paket som skickas registreras av nätet självt för att kunna eliminera "onödig" trafik. Som jag skrev tidigare skulle den här funktionen helt skötas av anslutaren och på det viset minimera Byanätets ägna administration (som Nisse poängterade).

Så svar på frågorna kvarstår: Är det realistiskt att ha ett inbyggt system för registrerade burkar? På vilket sätt registrera paketen från det registrerade burkarna? Eller upplevs det som en för tungrodd uppgift för Byanäten? Som jag ser det: är det viktigaste att den administrativa lösningarna är teknikneutrala om näten skall vara lätthanterligt och öppet. Med lätthanterligt syftar jag på att det bör vara lätt att ändra strukturerna och byta ut tekniken när det finns behov av det.

Eller är det så att nätet blir intelligent så fort som paketen börjar sållas och då har ju Nisse också ett nät som inte är dumt eftersom han har en brandmur liggande på gränsen till resten av värden. Eller, ja var går gränsen för ett dumt/intelligent nät? Det finns tydligen en skild tråd för det här?

Guje: - Ordet "automatiskt" förknippar jag med kostnader. Ordet "helautomatiskt" med enorma kostnader. Det krävs goda motiveringar tilll att automatisera.
Danno: Om kunden inte betalat månadsavgiften stängs automatiskt alla burkar som är registrerade på dennes kundnummer.
Nå just att få fakturerings systemet och kundregistret att fungera ihop kanske inte är så viktigt för små Byanät men det kan ju nog underlätta om det finns integrerat i samma "platform" som ON/OFF-funktionen.

Nisse
Medlem
# Skrivet: 20 Nov 2012 21:03
Svara 


Principer är en sak och praktiken en annan. Även om jag har vissa principer så bryter jag gärna mot dem då det är nödvändigt.

Enligt min mening är byanätet det som finns mellan nätoperatörens anslutningspunkt och anslutningens Ethernetport. Vi ansvarar bara för att nätet fungerar i konverterns port. Hemmaroutern och allt annat hör till kunden. MEN jag insåg snabbt att tant Gunhild inte klarar sej så vi skaffade en massa routrar (riktigt billiga och enkla trådbundna - skall abonnenten ha något annat så får han fixa det själv) som jag programmerar med fast IP-adress och kopplar in. Men det är fritt fram att ändra och härja med dem hur som helst. Och så har vi som sagt en Gigabits router med one-to-one-NAT och brandmur på linjen till nätoperatören. Vi kräver att alla portar är öppna och att alla protokoll fungerar. Dessutom har vi en massa globala IP-adresser som jag delar ut enbart efter strängt förhör (klarar abonnenten av säkerheten ?).

Inget hindrar byanätet att dela ut färdigt programmerade burkar men de hör strängt taget inte till nätet. Alla sorters underliga tjing-tjong-terminaler är också godkända bara abonnenten OCKSÅ kommer ut på Internet utan stängda portar eller liknande. Och vi har INTE VLAN (eller strängt taget är alla i samma VLAN) så att alla kan kommunicera fritt inom nätet. Säkerheten sköts av hemmaroutern. Den som plockar bort den får skylla sej själv.

Inget hindrar att man flyttar sin burk för vi fakturerar alla lika. Jag uppmanar er ALLVARLIGT att sätta administrationen = noll för ni kommer att ha tillräckligt av att jaga infekterade maskiner och byta åskförstörda burkar. I längden orkar ingen med administration. Nätet skall sköta sej självt. Jag har en hel del övervakningsprogram som jag kör och då det blir problem så vill jag snabbt hitta felet. Jag kör mest ntop, mrtg och nmap. Mera invecklade program bara ger mera arbete.

Allra viktigaste principen är KISS ! (Keep It Simple Stupid för dem som inte känner till den)

Danno
Medlem
# Skrivet: 20 Nov 2012 22:51 - Editerad av: Danno
Svara 


Nisse: Enligt min mening är byanätet det som finns mellan nätoperatörens anslutningspunkt och anslutningens Ethernetport. Vi ansvarar bara för att nätet fungerar i konverterns port. Hemmaroutern och allt annat hör till kunden.
Bra, då är vi på samma linje.

Som jag ser utvecklingen, så kommer Byanäten att ha en fördel med att inte ha några hemmaroutrar som behöver administreras utan helst (om det finns en sådan hos anslutaren) skall den vara likgiltig att strömma paket som vilken som helst switch i Byanätet. För bl.a., då kan t.ex en Wlan burk som är kopplad till hemmaroutern och som har 4g kort i sej fungera som wan också för byanätets trafik och avlasta Byanätets Internet linje. Visserligen kanske burken behöver konfigureras och kanske klara av Leyer 3 men det får man se vart utvecklingen går.
Men poängen är i alla fall att inte lägga käppar i hjulet för utvecklingen och då är det bra att hålla Byanätet veldigt simpelt men fortfarande kunna kontrollera vems burk som är ok och vems som inte är ok att belasta nätet. För överbelastning kommer att vara en stor utmaning åtminstone på Byanätens Internet linjer. Då anser jag det extra viktigt att kunna "sålla" bort sådan trafik som inte hör till de betalandes trafik.
Attacker av olika slag som belastar nätet, är det andra som kanske behöver motarbetas på något sett. Men de är i alla fall tillfälliga efter som de kommer från Internet och inte ligger i nätet.
Sedan är det "kapade" burkar som Nisse noterat. De kommer Byanäten inte att kunna göra så mycket åt än att stänga av så fort som möjligt. Men då är det viktigt att övriga burkar fortsätter att fungera fast de ligger hos samma anslutare och samma ingång i Byanätets switch.

Nisse
Medlem
# Skrivet: 20 Nov 2012 23:17
Svara 


Jo, suck, jag har märkt att det alltid finns folk som surfar på jätteskumma nätsidor och då hjälper inga brandmurar alls. Då man öppnar en nätsida så ger man ju rätt åt den att ladda ned allt möjligt (ofta förklätt till bilder eller något liknande). Det kan ingen nätoperatör hindra med mindre än att hela nätet stängs.

Därför ser jag övervakningen som viktig. Det gäller att hitta skum trafik så fort som möjligt. På nätet finns det anvisningar om vad man bör kolla (jag har tyvärr inte adresserna tillgängliga).

Trafiken ut till Internet är inte så farlig. Vi har rent tekniskt Gigabits linje ända till FICIX men har bara betalat för trafik upp till 100 Mbit/s (symmetrisk givetvis). Priserna går ned hela tiden och jag ids inte betala för mer än vi använder (max ca. 60 Mbit/s med fem minuters medeltal). Vi har en router med fyra WAN-portar som kan användas för fail-over eller för att koppla upp nätet via flera operatörer. Vi använder fail-over med trådlös anslutning på ca. 10 Mbit/s ifall fiberkabeln skulle grävas av. Då kan folk åtminstone läsa eposten.

Guje
Medlem
# Skrivet: 21 Nov 2012 08:45 - Editerad av: Guje
Svara 


Danno: "Attacker av olika slag som belastar nätet, är det andra som kanske behöver motarbetas på något sett. Men de är i alla fall tillfälliga ..."

Inte bara "kanske" motarbetas utan de måste motarbetas. Attakerna är tillfälligt regelbundna skulle jag säga. Sitter dagarna i ända framför logskärmen på min brandmur och ser på alla röda rader med droppade paket. De gröna raderna är OK-paket. Allt som oftast är skärmen helt röd - inte en enda grön rad syns. Det är mot detta forum attakerna riktar sig. Har även andra globalt synliga IP:n, men de störs inte.

Att ha en Global IP är OK, att hänga ut en server är OK, men att öppna för bruk med Google i spetsen är inte så OK längre. Ett "vanligt" ADSL-modem med "vanlig" brandmur klarade inte trafiken. Jag har prövat fem av de "vanliga" och alla täpptes dom till.

Sen är det förstås fråga om var och av vem den här trafiken skall stoppas.

Är det byanätets sak eller är det hushållens? Allt tyder på att problemen dyker upp först när man sätter en allmän web-server på Internet.

En tvåpipig sak det här. Visst är det serverhållarens sak att övervaka sin egen server. Men, det är andelslaget som betalar för transiten.

Nisse
Medlem
# Skrivet: 21 Nov 2012 09:09
Svara 


Jo, det är forumprogrammen som drar till sej skräp. Därför rekommenderar jag att de läggs på webbhotell utanför byanätet. Det finns riktigt billiga och bra webbhotell. Vi har våra forum i Stockholm. Finland är alldeles för dyrt och man skall akta sej för webbhotell som har servrar i USA (då lyder de under USA-lag ...).

Vi har vår egen interna server också som är viktig ifall förbindelsen till Internet krånglar. Jag ber folk att kolla den interna servern (Hindrik) med direkt IP-nummer 192.168.100.7 ifall de har problem. Då vet man direkt om det är DNS-servern (hos Nebula) som krånglar eller något annat. Det vanligaste problemet är just att Nebulas DNS krånglar. Windows ser ingen skillnad men om folk kan komma in i Hindrik med IP-nummer så är den fysiska förbindelsen hemma hos dem OK.

Hindrik har inget forumprogram och är därför inte intressant för skräpgänget. Jag sätter in meddelanden om driften direkt i HTML.

Det är inte förbjudet med server inom vårt nät men om den genererar Gigabits trafik så blir det nog extra kostnader för den anslutningen. Vi kan inte ha alla andra att betala för den trafiken. Storladdarna är ett liknande problem men så länge de inte stör de andra så får de hållas. Men börjar nån fylla hela linjen med torrentar så ändrar vi betalningssystemet.

Guje
Medlem
# Skrivet: 21 Nov 2012 09:38 - Editerad av: Guje
Svara 


Hmmm.... svår princip att ta mer betalt av dem som har stor trafik.

Vad är skräp? En Katt-Server som släpar in allt tusan? Är torrentar skräp? MaxiVisions filmer?

Riktlinjerna från EU-håll har varit att trafik som sätter nätets funktion på knä kan stoppas. Sk. Dyr trafik kan inte stoppas.

Ingenting förbjuder att man tar lite extra betalt för den dyra trafiken. Men då landar man igen på frågeställningen, vad är dyr trafik? Torrent, ja? MaxiVision, nej?

Guje
Medlem
# Skrivet: 21 Nov 2012 10:00 - Editerad av: Guje
Svara 


Landar vi på en personlig Internet-anslutning sen också? Var och en betalar för sig.

Nisse
Medlem
# Skrivet: 21 Nov 2012 12:58
Svara 


Vi brukar lösa sådana problem med att komma överens. Här går det i allmänhet att diskutera saken. Men blir det problem så kan jag sätta in en balanserare som ger alla en bit av kakan dvs. storförbrukarna får inte allting. Enda möjligheten är i praktiken att begränsa hastigheten. Nån mätning av trafiken kommer inte på fråga. Då måste storförbrukarna fundera över om de vill ha full fart (och betala mer) eller köra dygnet runt med en lägre fart.

Utgångspunkten är att alla har full fart (100 Mbit/s) tills det blir problem. Sedan fixar vi problemen på något sätt.

Guje
Medlem
# Skrivet: 21 Nov 2012 13:42 - Editerad av: Guje
Svara 


Best effort alltså. Med QoS till extrapris om det behövs.

Vi har tänkt i liknande banor. De som tycker att de gemensamma trafikreglerna typ Nisses regler, inte funkar får en egen linje ut på Internet. Till ett facilt pris dessutom.

Jag menar, inte är alternativet med enbart färdigt prissatta QoS baserade Internet-linjer riktigt problemfria de heller.

Hur gör ni andra?

Johanh
Medlem
# Skrivet: 21 Nov 2012 13:55
Svara 


I ett närliggande byanät har man QoS som automatiskt stryper 100 MBit till 10 för den som utnyttjar kapaciteten för mycket och för länge (vet inte hur länge). Enligt uppgift fungerar spontana nedladdningar med max hastighet bra.

Johanh
Medlem
# Skrivet: 21 Nov 2012 15:58
Svara 


Har snackat med en nätverkskille som jobbat hos en ISP. ISP:arna kör med Split Horizon, dvs lite liknande det vi diskuterade i den andra tråden, men layer 3 om jag förstått det rätt. Då blir hushållen helt åtskilda ända till ISP:ns Gateway/router.

Han föreslog att om man vill utnyttja byanätet bättre, och göra det så enkelt som möjligt, så borde man "tvinga" alla att använda en hemmarouter. Då undviker man bl.a. loopar i byanätet. Helst också en egen byarouter. Den kan man köra DHCP i eller sätta statiska IP:n i hemmaroutrarna. Helst publika IP:n, tyckte han. Om man har en egen addressrymd kan man dela ut dem från byaroutern. Annars kan man ställa in den att forwarda publika IP-nummer från ISP:n. Dubbel NAT är väl en smaksak, men jag tror jag skulle forwarda publika IP-adresser till hushållen och ha en stateful brandvägg i byaroutern. En linuxmaskin förslagsvis med en "cold spare" att lyfta in om något händer. Vill man ha mera säkerhet med detta system, så kan man konfigurera ACL i byaswitcharna och förhindra DHCP (fel väg), SMB, ARP m.m.

Guje
Medlem
# Skrivet: 21 Nov 2012 17:29 - Editerad av: Guje
Svara 


Tack för infon. Jag skall också höra mig för lite. För tillfället kör jag med en huvudtanke om att byanätet skall skötas på layer 3. Få nu se hur långt vi kommer med den saken. Isoleringen av hushållen är lite knepig eftersom vi borde kolla layer 2 trafiken in i hushållen. Dessutom spökar VLAN i bakgrunden när man vill optimera nätet.

Att "tvinga" alla att använda en hemmarouter är enkelt sagt. Men att man med det skulle uppfylla komverkets säkerhetsdirektiv är jag inte så 100 på. Som du själv skrev: Jättelätt att koppla ur. Och plugga i nåt annat.



Johanh: "Om man har en egen addressrymd kan man dela ut dem från byaroutern"

OM man har.

Menar din sagesman eget AS nummer också? Och att man kör BGP? Eller bara att uplinken man har ger ut av sina egna IP-nummer?
(Läs tex. http://www.apnic.net/services/services-apnic-provi des/helpdesk/faqs/asn-faqs )

Svaret att köra med publika IP:n är givet. Speciellt om man frågar en ISP:n hur de hittills skött saken.
Jag vet inte hur överhängande problemet med att få tag på IP-nummer är. Men nog ligger det i luften alltid.
Carrier-Grade NATs har nog inte bara kommit till för att det är kul att göra så.
Här i Finland har vi 7 miljoner mobiler och var och en kan ha en IP. Så vitt jag märkt så får jag bara lokala IP:n genom Soneras mokkula.


För tillfället tänker jag så här:

1. Vi borde snåla på IP-adresserna.
2. Dels för att de är en bristvara och dels för att vi måste klara oss utan publika IP:n ifall nöden blir stor.
3. Dubbla NAT:ar torde inte vara nåt större problem. Tom. P2P brukar gå igenom. Om inte så tar man till en publik IP.
4. Behovet av publika IP-nummer är verkligt. Det finns tillfällen när man inte klarar sig utan.
5. NAT är också en säkerhet.
6. Pressen utifrån mot synliga IP-nummer är/kan bli tuff
7. Priset på IP-adresser kan gå upp eftersom det är en bristvara. (Dumt att betala om man inte måste, sa Gigantti)
8. Kontroll av tant Gunhilds ändutrustning skall vara möjlig över nätet. I så fall bör ändan vara intelligent på gumman.

Hur vi än svänger oss måste vi ha NAT (om inte idag så i morgon). Hur vi än svänger oss måste vi ha publika IP:n

Så det blir att installera CGN-modellen med möjligheten att ge ut publika IP:n när man måste.

Dvs. En både-och lösning, inte en antingen-eller.

Och samma sak på IPv6ska.

Nisse
Medlem
# Skrivet: 21 Nov 2012 18:16
Svara 


Förutom enkelt så MÅSTE byanätet vara FLEXIBELT. Och man skall ALDRIG bygga något "idiotsäkert" för idioterna är så sluga ... Vi har ju (i princip) hemmarouter men jag är noga med att allt skall fungera också om nån kopplar bort den (och det gör de ...). Därför behövs en central brandmur mot Internet. Jag HAR faktiskt en Linuxmaskin med Shorewall som jag inte hunnit koppla in. Den måste ju vara grundligt testad och ha en router som backupp - helst med fail-over.

Jag håller med Guje att det är bäst att sikta in sej på både-och.

Danno
Medlem
# Skrivet: 21 Nov 2012 21:29 - Editerad av: Danno
Svara 


Guje skrev i tråden Frågor kring IPv6 och IPv4: Eller tänker du dej nån styrnings/övervakningsapplikation på layer 7, typ SNMP?
Ja, jag tänkte mej mera en tullfunktion kombinerat med konfiguration/övervakningsfunktion som styrs av SNMP eller liknande. Nackdelen med SNMP och dylika applikationer är att de finns just som du skriver på Layer 7 och det betyder att om nätet överbelastas av en attack av något slag, så är ovannämnda funktioner inte tillgängliga och om så är fallet kan hela nätverket krascha. Att föredra är då att hela "styrningen" av nätet är i tunnel av något slag. Som ni redan föreslagit tidigare: VLAN om nätverket är IPv4 baserat.

Det är den här tullfunktionen jag efterlyser (man kan ju kalla det en sorts simpel brandmur) som alla registrerade nätverks användare konfigurerar själva, åt sej själva. Eller egentligen är det den rätta NetworkManagementSystem-funktionen som skulle sköta om just den här tull uppgiften, som jag skulle villa ha utpekad och att den skulle vara baserad på "tillåtna" MAC-adresser om nätverket är IPv4 baserat. Om det skulle vara IPv6 baserat skulle det finnas en kod som bestämts av Byanätet som måste användas för hashen till den eget producerade adressen, som i sin tur skulle vara färdigt inskriven i switchen. Blev det här nu klart hur jag tänkte mej att tull funktionen skulle fungera?
Den här tull-funktionen ser jag inte som så viktig när större delen av användarna av nätet kör på IPv4 och NAT men desto viktigare på IPv6 sidan för då är det så enkelt att ansluta en "ny" burk till LANet.

Johanh
Medlem
# Skrivet: 21 Nov 2012 23:32 - Editerad av: Johanh
Svara 


Menar din sagesman eget AS nummer också? Och att man kör BGP? Eller bara att uplinken man har ger ut av sina egna IP-nummer?

Det är den tredje varianten som är rätt så inkörd här i Österbotten, dvs en typ av företagsanslutning. Det var den modellen vi diskuterade.

För övrigt tyckte min nätverksbekanta att en linuxburk med t.ex. Debian och Shorewall klarar utmärkt av t.o.m. tusentals anslutningar. I rollen som router/brandvägg/dhcp/dns server för ett byanät. Den är dessutom mycket flexibel att göra nästan vad som helst (som annars kan behöva dyr hårdvara, t.ex. IEEE 802.1ax LACP). Som exempel berättade han att man kan ta in internetanslutningen i huvudswitchen i port 1 och taggar det som VLAN låt oss säga 100. Port 2 kopplas till Linuxdatorn, som tar hand om trafiken från ISP:n, routar och taggar om det till låt oss säga VLAN 300 och matar det tillbaka till port 2 i switchen. Detta VLAN matas sedan ut till hushållen. Antingen avtaggar man det i den sista switchen före hushållet (vilket betyder att hushållet bara kan ta emot ett VLAN) eller i en port i hemmaroutern. Märkväl att linuxburken klarar av detta med en ethernetkabel! Behövs bara en ledig switchport.

Och han sa att man ska absolut inte använda VLAN 1 som är det fabriksinställda läget på switcharna. Då kan man få problem med att folk kommer åt t.e.x. management-interface på switchar. Fastän man inte skulle använda VLAN i övrigt, ska man ändå ställa om och köra på något annat än det som är inställt från fabriken. Det är en ren säkerhetsåtgärd. Kör man dessutom taggat ända till hemmaroutern, så får ingen kontakt med nätet som ansluter en vanlig router/switch/dator utan konfigurerat VLAN. Avtaggar man i sista switchen funkar däremot alla grejer man ansluter. Har man flera VLAN i nätet, kan man bara avtagga ett VLAN från switchen åt hushållet.

Johanh
Medlem
# Skrivet: 22 Nov 2012 00:07
Svara 


För att öka säkerheten (man-in-the-middle) och identifiera användare används DHCP snooping och DHCP option 82. Kan löna sig att ta i bruk. Internetoperatörer använder det.

Johanh
Medlem
# Skrivet: 22 Nov 2012 09:54 - Editerad av: Johanh
Svara 


För att öka säkerheten (man-in-the-middle) och identifiera användare används DHCP snooping och DHCP option 82. Kan löna sig att ta i bruk. Internetoperatörer använder det.


Iofs, vill man följa det dumma nätets princip, så kan man köra med statiska IP:n åt alla. Då slipper man DHCP. Och ingen kommer in på nätet utan att ha konfigurerat IP-adressen först.

Guje
Medlem
# Skrivet: 22 Nov 2012 11:01 - Editerad av: Guje
Svara 


Jag tror DHCP:n är en bra grej. Den är KISS. Det är ju inte enbart IP:n som kan konfas den vägen. Även DNS, Gateway, SIP. You name it. Förenklar ändringar i nätstrukturen betydligt. Dessutom innehåller ju protokollet en hel del "options" som kan komma till nytta.

Option 82 har varit på tapeten en tid och används för IP/MAC-låsning ute i switcharna, läser jag. Intressant koncept och nånting i stil med det Danno hade på sin julklappslista.

Men MAC-låsning är inte problemfritt. Underhållet är tungt om man gör det manuellt och går en switch sönder är det inte "sådärbara" att slänga in en annan.

Läste nånstans också att man med "option 82" kan identifiera hushållens portar - och - på basen av det bestämma vilka tjänster porten skall ha.
Vad luktar det då?

Har för mig att just PacketFront använder den finessen för sina CPE.

Googlar....och vad finner vi?

Jo, PacketFront har patenterat den automatiska identifikationen mha option 82
http://www.google.com/patents/EP2074747A1?cl=en

Ett holding bolag har tagit hand om dem för en månad sedan.

"PacketFront Network Products AB acquired by Fiber Access Holding AB"
http://www.packetfront.com/en/news_events/press_re leases/2012/0013.html


Jag undrade vad det luktar? - Jo det luktar pengar och tripleplay.

Guje
Medlem
# Skrivet: 22 Nov 2012 12:48 - Editerad av: Guje
Svara 


PacketFront verkar ha en hel drös med patent på det vi snackar om.



I våras när de besökte oss så hade de inte nån bra nätövervakningssofta.
Men nu har dom.

"PacketFront Solutions i partnerskap med CTS

PacketFront Solutions utökar därmed produktportföljen för kundplacerad utrustning i varierande formfaktor och erbjuder dessutom en totalt automatiserad utrullning- och konfigureringsprocess med provisionerigssystemet BECSTM. Lösningen erbjuder också ett fönster in i slutkundens hemmamiljö vilket markant underlättar för nätägarens eller tjänsteleverantörens kundsupport."


http://www.packetfront.com/en/news_events/press_re leases/2012/0014.html


CTS riktar sig direkt till sådana som oss.
http://www.ctsystem.se/index.html


Månne inte saken är klar nu. Inte behöver vi uppfinna hjulet på nytt.

Bara att fråga offert så får vi se vad det ultimata byanätet kostar.

Guje
Medlem
# Skrivet: 22 Nov 2012 12:51
Svara 


....erbjuder dessutom en totalt automatiserad utrullning- och konfigureringsprocess med provisionerigssystemet BECSTM


Nån som vill "tycka" någå ?

Nisse
Medlem
# Skrivet: 22 Nov 2012 12:59
Svara 


Jag har alltid haft en hel del emot att nån har "ett fönster in i slutkundens hemmamiljö".

Rent ut sagt: Hit skall de inte komma !

(Det är förstås upp till var och en att personligen tillåta en spionkamera a la 1984 i sitt hem och i sin maskin - men nätet skall INTE syssla med sådant)

Guje
Medlem
# Skrivet: 22 Nov 2012 13:22 - Editerad av: Guje
Svara 


Kan hända jag blandar ihop CTS med ZemWare. Det är ZemWare jag menar att har styrsofta för nätverk. Men hur varmt förhållande med PacetFront som dom har vet jag inte.

Hur som helst.

ZemWares DHCP:

Service provider grade DHCP for automated device provisioning. Easy to implement and administer, utilizes Option-82 information. Supports subscriber portal.

http://www.zemware.com/


Nu får vi bara hoppas att deras "device provisioning" har den ursprungliga betydelsen av att sätta upp mjuk- och hårdvara och har inget att göra med "open access provisioning" som ju är nåt helt annat.


"Kuuskaista selects ZemFusion" står det på deras News-sida.

Johanh
Medlem
# Skrivet: 22 Nov 2012 14:53
Svara 


Det är just vad jag tror det är, Open Access. Det är det systemet som Kuuskaista har. Med automatisk inkoppling av tjänster som kör i olika VLAN. Nog kan det vara bra (har ingen aning om det fungerar eller inte), men jag misstänker att det är dyrt.

Nisse
Medlem
# Skrivet: 22 Nov 2012 15:49
Svara 


Och så är det förstås onödigt också ...

Guje
Medlem
# Skrivet: 22 Nov 2012 19:08 - Editerad av: Guje
Svara 


ZemWork och PacketFront är nog konkurrenter verkar det som om.

Det var säkert op5 som är PacketFronts samarbetspartner på nätövervakningssidan.

op5 och PacketFront Solutions ingår nytt partnerskap

op5 AB, som utvecklar mjukvarulösningar för kontroll av IT-tjänster, ingår partnerskap med PacketFront Solutions AB som är systemintegratör för stadsnät och operatörer på den svenska marknaden


http://www.op5.com/se/


op5 är en kommersialiserad version av nagios. Linux rules

(Ni som har Linux kan ladda ner och testa)

Här en top 5 lista

http://www.thegeekstuff.com/2009/09/top-5-best-net work-monitoring-tools/


Tror ni vi börjar hitta lösningar på behovet av nätövervakning i öppna byanät?

Guje
Medlem
# Skrivet: 22 Nov 2012 19:27
Svara 


Byanätets behov är (tänker högt igen...)

Säkerhet
Uppfylla lagens krav, bl.a. hushållen skall isoleras så MITM är omöjligt


Loggning
Vi måste logga trafiken

Övervakning
Ingen får ta all bandbredd

Brandmur som klarar DDoS


Kundsupport
Alltid öppet, eller bara vissa tider?


Nätfunktioner
Koppla in/ur en anslutning

Guje
Medlem
# Skrivet: 22 Nov 2012 19:30
Svara 


Om nån har tid så kunde denna nån söka reda på olika metoder att koppla in/ur anslutningar i nätet. Softa-vägen. KISS.

Danno
Medlem
# Skrivet: 22 Nov 2012 20:23
Svara 


Guje: Men MAC-låsning är inte problemfritt. Underhållet är tungt om man gör det manuellt

Det kan inte vara manuellt förutom första gången per anslutare. Därför påpekade jag tidigare: som alla registrerade nätverks användare konfigurerar själva, åt sej själva.
En lösning skulle vara att alla burkar som inte är registrerade skulle ligga på ett VLAN och när användaren registrerat burken själv på portalen (den jag förklarade om tidigare) skulle den "flyttas" till det VLAN:et som man når Internet på (det egentliga nätet). Men VLAN termen slipper man inte på det här viset och frågan finns kvar: Hur skall funktionen som sköter IP/MAC-låsningen styras (vilket verktyg klarar av det och vilka switchar klarar av det).

Men en finess skulle det då finnas i nätet: att man kan var som helst (förutom i de portar som används av redan registrerad burk) koppla in en burk som kan köra interntrafik och därmed inte belasta Internet linjen. Skulle det här vara en vettigare (enklare) lösning? Själv tycker jag att man inte alls skulle behöva dessa VLAN lösningar efter som det kräver extra konfigurering.

Guje: och går en switch sönder är det inte "sådärbara" att slänga in en annan.
Därför skrev jag: *behöver egentligen inte vara en server utan helst skulle det vara en P2P protokoll som använder sej av just de burkar som är anslutna till nätverket. Så EFTERLYSES om någon vet en färdig programvara för det här?!
Vad jag då syftade på är att informationen (konfigurationerna i switcharna och styrningsaplikationerna) skulle vara "flytande" i nätverket med hjälp av ett P2P protokoll för att vara decentraliserat och alltid tillgängligt. Men jag antar att det här hör till framtiden... Vet bara en "organisation" som använder sej av liknande mjukvara och det fungerar jättebra.

Nisse
Medlem
# Skrivet: 22 Nov 2012 21:00
Svara 


Det är världens enklaste sak att via fjärrstyrning koppla ur eller begränsa anslutningar via våra växlar (kolla Direktronik till exempel Edge-Core ECS4610-24F).

Manualen finns här: http://www.edge-core.com/temp/ec_download/778/ECS4 610-24F%20%28MG%29.pdf

Det finns en massa olika modeller både 100 Mbit/s och Gigabit med SFP-moduler och utan. Men alla har en mängd funktioner att administrera linjerna via nätet.

Nisse
Medlem
# Skrivet: 22 Nov 2012 21:05
Svara 


Sorry, Danno men vi har inte många abonnenter som skulle klara det systemet. I praktiken kan de koppla in sladdarna och därefter är det SLUT !

Inte heller underhållet får vara för svårt. Bara att koppla in nya burkar med ytterst minimal konfigurering.

Växlar går snabbt att byta. Jag har bytt en hel del. Tio minuter ifall man inte behöver bråka med nån krånglig konfigurering.

Mjukvara är jag skeptisk till - det blir mest bara krångel. Fjärradministration är absolut nödvändig men den skall vara EXTREMT ENKEL !

Guje
Medlem
# Skrivet: 22 Nov 2012 22:29 - Editerad av: Guje
Svara 


Danno, vilket behov har vi att skriva in hemrouterns MAC/IP i byswitchen där routern ligger inkopplad? Vad löser vi för problem?


Tack Nisse för tipset om hur man enkelt kopplar ur en anslutning. KISS: RTFM.

Hur gör man när sommargästen kommer tillbaks på våren och vill ansluta sig igen. KISS lösningen skulle vara att han bara trycker på startknappen och så börjar månadsfakturorna löpa igen. Men, om anslutningen är avstängd kommer han ju ingen vart.

Hmmm... vad tror ni om man kopplar på anslutnigen igen då kortaste avstängningstiden gått ut efter 2 månader. Månadsfakturan börjar löpa när trafiken börjar löpa (tex. när sommargästen får sin IP från DHCP-servern igen). Ingen behöver egentligen göra nånting alls. Suveränt vore att kunna ta bort en anslutning bara på en viss tid i switchen. Urkopplad bara 2 månader.

Tja, kanske det är för enkelt. Kanske man borde låta somargästen ändå klicka OK nånstans i alla fall. För att slippa diverse fakturatjafst om " det hade jag ingen aaaaning om - typ"

OK, nu tror jag ju nog att övervakningssoftan har såna här funktioner, egentligen. Men nånstans borde vi tappa ur för en fakturasignal. Eller så skriver man ut alla fakturor för hela året och håller linjen öppen så länge saldot är på pluss.

Nisse
Medlem
# Skrivet: 22 Nov 2012 22:39
Svara 


Vi har nog krav på att abonnenten aktivt meddelar att han vill ha anslutningen påkopplad. Då öppnar jag växelns linje (det tar 20 sekunder) och meddelar Nina att hon skall skicka räkningar (epost). Vi har numera efaktura. Det är relativt smärtfritt på det sättet och jag tycker nog att det skall krävas litet aktivitet för att få anslutningen påkopplad. Vi tar förresten en återanslutningsavgift på 50 euro så folk inte hela tiden kopplar av och på.

Guje
Medlem
# Skrivet: 22 Nov 2012 22:46 - Editerad av: Guje
Svara 


Jo, vi tänkte också på en avgift för återanslutning. Men så sa nån att vi skall bara ta en avslutningsavgift. Inkopplingen skall vara gratis för vi vill ju ha igång månadsavgifterna så fort som möjligt igen. Om kunden måste speta kan det hända att han väntar med att öppna. Är det gratis så, ja ... då kostar det ju ingenting ....

Guje
Medlem
# Skrivet: 23 Nov 2012 21:00 - Editerad av: Guje
Svara 


Johanh snackade med en bekant angående hur en ISP kan fixa sitt nätverk.

"...Som exempel berättade han att man kan ta in internetanslutningen i huvudswitchen i port 1 och taggar det som VLAN låt oss säga 100. Port 2 kopplas till Linuxdatorn, som tar hand om trafiken från ISP:n, routar och taggar om det till låt oss säga VLAN 300 och matar det tillbaka till port 2 i switchen. Detta VLAN matas sedan ut till hushållen. Antingen avtaggar man det i den sista switchen före hushållet (vilket betyder att hushållet bara kan ta emot ett VLAN) eller i en port i hemmaroutern. "

Johanh, förstår jag dig rätt så matas VLAN 300 ut till hushållen. Det betyder ju att dom ligger alla i samma layer 2, eller hur? Låter inte särskilt bra med tanke på isoleringen av hushållen från varandra.

Vad missar jag?

Guje
Medlem
# Skrivet: 23 Nov 2012 22:08 - Editerad av: Guje
Svara 


Efter lite funderande hit och dit ser vår ultimata byanätsmodell nu ut såhär:


Det är ett best effort nät. Precis som Internet i övrigt.
Alla kör med samma hastighet. Delad kapacitet.
QoS efter behov. (VoIP, videokonferens)
Varje hushåll har sin egen IP. Antingen publik eller NAT:ad.
Hushållen isoleras från varandra i ett eget VLAN. Ett VLAN för varje hushåll, alltså.
Hårdvara för proffs-bruk (L3 switchar od). PC-servar undvikes.
Loggning och isolering är ett myndighetskrav.
Även spärrning av vissa servrar är idag ett myndighetskrav (PirateBay)

1. Internet kontakten är delad och köps som en transittjänst från vår uplink
På sikt har vi säkert flera uplinkar. För full rörelsefrihet kanske egen AS nummer och ruttning mha. BGP.

2. Vi kommer att få tillräckligt med publika IP:n så de räcker åt var och en
Vi tar risken med att dela ut publika IP:n till hushållen. De flesta inportar dock stängda. Öppnas vid behov.
Brandmursfunktioner skyddar.
Jag har diskuterat saken på flera håll. Publika IP funkar utan större störningar.
"Skenande datorer" måste hållas efter.

3. En DHCP-server delar ut en dynamisk publik IP till varje hushåll.
Motivet bakom DHCP är att enkelt kunna konfigurera nätet och automatiskt köra ut förändringarna till hushållen
Motivet bakom dynamiska IP:n är att spara på adresserna och återanvända de som är lediga.

4. Vid behov kan ett hushåll få fast IP, flera IP:n, eller en egen NAT:ad IP.
Principen är att inte dela IP-adresser mellan hushåll.
Log-kravet ligger bakom denna tanke. Har vi flera hushåll bakom en IP-adress måste vi också logga portanvändningen på utsidan av NAT. I så fall måste vi logga varje paket vilket höjer på lagringskostnaden. Vet vi vilken publik IP som hör ihop med vilket hushåll är det så mycket enklare och loggen blir kortare.
Loggningen är ett myndighetskrav.
Vi räknar helt enkelt med att de IP-adresser vi har räcker till och att IPv6 räddar oss på sikt.

Kanske NAT-behovet faller bort i praktiken.
a) Vi har tillräckligt med IP-adresser
b) Vi löser säkerhetsproblemet med brandmur
c) Vi skuffar över NAT-ansvaret på kunden
( ingen dubbel-NAT, NAT brukar vara default på nya hemroutrar )


5. DHCP:ns log får fungera som den officiella loggen.
Måste bara se till att lagruingsutrymmet inte tar slut.

6. Isoleringen av hushåll är ett myndighetskrav och kan skötas på flera sätt

6.1. Ett hushåll per VLAN.
All hushållstrafik från anslutningspunkten körs till huvudroutern där den ruttas enligt önskemål, antingen tillbaks in i byanätet eller så ut på Internet.
Avtaggningen sker i porten ut till hushållet. Detta leder till att all trafik går via huvudroutern. Men jag tror inte det är nåt problem. Hastigheten räcker säkert till och största delen av trafiken skall ändå den vägen ut på Internet.

6.2. Byväxeln bryter hushållens layer 2 i anslutningspunkten.
Antingen genom filter eller genom ett "hopp" till layer 3, dvs. en router-funktion.

6.3. Isolering på högre layers
Tex. krypterade VPN-tunnlar. En flexibel möjlighet för diverse tjänster i nätet.

6.4. Sofisikierade metoder
ACL i switchar, VRF, MPLS. Jobbigt!

6.5 Layer 1 isolering
Trafiken går på egen våglängd eller i egen fiber.
Kan behövas ibland, t.ex. häslovård.



7. Med den här lösingen kan kunden koppla in vad som helst i sin anslutning upp mot byanätet.
Enda problemet blir hur vi fjärrkollar att linjen är i skick.
Eventuellt kan man ta ut en extra besöksavgift av kunden om han saknar en burk utan fjärrkontroll/konfigurering.

8. Alla portar utåt är öppna. De flesta in-portar är normalt stängda. Öppnas på begäran.
Detta är en säkerhetsåtgärd och inte en baktanke att styra hushållet till dyrare produkter.

9. Månadsavgiften baserar sig på normala genomsnittliga trafikmängder.
Extremt höga trafikmängder hanteras med trafikstyrning till en dyrare linje.

10. Nätverkssofta analyserar trafiken. Främst för att se trender och för att övervaka att nätet fungerar.
I första hand försöker vi använda mjukvara som kommer med hårdvaran.
Den som kommer att drifta nätet (köptjänst) har säkert egna önskemål.

11. Faktureringen ligger utanför nätet och sköts som vanlig månadsfaktuering, modell hyreslägenheter.

12. Ingen Egen DNS-tjänst.
Vanlig lookup DNS kan egentligen skaffas var som helst. Den som behöver reverse lookup måste snacka med vår uplink. Man kan också själv fixa sin DNS-server eftersom det går bra att få två fasta IP.

13. Anslutningar kopplas på/av manuellt
En sak vi säkert måste se över med tiden.
Antalet bortkopplingar under vinterhalvåret kan vara stort. Påkopplingarna kan leda till rusning på våren när sommarfolket återvänder.
Å andra sidan kan det vara många som vill videoövervaka stugan under vinterhalvåret och låter linjen ligga påkopplad.
Nya saker - vet inte hur det blir. Vi skall inte satsa på dyr automatisering ännu.

14. VLAN är ett flexibelt och tillräckligt enkelt verktyg för att isolera hushållen.
VLAN-möjligheten skall utnyttjas av byanätet och inte ges till tjänsteförsäljning.
Ex. Har samma ägare behov av flera anslutngar (hemma/jobbet) kan anslutningarna enkelt kopplas ihop i ett eget privat nät.
Ok, VPN är också en möjlighet.

15. Alternativt kan isolerngen av hushåll skötas som subnät så att varje hushåll ligger i sitt eget subnät.
I så fall behöver vi inte VLAN för isolering,
Jag är osäker på om subnät isoleringen blir tillräckligt stark. I princip borde det vara ok eftersom hushållen då också ligger i olika L2
och switchen är en L3 switch.
Vad tror ni?


Senare tillsatt:

16. Multicasting får vi se på senare. Måste ta reda på vad det kostar först.
I princip har vi motat Olle i grind genom att ge ut kabel-TV på den andra fibern som ligger svetsad till alla hushåll.

Guje
Medlem
# Skrivet: 24 Nov 2012 14:45 - Editerad av: Guje
Svara 


Campus Network Infrastructure Directions
Strawman Architecture for 2010


This "Goal-State Strawman" effort is about trying to define a (or a
small set of) candidate UW campus network architecture(s), looking
several years out. This is a high-level, broad-brush look at "most
likely scenarios" in order to help guide our more detailed planning
and design efforts. It involves speculating on actual user and
institutional requirements, as well as Best Practice technology and
design choices.


http://bredband.selfip.net/forum/filebox/dokument/ nid-thedocument.pdf



Tyckter att den akademiska touchen på hur ett nätverk skall byggas passar våra byanät. Inte så mycket "open access provisioning" här inte.
Texten granskar nätbyggandet mera ur ett nätägar-perspektiv än ur ett tjänsteleverantörs perspektiv.


In our strategic planning process, we have established "reliability
and responsiveness" of our systems as a key goal. Additionally, we
have a changing world of security threats and compliance requirements
that dramatically impact our designs. Accordingly, we need to
re-think our assumptions as we plan ahead
.

Danno
Medlem
# Skrivet: 24 Nov 2012 18:13
Svara 


Guje: Danno, vilket behov har vi att skriva in hemrouterns MAC/IP i byswitchen där routern ligger inkopplad? Vad löser vi för problem?

Några orsaker till behovet har jag nämnt tidigare, förutsagt att man ser det som ett behov.
Hänvisar till Nisses komentar: Trafiken ut till Internet är inte så farlig. Vi har rent tekniskt Gigabits linje ända till FICIX men har bara betalat för trafik upp till 100 Mbit/s (symmetrisk givetvis). Priserna går ned hela tiden och jag ids inte betala för mer än vi använder (max ca. 60 Mbit/s med fem minuters medeltal).
Ett annat behov om man ser det som ett behov, är att eliminera användningen av Bogon adresser (finns kanske ett svenskt namn för dem).
Dessutom är det enkelt att använda en "oanvänd" adress och där med skapa adress kollisioner eller annan "kapning" av information, om den inte stoppas av en "tull funktion".


Personligen kulle jag se att inga som helst restriktioner skulle finnas till, ifrån eller i nätet. MEN som vi vet, har de flesta protokoll färdigt "inbyggda" säkerhets risker och därför bör vidtas vissa säkerhets åtgärder för varje protokoll skilt för sej*.
Skrev tidigare: Men poängen är i alla fall att inte lägga käppar i hjulet för utvecklingen och då är det bra att hålla Byanätet väldigt simpelt men fortfarande kunna kontrollera vems burk som är ok och vems som inte är ok att belasta nätet. Eller att föra in en "säkerhets risk" till, till nätet. För varje aktiv burk som är kopplad till nätet har en potentiell risk att införa ett hål i säkerheten. Och om man inte ännu till vet vem användaren är utan bara switch porten så har man ju ingen nytta av en Log heller*.

Själva fenomenet att skriva in hemrouterns MAC/IP i switcharna är som tidigare konstaterat arbetsdrygt eftersom man gör det manuellt. Om man har tillgång till programvara att göra det "halv" automatiskt som jag beskrev tidigare, så skulle i sådana fall det vara ett alternativ, i andra fall inte.

Alternativ finns: t.ex. i scenariot du föreslagit ovan där all trafik ruttas "rakavägen" till en enda burk så kan ju tull funktionen finnas i den. Ser flera nackdelar i just den modellen, men kan kanske inte möjligt att undgå när IPv4 används.


*"Det roliga med människorna är, att de alltid säger fullständigt självklara saker. citat av Ford Prefect.

Danno
Medlem
# Skrivet: 24 Nov 2012 20:14
Svara 


Kort respons till: Campus Network Infrastructure Directions Strawman Architecture for 2010

Saker jag tyckte är värt att uppmärksamma:

Intressant är att under Punkt 1.8 att MPLS är en Layer 2.5 nivå.

I Punkt 4.5 konstateras: it is important to have a
single organizational entity be responsible for managing all active devices in the network from the
customer walljack demarc to the ISP border.

Alltså att gränsen går ordagrant vid uttaget.

5.4 viktig punkt, hur uppfylla i praktiken? Till viss del omöjlig till viss del lett.

5.8 viktiga aspekter som bör beaktas (tyvärr hänger resultatet på vad investeringen får kosta)

Synd att den är så gammal (från 2007) så de inte beaktat IPv6:an, bara nämnt den som Advanced Service i Punkt 6.1.

7.1 Intressant: - No MPLS, no VRF (yet), no edge VLANs och - Separate Enet jacks for VoIP.
Har någon närmare kunskap om VoIP tjänster/protokollets säkerhets "hål"? Eller vad syftar de på för egentlig orsak att skilja VoIP trafiken från den övriga trafiken? För de gör det konsekvent genom hela dokumentet.

7.2.1 - Move from (newly deployed) L3 core to an MPLS (L2.5) core, supplemented by L3 function to link
different VRF/connectivity classes
Vad skulle det vara för praktisk (säkerhets) skillnad?

7.2.6 Contrast: Just one (or two) Separate Networks (Best cost, worst fault containment)
- One maximally separate network zone (or two, if a customer demands and funds).
- Isolation primarily provided via VRFs for at least 30 classes overall.


Guje
Medlem
# Skrivet: 24 Nov 2012 20:47
Svara 


7.1. ...Separate Enet jacks for VoIP.

Misstänker att VoIP körs med QoS i eget VLAN och därfär ligger den i eget jack.

Danno
Medlem
# Skrivet: 24 Nov 2012 21:45 - Editerad av: Danno
Svara 


Guje skrev i tråden Funderingar kring Byanätens säkerhet på Nivå 3-7 (OSI): Säkerhetenssytsemen i vårt dumma nät behöver inte vara så rigorösa: Loggning, lite portlåsning och så isolering av hushåll.
Port låsningen "oroar" mej... Som jag skrivit tidigare borde det vara en "burk" låsning som inte är hårdvarubaserad. Låt ås anta att det är en burk som blivit kapad av någon orsak och börjar spy ut ruttna paket på nätet och resultatet blir att switch-porten som burken ligger på blir avstängd. Då slutar all annan trafik också att fungera på den porten och så kan det inte vara. Eftersom det kan vara grannens dator som ligger på W-LAN:et som stör trafiken och inte ägaren till linjen. Principen: bör inte bli bestraffad för att man kör med öppet W-LAN eller att ens W-LAN blivit "kapat". ON/OFF funktionen är sedan en annan sak.

Nisse
Medlem
# Skrivet: 24 Nov 2012 22:00
Svara 


Jag är av annan åsikt. Vi kan inte börja utreda en massa saker. Om en linje börjar skicka ut skurkvara så stängs den omedelbums ! I praktiken betyder det att jag sedan pratar med abonnenten på telefon och så kommer vi överens om att de tar bort den maskin som förorsakar problemet och skickar den för att avlusas. Då jag är säker på att linjen är skurkfri så kopplar jag på den.

Hela nätets säkerhet går före enskilda abonnenters rätt. Ofta beror eländet på att ungdomar surfat på riktigt skumma nätsidor och då kan de skylla sej själva.

Just med tanke på att hela vårt nät stängdes då en maskin blev galen så tar jag inga risker att det händer på nytt.

Om nån har öppet WLAN så grannen stör så är det ett problem mellan abonnenten och grannen som vi inte kan blanda oss i helt enkelt. Vårt ansvar för nätet slutar vid kontakten i mediakonvertern.

Guje
Medlem
# Skrivet: 24 Nov 2012 23:25 - Editerad av: Guje
Svara 


Precis, vårt byanät är också isolerat från hushållens nät. De kommer bara in i byanätet en väg och det är genom anslutningsporten. Endast riktiga paket slinker igenom. In till VLAN:et där byanätet konfigurers kommer de aldrig.

Luktar paketen apa så slinker dom också igenom. Men, så fort som paketen hotar byanätets funktion så spolar vi dom. Tex. En dos attack inifrån. Spärren Ligger på tills saken är fixad.

Portlåsningen existerar också på grund av detta. Men, om det finns nån som vill ha alla portar öppna åt alla håll är det bara att beställa en öppning.

Man skall bara vara medveten om att spärrningsreglerna slår ut anslutningen om trafiken blir för häftig. Ett sätt att lösa detta är med en egen betallinje med tex, QoS. Så, att, visst får man prioriterad trafik, men inte till samma månadskostnad som best effort trafiken.
Själv tror jag att de flesta ändå väljer att köra med normala månadskostnader och avmaskade PC:n.

Nisse
Medlem
# Skrivet: 25 Nov 2012 07:19
Svara 


Man måste bara vara försiktig så man inte skapar ett sytem som kräver mycket tid och arbete att hålla igång. Jag kör med principen att allting är bara fabriksinställningar - tills det kommer problem som man måste göra nånting åt. Utom fasta IP-adresser som jag ju måste programmera in i hemmaroutern ifall tant Gunhild inte kan göra det själv. Vi har nog många som köper egen router och själva sätter in fast IP-adress. SÅ svårt är det inte.

Jag tycker Guje har rätt princip att speciella krav får kosta mer. Trafik skall absolut inte mätas men om någon vill ha en prioriterad linje med hög GARANTERAD hastighet så kommer det att kosta en del. Ganska mycket egentligen. Då måste jag köpa till lika mycket kapacitet av nätoperatören som abonnenten vill ha och det är en väldokumenterad tilläggskostnad för oss. En tilläggskapacitet på 100 Mbit/s (garanterad) kan bli flera hundra euro i månaden. Inte kan vi sätta tant Gunhild som bara läser epost och möjligen ser på SVT att betala för den kostnaden. Det kan vara ett företag som verkligen behöver 100 Mbit/s garanterad hastighet (eller 1 Gbit/s). Men då är det specialarrangemanget som kostar - inte trafiken i och för sej.

Guje
Medlem
# Skrivet: 25 Nov 2012 10:38 - Editerad av: Guje
Svara 


Så långt som möjligt fabriksinställningar och billiga burkar - jo, men.

De billiga burkar Eirik köpte i tiden är idag utbytta mot dyrare dito. Att du lyckades bättre är att gratulera.

Men som princip håller jag med. "Ekonomi"-klassen duger, måste inte vara "business class". Allra minst behöver vi satsa "Exclusive".


Att få sitt nät att snurra på fabriksinställningar är dock en utmaning. Isoleringen av hushåll tror jag nog att man måste göra nånting åt. Men, OM vi hittar en switch som klipper layer 2 vid hemanslutningen så tror jag den ligger högt i kurs.

En DHCP-server är nog inte så svår att hantera. Gjort det i flera år nu i mitt eget lilla nät. Körde först med fasta IP:n men märkte att underhållet blev ganska jobbigt. Nya brandmurar, servrar och gateways vållade alltid problem ute hos klienterna. Med DHCP styr jag nu alla klienter från en server. Jag menar att satsa på en DHCP är att satsa på flexibilitet.

Vi tar antagligen risken att köra publika IP:n på hemporten, med NAT som alternativ. Inte tvärtom som Nisse gör. Jag har fått tillräckligt med lugnande besked om att det inte blir säkerhetsproblem. Inportarna är ju i regel stängda vilket ganska långt motsvarar NAT-säkerheten. I regel har ju också hushållen sina egna brandväggar så, jag tror det skall funka.

Men, vi måste ha en fungerande plan B som faller ner på NAT ifall det blir problem.

Guje
Medlem
# Skrivet: 25 Nov 2012 10:46 - Editerad av: Guje
Svara 


Hur tar man layer 1 pulsen på hemanslutningen så man vet att den är i skick? Kommer där med nån softa eller nånting när man köper en SFP? Eller ligger där nånting inbyggt i hårdvaran/switchen? Hur vet man att den funkar?

Ok, man kan väl kika efter om byswitchen får in en MAC från linjen, men andra kvalitesuppgifter? Var plockar man dem, eller behöver man inte såna uppgifter?

Danno
Medlem
# Skrivet: 25 Nov 2012 11:58
Svara 


Guje skrev i tråden Funderingar kring Byanätens säkerhet på Nivå 3-7 (OSI): Växlarna i byarna skall vara enkla att byta ut. Det är dom om de inte behöver konfigureras så mycke, dvs. Alltför många inställngar skall man inte behöva göra. Man vinner både i tid och funktionssäkerhet om man lyckas med det konsstycket.
Bara att konstatera, att så är det. Skulle dock villa tillägga till det här att någon nivå av konfigurering måste alltid finnas och då är det bra om den bara behöver göras en gång per burk och inte behöver göras på nytt när burken gått sönder (byts mot motsvarande burk). Det är den funktionen jag skulle villa få tag på mera information om.

Danno
Medlem
# Skrivet: 25 Nov 2012 12:03
Svara 


Är inte de flesta övervaknings softa sådana som man får fram packet loss och belastning på enskilda linjer och som inte kräver något speciellt på hårdvarusidan? (sniffer funktion)

Nisse
Medlem
# Skrivet: 25 Nov 2012 15:09
Svara 


Det är inte fråga om SÄKERHETEN enbart om man skall köra med global IP-adress fram till hemmaroutern. Tänk på att all SKRÄPTRAFIK belastar nätet även om den inte kommer in i hemmaroutern ! I vårt fall stannar den utanför huvudroutern. Även om det vore ännu bättre att den inte alls skulle komma in på vår Internetlinje ens.

Jag har inte mätt skräptrafiken eftersom den stannar utanför huvudroutern men den kan bli väldigt stor i vissa fall. Inte ser den ut att minska i framtiden heller. Om den trafik vi betalar för till 80 % består av skräp så har det redan stor ekonomisk betydelse.

Nisse
Medlem
# Skrivet: 25 Nov 2012 15:17
Svara 


ntop ger en massa uppgifter redan i grundversionen och så kan man sätta in skript som visar nästan vad som helst.

mrtg plockar uppgifter om trafiken från växlarna med snmp och ger en bra bild av trafiken på varje linje. Jag har dessutom speglat utgående linje på en port i växeln som jag använder för att mäta totala trafiken till Internet.

nmap ger snabbt en lista på vilka abonnenter som är inkopplade.

Dessa är översiktsprogram men med äkta sniffer så kan man gå in i varje paket och verkligen sniffa. Det tar en jäkla massa kapacitet och bör användas bara då man söker efter skurktrafik.

Danno
Medlem
# Skrivet: 25 Nov 2012 18:52 - Editerad av: Danno
Svara 


Har gjort lite efterforskning och hittat dessa ntop:s n2n som kör p2p vpn på Layer 2 eller 3.

Har också hittat OpenNetworking som gör switcharna "fjärrstyrda".

Har någon erfarenhet av dessa? De är programvara lite åt det hållet jag efterlyste tidigare.

Guje
Medlem
# Skrivet: 25 Nov 2012 19:21
Svara 


Tack för tipsen. Jag har noterat dem.

Undrar mer specifikt om man också borde få ut tex. Signal/Brus förhållanden och dylika kvaliteter på linjerna ut till hushållen? Främst för att veta om nånting verkligen är galet, eller om det bara är så att strömmen eller sladden ligger urdragen. Jag menar, dyrt&dumt att skicka en servicegubbe ner till Bromarv föra att stöpsla in en strömlös router.

Danno
Medlem
# Skrivet: 25 Nov 2012 19:35 - Editerad av: Danno
Svara 


Kolla in videona på openflow - videos det ät hit utvecklingen är på väg tror jag, oberoende om vi vill eller inte . Men märk väl så är det fortfarande best-effort.

Danno
Medlem
# Skrivet: 25 Nov 2012 20:01
Svara 


Singnal/Brus vet inte om det finns möjligheter att få ut sådan info från switchar men antar att man gör det med deras egna soft, på samma sätt som LAN-kort. Nakdelen är då att man är bunden till en PC/Server som sköter den delen.

Min förta tanke är nog: om hemmaroutrarna är strömlösa så må dom vara det då. Men... vem faller kostnaden på? Jag ser det nog som den enskilda användaren får betala montören, om det visar sej att signalen kommer fram. Om signalen inte kommer fram så behöver en montör antagligen ändå åka till centralen och byta en SFPmod eller skarva en kabel. Men om det är t.ex. ett konfigurerings fel i Byanätets elektronik så borde det inte få hända att en montör skulle åka ut på sightseeing.

I byanoderna skall det nog finnas en analog input till ethernet för ha koll om strömmen är i skick eller inte.

Nisse
Medlem
# Skrivet: 25 Nov 2012 20:18 - Editerad av: Nisse
Svara 


Det finns ingenting man kan göra åt saken. Vi direkt UPPMANAR folk att dra ur stöpslarna då det är åska och många gör det varje gång de åker bort hemifrån. Jag har insett att det nu bara är så att de måste ringa och klaga förrän jag ids göra nånting.

Det går inte att kolla en hemmakonverter om den är strömlös så det är ingen idé att sätta in administration i dem för allting är avstängt då strömmen är borta.

Det är inga problem med växlarna. Jag kör mon (monitoring services)

https://mon.wiki.kernel.org/index.php/Main_Page

som hela tiden pingar dem och skriker om den inte får svar. Man kan förstås sätta in en 1-trådsburk som kollar elström (vi märker inte om strömmen går för våra växlar går alla på acku) och temperatur också. De kan dessutom styra switchar. Kolla

https://www.m.nu/webswitch-1216h2-extended-version -p-440.html?osCsid=lt4336qsll3429d2jdlfb52o16

. 1 . 2 . 3 . 4 . >>
Ditt svar
Bold Style  Italic Style  Underlined Style  Image Link  URL Link     :) ;) :-p :-( :up: :down: :talk: :confused :cool: :sealed: :noway: ... Använd inte smilies

Kill your darlings


» Namn  » Lösenord 
Only registered users can post here. Enter your login/password correctly before posting a message, or register first.