Det ultimata byanätet - Finlandssvenskt fiberforum (2)
Bredbandsgruppen  
Forum RSS feed    Forum - Svara - Statistik - Registrering - Sök -

Finlandssvenskt fiberforum / Byanät / Det ultimata byanätet
<< . 1 . 2 . 3 . 4 . >>
Författare Meddelande
Johanh
Medlem
# Skrivet: 26 Nov 2012 15:38
Svara 


Johanh, förstår jag dig rätt så matas VLAN 300 ut till hushållen. Det betyder ju att dom ligger alla i samma layer 2, eller hur? Låter inte särskilt bra med tanke på isoleringen av hushållen från varandra.

Vad missar jag?


Om du vill isolera hushållen helt ifrån varandra, och "förstöra" det öppna nätet, så kan du använda Private VLAN: http://en.wikipedia.org/wiki/Private_VLAN Private VLAN gör att trafiken inte kan routas mellan hushållen. I exemplet är då VLAN 300 Primary VLAN och varje hushåll får ett eget Secondary Isolated VLAN.
Jag är rätt säker på att det är detta system som används i aktiva ethernet-fibernät av operatörer. På kopparnät är det motsvarande systemet Split Horizon. Jag vet inte vad de har i GPON-nät, men där har de så dyra burkar, så de kan väl göra vad de vill.

Det finns inget annat effektivt sätt om du absolut måste isolera hushållen.

Men det som jag förespråkar är att inte förstöra det öppna nätet. Inte använda Private VLAN. I avtalet med hushållen skall de förbinda sig att använda router. Om två grannar vill och kan, så kan de trafikera sinsemellan. Det är rentav löjligt att anse det som förkastligt (Welcome to the Internet, sa nätverkskillen). Har man en byarouter, så stoppar man all sådan trafik utåt. Är man paranoid, så slår man på ACL i byaswitcharna och förhindrar printer och nätverksdelning. Däremot, om någon VILL köra en viss sorts trafik mellan hushållen, på vilka grunder skall man förhindra sådant? Vad är motiveringen? Vi bygger ett fint och dyrt nät, men låter inte folk använda det???

Nisse
Medlem
# Skrivet: 26 Nov 2012 16:38
Svara 


Att dårfinkarna rekommenderar isolering av hushållen betyder inte att man bör bry sej om dem. Så mycket har jag varit med i arbetsgrupperna att de enbart är intresserade av att plocka pengar av oss och sälja gammal teknik. Så jag struntar blankt i alla "rekommendationer" och genomför enbart sådana åtgärder som är behövliga på riktigt.

Det räcker bra till med hemmarouter. Nåt j-la VLAn behövs inte.

Guje
Medlem
# Skrivet: 26 Nov 2012 17:27 - Editerad av: Guje
Svara 


Nej, jag vill inte isolera ruttningen mellan hushållen. Inte alls. Inte kan man ju förstöra det öppna nätet, ju!

Jag vill isolera hushållen så de inte ligger i samma L2 med varandra.

Jag vill banne mig inte ansluta mina avmaskade PC:n till samma LAN som grannens ungar pluggar in sina PC:n i.
Mitt ultimata krav är att vi måste ligga i olika LAN.

Jag vill inte se deras MAC-adresser och de skall inte röra mina!

Det finns ingen hemarouter (eller profssrouter med för den delen ) som stoppar arp-spoofing i L2.
Ok, specialswitchar, MAC-låsning, men det räknas inte eftersom jag i så fall har fel ang. arp-spoof-spärren.

Jag har samma krav som arbetsgruppernas dårfinkar alltså.

Så vad säger du till det då Nisse?

Det har inget att göra med VLAN eller Open source provisioning.
Det har att göra med mina mänskliga rättigheter att välja bort grannens ungar från mitt LAN.

Nisse
Medlem
# Skrivet: 26 Nov 2012 17:49
Svara 


Jag tror inte du är av samma åsikt som dårfinkarna. De krävde uttryckligen att abonnenten skulle ligga i ett skilt VLAN ända fram till operatören (deras egen burk). På så sätt gick all trafik ut till operatören och sedan tillbaka till lokalnätet. Och DET är jag hårt emot. Speciellt som de inte var rena nätoperatörer utan monopoloperatörer så blev den interna trafiken inom lokalnätet debiterbar trafik för dem.

Om man vill ha folk i ett skilt VLAN inom lokalnätet så är det väl inget problem ... Alla har ju också egna fibrer fram till växeln. Om man vill så kan man skicka trafiken fram till lokalnätets huvudrouter men då är den hela tiden INOM lokalnätet. Med en Gigas router är belastningen inte alltför betydande. För större nät kan man använda flera routrar.

Poängen är alltså att intern trafik inom lokalnätet skall förbli intern trafik.

Guje
Medlem
# Skrivet: 26 Nov 2012 18:15 - Editerad av: Guje
Svara 


Äh!

Och jag som trodde jag avancerat till dårfinkarnas arbetsgrupp. Och då kunde jag gå ur gruppen, precis som Nisse!

Men du har så rätt. Jag talar faktiskt om isolering i det egna nätet ... och så talar jag om andras ungar och mina barn.

"Isoleringen" som jag kallar den kan sedan fixas på flera sätt. Ett sätt är att dra trafiken genom en router och så är det fixat.
Är vägen lång till routern kan man gå fram till den i ett eget VLAN(!). Ut genom routern, och vips är man på den säkra sidan.

Guje
Medlem
# Skrivet: 26 Nov 2012 18:19
Svara 


Så, Johanh:

Du skrev att alla hushåll ligger i samma VLAN 300. Hur fixar man L2-isoleringen mellan hushållen i det fallet?

Johanh
Medlem
# Skrivet: 26 Nov 2012 22:57
Svara 


Du skrev att alla hushåll ligger i samma VLAN 300. Hur fixar man L2-isoleringen mellan hushållen i det fallet?

Det förklarades för mig att då man sätter på Private VLAN i det fallet (Private VLAN omfattas bara av en switch) så får varje switchport ett eget Secondary VLAN som är underordnat det Primära. Det är en funktion i switchen (det skall stå att den stöder Private VLAN). Då blir switchportarna/hushållen isolerade och ingen trafik ruttas mellan dem. Men då "förstör" man också det lokala nätet.

Guje
Medlem
# Skrivet: 27 Nov 2012 08:26 - Editerad av: Guje
Svara 


B I N G O !

Det heter ju Private VLAN för tusan! Tack Johanh!

Jag skrev redan tidigare i IPv6-tråden:

"Idag borde switcharna dock vara så fiffiga att de inte går över i grannens nät. Men man måste skilt fråga efter en sån modell."


Svaret ger Johan i sitt senaste inlägg i denna tråd:

"Det är en funktion i switchen (det skall stå att den stöder Private VLAN). Då blir switchportarna/hushållen isolerade och ingen trafik ruttas mellan dem. Men då "förstör" man också det lokala nätet."
Precis! Det är det lokala nätet som SKALL förstöras. Men det betyder ju inte att det öppna nätet också förstörs. Två helt skilda saker.


Isoleringen i Private VLAN handlar om att switchens L2 portar isoleras från varandra, MAC-adresserna går inte över som i en vanlig switch. Exakt det vi är ute efter. Däremot kan de kommunicera över L3 på IP-nivå hur bra som helst. Exakt det vi är ute efter!

Den alternativa lösningen är att köra en kundanslutning per VLAN till en router så trafiken hamnar ut i L3. Precis det vi i flera repriser varit inne på.

Läs!
(Här används ordet provisioning i sin rätta betydelse, "installera, sätta upp" )

The most common scenario for a private VLAN is a residential network where customers connect to a switch provisioned by the ISP and the ISP wants to provision only one subnet but the customers should not be able to reach each other at layer 2.


The reason to disallow layer two intercommunication is for security, to prevent someone from interfering or eavesdropping on another customer's traffic. Another scenario could be a hosting environment where servers are connected to a switch and a common VLAN is used instead of provisioning one VLAN for every new customer.



http://ciscorouterswitch.over-blog.com/article-wha t-are-private-vlans-109136960.html


Läs pånytt!

"...instead of provisioning one VLAN for every new customer."

Nisse
Medlem
# Skrivet: 27 Nov 2012 09:09
Svara 


Ett problem med DHCP är just trafiken inom lokalnätet. Det är besvärligare för skolelev 1 att hitta skolelev 2 - om man inte börjar ha egen DDNS. Med fasta IP-adresser är det lätt också via router. Om de vill spela gemensamt så har det betydelse. Vi har sådan trafik.

Man kan också låsa DHCP vid MAC men det leder till mera administrativt jobb (då killarna byter burkar) så jag har spolat det. En fast adress ger man ut en gång och så är det klart med det.

Johanh
Medlem
# Skrivet: 27 Nov 2012 11:22
Svara 


B I N G O !

OK, om du tror att detta är lösningen. Det som jag varit oroad för är routingen, om det alls går att rutta trafik från hushåll A till hushåll B i detta scenario (där båda är kopplade på Private VLAN i Switch 1). Men om jag nu förstår det rätt, så gäller det bara att ha routingen rätt i byaroutern. Trafiken kan alltså gå från hushåll A --> Switch 1 --> Byarouter --> Switch 1 --> hushåll B. Det är väl i.a.f. inte så stora trafikmängder man belastar routern med.

Vill man sätta någon i samma broadcast area, så kan man sätta dem i ett Community VLAN.

Guje
Medlem
# Skrivet: 27 Nov 2012 11:28
Svara 


Loggningen blir också enkalre utan DHCP.

En lista på vem som har vilken IP räcker.

Med Private VLAN egenskapen i en switch behöver man inte några egna arrangemang för att isolera grannarna.

Mycket enkelt att sätta upp en router och några switchar för att få det att funka. That's it. Ingen DHCP eller logfunktion. (Som för all del kan vara bra att ändå ha)

Guje
Medlem
# Skrivet: 27 Nov 2012 11:41
Svara 


Johanh. Jo, jag tror att detta är lösningen. Ruttningen i egna nätet inget problem. Trafiken mellan hushållen är inte heller så stor. Det mesta är väl ändå utrikestrafik.

Skall dubbelkolla ännu att det är såhär.

Nisse
Medlem
# Skrivet: 27 Nov 2012 11:42
Svara 


Jo, en liten mängd DHCP-adresser är användbara. Det är ju inget som hindrar att man har både fasta adresser och dynamiska ...

Johanh
Medlem
# Skrivet: 27 Nov 2012 12:28
Svara 


Ruttningen i egna nätet inget problem

Stopp och belägg! Trots att hushållen ligger i Private VLAN, så ligger de fortfarande i samma subnet. Det finns ingen routing som gör att trafiken kan gå mellan hushållen då, just på grund av att de ligger i samma subnet. Det är därför jag fått rapporter om folk i andra fibernät (där de antagligen använder Private VLAN) om att det inte går att trafikera alls mellan hushållen.

Obönhörligen, INGEN trafik kan gå emellan hushållen med Private VLAN!

Johanh
Medlem
# Skrivet: 27 Nov 2012 13:04 - Editerad av: Johanh
Svara 


Det är _möjligt_ att det kan gå att rutta mellan Private VLAN med proxy ARP av något slag. Men detta börjar vara på sådan nivå att man måste antagligen prata med någon Cisco-expert. Man förstör också det enkla IP-nätet med massor av saker som är allt annat än enkla och gränsar till "felutnyttjande" av IP-nätet.

Kolla här hur invecklat det kan vara att konfigurera ett enkelt Private VLAN:
http://blog.ine.com/2008/07/14/private-vlans-revis ited/

Då ska du ha konfat detta för varje hushåll och varje switch (kan förstås kopieras till andra switchar). Sen gäller det att hålla reda på IP-adresser och VLAN-adresser så man inte går och korrumperar ARP-cache i någon switch.

Sammantaget tror jag detta genererar mycket jobb för nätadministratören.

Nej, hellre ett gemensamt VLAN för Internet. ACL ifall det är nödvändigt. Instruera människor att skydda sig med NAT-router hemma (istället för att med alla medel "censurera" trafiken). Bättre att utbilda människor att nätet är farligt och man måste skydda sig än att hela tiden sitta barnvakt. Använd VPN för sådant som ska hemlighållas. Detta är Internet! Där ser man andras trafik. Det är inte värre än att åka ut på landsvägen. Borde vi kanske dra skilda vägar från varje hushåll också ut till stora landsvägen?

Edit: Här hittade jag ett exempel på Inter-VLAN routing för Private VLAN. Verkar inte vara något att rekommendera: http://www.firstdigest.com/2011/09/intervlan-routi ng-using-private-vlans/

Nisse
Medlem
# Skrivet: 27 Nov 2012 13:52
Svara 


Det är en sak vad som KAN hända och sedan en annan sak vad som verkligen HÄNDER. Enligt Guje har vi ett fruktansvärt farligt nät men några större problem har jag inte sett under de nio år vi kört så här.

Det som däremot VERKLIGEN är besvärligt är att hitta infekterade maskiner SNABBT ! Innan de stänger av hela vårt nät. Jag tycker man skall spara krutet till sådant i stället.

Prioriteringarna är viktiga. Så tycker jag också att idioterna till politiker kunde jaga de verkliga skurkarna på nätet i stället för att antasta nio-åringar för att de kollar in en ny skiva.

(Jag tror vi har diskuterat de här prioriteringarna med Guje redan tidigare - men det är inte alls illa att ta upp dem på nytt)

Guje
Medlem
# Skrivet: 27 Nov 2012 21:46 - Editerad av: Guje
Svara 


Jo, vi har våra prioriteringar.


I det nät JAG ansvarar för prioriterar jag att hushållena och byanätet ligger i olika layer 2. Punkt. Full respekt för andra prioriteringar. Punkt.

Jag fixar L2 isoleringen med ett private VLAN eller inlåsta routrar eller Jesustejp från Jamaica. Det kvittar hur jag gör isoleringen men tant Gunhilds sonson kommer varken åt Faffes, bybutikens eller byarouterns MAC-adresser. Eller rättare sagt - inte han - utan kinesen som smet in medan dörren stod öppen. MAC adresserna ser de inte, rör de inte!

Smått avundsjuk på Nisses bybor som har haft Det-Stora-Lugnet i 10 år. Kan du inte flytta hit med hela gänget? Du skulle få fler bybor härifrån i utbyte!

Johanh, du som tänkte berätta om farorna på nätet. Om vi nu struntar i L2 isoleringen, hur tycker du jag skall lägga orden när nån har läst på nätet att bankernas HTTPS-kryptering kan öppnas i klartext om grannen ligger i samma LAN eller delar samma WLAN? Trots att han har en brandmur.

Det stod dessutom i tidningen att det problemet inte existerar om det är en ansvarskännande teleoperatör som sköter uppkopplingen till Internet.

Nu har ju ingen hört att sånt här ens finns, än mindre att det skulle ha skett.


Skall jag säga: a) "Hördu, bry dig inte, Internet är fullt av faror."

eller skall jag säga: b) "Lugnt! Vi, har det fixat som alla andra ansvarskännande teleoperatörer"

eller skall jag säga: c) "Allt OK, lita på mig. Teleoperatörerna är de största skurkarna - egentligen"


Du vet, vi har just fått flera hundra tusen € inbetalningar på kontot av våra medlemmar, och förväntningarna är ganska stora på hur vi nybörjare kommer att klara av t.ex. säkerhetsfrågorna. Inte för att dom så mycket bryr sig, men man har väl hört ett och annat kråkkrax på stan.

Nisse
Medlem
# Skrivet: 27 Nov 2012 22:34
Svara 


Fixa nu bara ett så säkert nät du kan och berätta sedan för oss hur det fungerar. Det är en bra sak att för en gångs skul vara FÖRE skurkarna ...

Guje
Medlem
# Skrivet: 28 Nov 2012 07:14 - Editerad av: Guje
Svara 


Nåjo, få nu se hur det lyckas. Tekniken är ju inte allt fast vi propellerhattar helst hade sett världen genom en mutter som måste vara gängad åt rätt håll.

Mitt främsta syfte med förra inlägget är att visa på andra konstruktioner i vårt byanät än de rent tekniska. Konstruktioner som, om de inte håller, får allt att rasa.

En sådan konstruktion är trovärdigheten. Tror folk så mycket på byns egen profet att de ger henne en chans? Och inte bara det utan hon behöver flera hundra tusen pengar att "göra av med" också. Trots kråkkraxet inne i stad och borg.

Johanh
Medlem
# Skrivet: 28 Nov 2012 16:23 - Editerad av: Johanh
Svara 


Oj vad man lär sig här. Det verkar vara Local Proxy Arp som behövs för att kunna rutta layer 3 trafik mellan Private VLANs. Se t.ex. https://supportforums.cisco.com/docs/DOC-1267 eller http://www.itcertnotes.com/2011/04/local-proxy-arp .html

Finns beskrivet i RFC 3069.

Enligt en källa stöds detta sedan Linux 2.6.34 och kan sättas på med /proc/sys/net/ipv4/conf/*/proxy_arp_pvlan

Då kunde man kanske tänka sig detta.

Ordentliga switchar verkar annars också ha en funktion "Port Isolation" som fungerar ungefär som Private VLAN, men är enklare (och snabbare) att konfigurera.


Från linux kernel dokumentation:

"proxy_arp_pvlan - BOOLEAN
Private VLAN proxy arp.
Basically allow proxy arp replies back to the same interface
(from which the ARP request/solicitation was received).

This is done to support (ethernet) switch features, like RFC
3069, where the individual ports are NOT allowed to
communicate with each other, but they are allowed to talk to
the upstream router. As described in RFC 3069, it is possible
to allow these hosts to communicate through the upstream
router by proxy_arp'ing. Don't need to be used together with
proxy_arp.

This technology is known by different names:
In RFC 3069 it is called VLAN Aggregation.
Cisco and Allied Telesyn call it Private VLAN.
Hewlett-Packard call it Source-Port filtering or port-isolation.
Ericsson call it MAC-Forced Forwarding (RFC Draft)."

Nisse
Medlem
# Skrivet: 28 Nov 2012 18:19
Svara 


I de växlar vi använder kan man konfigurera varje port skilt för sej:

· PVLAN Port Type ­ Displays private VLAN port types.
- Normal ­ The port is not configured in a private VLAN.
- Host ­ The port is a community port and can only communicate with other ports
in its own community VLAN, and with the designated promiscuous port(s). Or the
port is an isolated port that can only communicate with the lone promiscuous
port within its own isolated VLAN.
- Promiscuous ­ A promiscuous port can communicate with all the interfaces
within a private VLAN.
· Primary VLAN ­ Conveys traffic between promiscuous ports, and between
promiscuous ports and community ports within the associated secondary VLANs.
· Community VLAN ­ A community VLAN conveys traffic between community
ports, and from community ports to their designated promiscuous ports.

Så Guje kan ha sin port som privat medan de som vill spela med varandra kan ha sina portar i ett community VLAN om de vill - eller i inget VLAN alls.

Bredde
Admin
# Skrivet: 28 Nov 2012 18:26 - Editerad av: Bredde
Svara 


Johanh: "Ordentliga switchar verkar annars också ha en funktion "Port Isolation" som fungerar ungefär som Private VLAN, men är enklare (och snabbare) att konfigurera."

Jo, när jag skummade över PVLAN så dök begrepp typ "port isolation" upp ibland. Egentligen är det den finessen Guje borde kika på tror jag. Proxy-arpen hoppade jag dock över tills vidare.

Dessutom verkar det specielt var Cisco switchar (surprise-surprice) som är knepiga att konfa. Kommer inte riktigt ihåg var jag läste det men uppgiften blev liggande i bakhuvudet.


Tänk om man helt enkelt skulle skaffa sig en sån där finessswitch så får man leka med den lite "å sii".

Guje
Medlem
# Skrivet: 28 Nov 2012 18:40
Svara 


En av de miljoner white paper länkarna jag lägger undan

http://www.h3c.com/portal/Products___Solutions/Tec hnology/LAN/Technology_White_Paper/200806/608752_5 7_0.htm

Guje
Medlem
# Skrivet: 28 Nov 2012 20:56 - Editerad av: Guje
Svara 


Hmmm... där är nog en siffra borta i min BINGO rad tror jag....

Det här VLAN virrvarret förstår jag bara inte! ARP-proxyn!???

Vi behöver en switch+router-liknande grej som bara skall placera hushållen i olika L2, inget mer. Kan inte vara så svårt. En router gör det. En switch gör det inte. Men vi har hushålllen kopplade till en switch. That's the problem.

Inte behöver vi fortsätta vår VLAN upp mot nån router när isoleringen är fullbordad! Men det är ju det som Private VLAN gör!

Gissa vad jag tror? Vi håller på att fixa finsk open access med triple-play genom byanätet!!!

Fy tusan... skall vi inte slå i backen här!

-----------

Ska man nu måsta söka en rulla Jesustejp från Jamaica innan det börjar funka!!!

Vad gör en bridge? Är det en L3-pinurk? Vad är en gateway?

Nisse
Medlem
# Skrivet: 28 Nov 2012 21:15
Svara 


Nu är ju en "switch" många gånger inte en ren switch utan innehåller en mängd funktioner. Och nivåerna är milt sagt oklara och går in i varandra. Därför använder jag också hellre ordet "växel" för de burkar vi har. De har funktioner som strängt taget går från L2 till L4 men jag struntar oftast i nivåerna. ISO-modellen har sina svagheter.

Man måste tyvärr kolla in vilka funktioner burken har och LUSLÄSA vad de gör för namnet säjer väldigt litet. Två burkar med samma namn på funktionen kan fungera väldigt olika.

Guje
Medlem
# Skrivet: 28 Nov 2012 21:27 - Editerad av: Guje
Svara 


Precis! Jag tror ordet är växel.


Jag har varit inne på "layer 3 switch" för länge sedan men hittade inte då riktigt det jag sökte.
Medan du skrev ditt inlägg läste jag följande:

A Layer 3 Switch Is a Router
Vendors and the trade press alike have tried to apply the term "Layer 3 switch" to various products of the day, succeeding only in confusing IT decision makers. This paper aims to remove that confusion. A Layer 3 switch does everything to a packet that a traditional router does:
•Determines forwarding path based on Layer 3 information
•Validates the integrity of the Layer 3 header via checksum
•Verifies packet expiration and updates accordingly
•Processes and responds to any option information
•Updates forwarding statistics in the Management Information Base (MIB)
•Applies security controls if required


http://www.pulsewan.com/data101/layer3_switching_b asics.htm


Låter lovande. Skall studeras ingående!
Flyttar fram Jamaica-resan...

Johanh
Medlem
# Skrivet: 28 Nov 2012 22:30
Svara 


T.ex. med Edge-Core ES4624 (som inte verkar säljas mera) kan man konfigurera både Private VLAN och Port Isolation (det är olika saker). Denna switch verkar också ha funktionen "ip proxy-arp" i layer-3 funktionaliteten. Dvs man klarar det utan en skild router. Här hittade jag manualen http://www.gamaxnet.hu/?tPath=/view/&documentview_ type=save&documentview_site=1298&documentview_id=5 94


Det här VLAN virrvarret förstår jag bara inte! ARP-proxyn!???


För att kunna nå en adress i samma subnet måste man kunna göra en ARP-request. Det kan man inte om man ligger i Private VLAN. En ARP-proxy (i en router) säger: "fråga mig, jag vet var alla adresser ligger"! Men det betyder också att all trafik ruttas via routern (ARP-proxyn). Nu verkar det ju som att avancerade switchar har den där funktionen inbyggd (exemplet ovan ES4624 "ip proxy-arp").


Inte behöver vi fortsätta vår VLAN upp mot nån router när isoleringen är fullbordad! Men det är ju det som Private VLAN gör!

Gissa vad jag tror? Vi håller på att fixa finsk open access med triple-play genom byanätet!!!


Jo, det stod klart från början med dina krav på skilda layer 2 Men Private VLAN "hålls" nog på switch-porten mot hushållet. Det som det gör är att neka all ARP till de andra hushållen. Där kommer en ARP-proxy in.

Det kan gå att fixa med en all-in-one lösning i en sån där exempel-switch ovan (ES4624), där man kan både göra Port Isolation och dessutom "ip proxy-arp". Tadaa, och trafiken routas mellan switchportarna. Du borde t.o.m. kunna avtagga VLAN:et "uppåt" mot byaroutern, om du nödvändigtvis måste. Men det låter skumt. Kör Internet på samma VLAN i hela byanätet (ända till byaroutern) och Port Isolation till hushållen. Låter rimligtvis som om det borde fungera. Kolla kapitel 4 i manualen + kapitel 13.5.

Johanh
Medlem
# Skrivet: 28 Nov 2012 23:09 - Editerad av: Johanh
Svara 


Den nyare ECS4610-24F som finns att få verkar ha ungefär samma egenskaper, förutom att den inte har Port Isolation. Istället har den traffic-segmentation (och så har den tappat bort Isolated Private VLAN). Torde fylla samma funktion.

Guje
Medlem
# Skrivet: 29 Nov 2012 00:04 - Editerad av: Guje
Svara 


Johan: Kör Internet på samma VLAN i hela byanätet (ända till byaroutern) och Port Isolation till hushållen

Precis. Det var det jag trodde skulle ha varit grejen med Private VLAN. Men det är ju ett jäkla virrvarr med att försöka få hela vlan-konceptet att bli ett open access provisoning för tjänsteleverans. Det är ju då man behöver dra ett vlan från hushållet ut genom byaroutern. Såna behov har inte vi. Att trixa till en L2 isolering med PVLAN genom att inte gå ända ut genom byaroutern utan stanna inne i nätet är ju nog lite overkill.

Kan man inte bara lägga varje hus i eget vlan och avtagga genast i första växeln. Varför använda vlan över huvud taget om näxeln klarar L2->L3?

Du gjorde ju nog ditt bästa att förklara men jag förstod ju aldrig den fula baktanken. Trodde vi snackade ENBART L2 isolering.

Nej, nog ser jag vitsen med en arp proxy i sammanhanget PVLAN. Det jag inte förstår är varför vi befinner oss mitt i den smeten. Man borde ju inte behöva vlan över huvud taget för att klara L2 isolering. En gammal hederlig router gör det ju.

Läste nyss 3coms text om layer 3 switchar. Läs ni andra också!
http://www.pulsewan.com/data101/layer3_switching_b asics.htm

Noterade speciellt att bokstäverna VLAN saknades helt och hållet. Så även tripleplay. Däremot snackade dom om konvergens mellan telefon, video och Data Och hur man fixar det över layer 3. I stället för vlan hittade jag bokstavskombinationen VPN.

Inget virrvarr alltså utan ren och skär KISS.

Johanh
Medlem
# Skrivet: 29 Nov 2012 10:46
Svara 


Kan man inte bara lägga varje hus i eget vlan och avtagga genast i första växeln. Varför använda vlan över huvud taget om näxeln klarar L2->L3?

Det låter nog konstigt att göra på det viset. Då man sätter upp ett nätverk idag, fastän man bara kör en sorts trafik i nätet, dvs för Internet, så konfar man alla switchar i nätet att köra på ett och samma VLAN. Varför göra det invecklat och avtagga trafiken i varje switch, då du kan göra det på ett ställe, i en huvud-switch. Onödigt och kan ställa till problem. Enda orsaken kan vara att man har en apparat någonstan i nätet som inte förstår sig på taggad trafik. Kom ihåg att man kan bara köra ETT otaggat VLAN i samma lina.

Dessutom i dagens switchar, så kan du inte köra UTAN VLAN. By default, använder de VLAN 1 (det går inte att slå av!) och detta är samtidigt Management Interface på switcharna. Det är en säkerhetsrisk att inte ställa in ett annat VLAN att köra trafiken på! Användarna i nätet kan komma in på switcharna och ställa om dem.

Guje
Medlem
# Skrivet: 29 Nov 2012 21:00 - Editerad av: Guje
Svara 


Ok, alla kör med vlan. Utom då Nisse, ... Och 3com år 1999.

Man kan inte tänka sig olika adressrymder som hushållen inte kommer åt för att administrera burkarna?

Nisse
Medlem
# Skrivet: 29 Nov 2012 21:28
Svara 


Alltså, jag kör med alla i samma VLAN.

Det är nu inte SÅ farligt med växlarna som ju är skyddade av lösenord. Bara man använder litet mera fantasifulla lösenord för admin än "admin" så är det knappast ett stort problem.

Guje
Medlem
# Skrivet: 29 Nov 2012 21:44 - Editerad av: Guje
Svara 


Ok. Ville nu bara kolla vart den gamla hederliga l3 styrningen tagit vägen.

Varför gick man över till vlan? Blev L3 ruttning nån slag s dino som dog ut?


Om alla kör vlan även längre in i uplinkarna så är ju iNternet ett enda stort virrvarr av vlan på vlan på vlan....

Johanh
Medlem
# Skrivet: 30 Nov 2012 11:10
Svara 


Tror jag har en lösning åt dej, Guje.

Om man vill göra detta på bara ett VLAN (eller "utan" VLAN). Notera att endel switchar har en "Port Isolation" eller "Port Security" funktion som är oberoende av VLAN. Då separeras portarna endast på själva switchen (layer 2). Det gäller alltså bara lokalt på switchen, dvs med flera switchar separeras inte broadcast domänen från hushåll som är anslutna till olika switchar. Endast de hushåll som är anslutna till portarna på samma switch är separerade. För att separera hushåll (layer 2) på olika switchar kan man ha olika switchar på olika subnet.

Guje
Medlem
# Skrivet: 30 Nov 2012 11:53 - Editerad av: Guje
Svara 


Tack Johanh, "den som söker han letar" sägs det.


I "Hushållsswitcharna", om vi kallar dem så, skulle vi alltid ha "Port isolation/security" påkopplad för sådana portar som går ut mot hushållen. Då ligger ju hushållen alltid frånskilda på L2.

Eller...?


Med lite bättre tid skall jag analysera finessen.


Ett subnät är en L3 konstruktion. Tilldelar man switch...nej växelporten en ip så ligger ju det nät som fortsätter ut ur porten i en egen broadcasting area. Kör hushållet med en brygga (en L2 konstruktion) i sin router så får hushållet den IP byanätet gett ut, isolerad i egen L2.

Väl...?

Johanh
Medlem
# Skrivet: 30 Nov 2012 12:42
Svara 


.I "Hushållsswitcharna", om vi kallar dem så, skulle vi alltid ha "Port isolation/security" påkopplad för sådana portar som går ut mot hushållen. Då ligger ju hushållen alltid frånskilda på L2.

Jo, det borde fungera så. Port Isolation gäller alltså bara den lokala switchen. Trots att hushållet är isolerat från de andra hushållen som ligger i samma switch, är det inte isolerat från de hushåll som ligger i andra switchar i samma nät.

Private VLAN däremot är så fiffigt att det isolerar trafiken från hushållet också från alla andra switchar man har i nätet (i samma VLAN).

Guje
Medlem
# Skrivet: 2 Dec 2012 12:44 - Editerad av: Guje
Svara 


Att isolera hushållen på L2 verkar inte vara alldeles trivialt.

I praktiken ser Port isolation/security vara ganska begränsad och Private VLAN rätt komplicerad.

Ok, Port isolation funkar om switcharna ligger i egna subnät, vilket man säkert kan åstadkomma. Ett av problemen kommer i så fall vara att definiera lämpliga subnät i en miljö där globala IP:n är en bristvara.


VLAN är ett i övrigt bra administrativt verktyg där man kan koppla ihop anslutningar som inte liggegr nära varandra (t.ex. butiksfastigheten och dess ägare som bor i en annan fastighet. Ihopslagning av olika hushåll görs som bekant även med VPN)

L2 isoleringen kan bli en stor kostnadsfråga ifall det kräver mycket tillägsinsatser av både personal och elektronik.

Att bara skippa den är inget alternativ för oss. L2 isolering skall med, men till vilken kostnad?

Billigaste lösningen verkar vara ett hushåll per VLAN. Hushållswitchen reläar DHCP till byanäters DHCP-server.
Alternativt en helt L3-baserad lösning där switcportarna konfigureras som en router så att L2 nätet bryts.


Private VLAN är ett alternativt men då jag tror att den blir dyr att genomföra.


Vad händer alltså när vi också tittar på kostnaderna och inte bara på tekniken?

Guje
Medlem
# Skrivet: 4 Dec 2012 21:57 - Editerad av: Guje
Svara 


Jag har sagt det förut och säger det igen. Byanät är INTE triviala. Tag nu denhär "enkla" L2 isoleringen. Den är på inget sätt trivial. Lägg därtill omvärldsens krav på "standard" P2P, leverans av IP-tjänster, periodvisa urkopplingar/påkopplingar av anslutningarna, nya protokoll, ny hårdvara som inte KAN följa någon standard eftersom såna saknas, ekonomiska resurser, personalresurser, IPv6, för lite IP-adresser, To NAT or not to NAT.

Det gäller att hålla tungan rätt i mun för att inte hamna i ett träsk med allt dethär.

Kom ihåg att ISP-verksamheten genomgår en revolution iom. FTTH är nytt för alla - inte enbart för oss. Tidigare har en ISP bara fått rå om sig själv och sina egen tjänster, i huvudsak Internet, e-post och en websidor. Men det var då det! Nu bombar man byanäten med all världen krav för att "klara framtiden". Och alla tycks ha sina egna recept på hur vi "måste" göra det.

Finns två principer:

1. KISS

2. Håll huvet kallt

I annat fall betalar vi de andras kalas!


Här några länkar om hur andra resonerar

Ett hushåll per VLAN
http://serverfault.com/questions/143865/what-equip ment-do-real-isps-use

I Danmark liknande myndighetskrav som hos oss
http://k-net.dk/technicalsetup/


Analys av vad som händer på ISP-konfigurations fronten
http://www2.research.att.com/~ashaikh/papers/isp-c onfig-sigcomm11.pdf

Nisse
Medlem
# Skrivet: 4 Dec 2012 22:07
Svara 


En stor del kan och bör man strunta i. Det är gammal skåpmat från telefonteknikens tidevarv - rena reliker som snart försvinner. Det är ingen idé att göra en massa onödigt arbete och sätta ut en massa onödiga pengar.

Myndighetskrav är lika dumma som de gamla operatörernas krav - ofta är det samma sak då operatörerna lyckats lura beslutsfattarna. Det är mycket vanligt.

Det är en mycket föränderlig värld och ofta löses låtsasproblemen genom att man inte gör nånting alls. Se till att paketen kan flyttas till rätt adress - DET är viktigt.

Guje
Medlem
# Skrivet: 5 Dec 2012 08:47 - Editerad av: Guje
Svara 


Jga kan bra tänka mig kasta bort gammal skåpmat, men myndighteskraven är jag nog tvungen att följa - hur dumma de än är.
Att bli av med dumma myndighetskrav sköts på annat håll än i växelskåpet.

I stort sett handlar det om två grejer

1) Isoleringen av hushåll på L2 nivå och 2) loggningen


1) L2 isoleringen är helt motiverad.

På layer 2 styr man nätet med Media Access Control adresser sk. MAC-adresser och inte med IP-adresser. Trafiken går utanför alla nätkort vilket betyder att den kan avlyssnas ifall man kommer åt MAC-adresserna.

I bakgrunden har vi ARP-protokollet som gör det möjligt att koppla IP-adresser och MAC-adresser lite hur som helst. T.ex. så att trafiken inte går raka spåret från A till B utan tar en omväg A - Mr X - B.
ARP-protokollet kom till 1982, finns i alla nätkort och saknar allt vad säkerhetskontroller heter. Trafiken vi talar om är den som går utanför alla brandmurar.

Ett konstruktionsfel i HTTP-krypteringen gör att tex. en banksession kan öppnas i klartext.

Tro inte heller att övergången till IPv6 fixar saken:

Citerar en av dem som gör spoof-softa:
"when using for IPv6, arpspoof provides its own function to get the target MAC address."

Jag hittade 990 000 Google träffar på "arp spoofing tool".

Vi vet att byborna inte sysslar med Man-In-The-Midddle men vi vet också att en hel industri där ute avlönar folk att ta sig in i andras nät och datorer - på sätt eller annat. Eller så vill dom bara stoppa trafiken för någon (DoS).

ARP-protokollet finns också inbyggt i de trådlösa WLAN dosorna, så det är ingen konst att ta sig in den vägen också.

Enda medicinen är att hålla hushållen i skilda L2. Går det tokigt så är det bara ett hushåll som faller i händerna på skurkarna och inte hela byanätet.

Det är bara i byanätet ett sånt skydd kan byggas in. Hushållen kan inte göra det eftersom de bara rår på sina egna burkar och skyddet måste fixas i byanätet. Därför har också myndighterna satt krav på nätoperatören att sköta isolerering eftersom hushållen inte själva kan göra det.

Detta är ett rimligt myndighetskrav på nätoperatörer - tycker åtminstone jag.


2) Loggningen

Loggningen kan man säkert vara av olika åsikt om. Å andra sidan går loggninen bara ut på att veta vem som körde förbi punkt A vid ett visst klockslag. Lite som att kolla registernumret på en bil när den körde förbi en övervakningskamera. Vi vet eventuellt vem som äger bilen, men vi vet inte vem som körde eller vad som fanns i lasten.

Jag antar att man vid en viss tidpunkt skall kunna uppge vilken anslutnig som tillhört en viss IP. Har man fasta globala IP:n är det ju enkelt. Då räcker en vanlig papperslapp, dvs. en lista på hushåll och IP:n. En lista som garanterat finns hos nätoperatören, bara att skriva ut.

Sysslar man med dynamsika IP:n via DHCP kan säkert lggen från DHCP-servern användas. Använder man NAT skall man logga inre lokal IP och yttre IP+Port. Den loggninge kan bli stor eftersom man i så fall måste logga varje datapaket. Kostar lite mer, men är inte omöjlig.

Den fula baktanken bakom loggningen är att få tag på skurkar. Men, som vi nyss läste i tidningarna gjordes en 9-åring till skurk. Vad som egentligen hände vet jag inte men 9-åringen "släpptes fri" och polisen avbröt räden mot flickan. Kanske pappan betalade för den illegla nerladdningen sen också. Men det är en helt annan sak och har att göra med piratkopiering på nätet och inte så mycket om vi skall logga eller ej. Piraterna behöver ju inte alltid knycka musikvideon.

Har vi en loggningsplikt så har vi - orkar man med hunden så orkar man med svansen också.

Guje
Medlem
# Skrivet: 6 Dec 2012 14:53 - Editerad av: Guje
Svara 


Ficora: "Det finns ingen enhetlig lagstiftning för informationssäkerhet i Finland. Bestämmelser om ordnandet av informationssäkerheten ingår i flera lagar och författningar."



Surfade på Ficoras sidor och hittade en bra länksamling om lagparagraferna

http://www.ficora.fi/sv/index/saadokset/lait/svt.h tml


Det är denhär lagen vi i huvudsak skall hålla oss till:

http://www.finlex.fi/sv/laki/ajantasa/2004/2004051 6


Vem skall följa lagen?

Den som sysslar med televerksamhet.
Undantaget privata nät som inte är anslutna till Internet.
I privata nät gäller dock sekretess- och tystnadspliktsreglerna.

Vem är anmälningsskyldig för televerksamhet?

"Innan allmän televerksamhet inleds ska, enligt 13 § i kommunikationsmarknadslagen (393/2003), en skriftlig anmälan göras till Kommunikationsverket (televerksamhetsanmälan). En televerksamhetsanmälan har ingen självständig betydelse som ger upphov till rättigheter eller skyldigheter, utan anmälan är endast avsedd att vara ett hjälpmedel för myndighetens tillsyn."

Undantaget temporär och ringa verksamhet.

Ficora:
Allmän televerksamhet ska anses vara av ringa betydelse om teleföretagets omsättning av televerksamhet i Finland understiger 300 000 euro per år.
...
Ett nyetablerat företag måste själv uppskatta om verksamheten kommer att överskrida de gränser som i lagen eller förordningen sättas för televerksamhet av ringa betydelse.


Inga avgifter för dem som gör en anmälan om verksamheten är ringa. Optowest har ringa verksamhet men vi gjorde en telverksamhetsanmälan trots det.

http://www.ficora.fi/attachments/suomiry/5mkVovR2H /Ruotsi_Ohje_teletoimintailmoituksen_antamisesta_2 3_10_2009.pdf


Frågan om isolering?

Ficora:

"När teleföretaget tillhandahåller en kundanslutning där teleföretaget delar
anslutningens kapacitet bland abonnenterna, ska teleföretaget skilja
abonnenternas trafik från varandra så att abonnenterna inte obehörigt kan
följa med varandras trafik. Teleföretaget ska säkerställa att det inte är möjligt
att obehörigen omdirigera en annan abonnents trafik mellan anslutningarna."

http://www.ficora.fi/attachments/ruotsiav/5B36zJiZ G/Kommunikationsverket13A2008M.pdf


Klara bud åt den som sysslar med televerksamhet. Skyldig att isolera!



Loggningsfrågan

eller som det heter i dataskyddslagen 14 a § (23.5.2008/343)
"Skyldighet att lagra uppgifter för myndigheternas behov"

Trots vad som i detta kapitel bestäms om behandling av identifieringsuppgifter, ska ett tjänsteföretag som är skyldigt att göra televerksamhetsanmälan, på de villkor som anges nedan, se till att de uppgifter som nämns i artikel 5 i Europaparlamentets och rådets direktiv 2006/24/EG om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG lagras i tolv månader från det datum kommunikationen ägde rum. Uppgifterna får bara användas för att undersöka, utreda och lagföra brott som avses i 10 kap. 6 § 2 mom. i tvångsmedelslagen (806/2011). (22.7.2011/855)

...

14 b§

Ett tjänsteföretag som är skyldigt att lagra uppgifter ska innan lagringsskyldigheten fullgörs förhandla om genomförandet av lagringen med inrikesministeriet i syfte att säkerställa att uppgifterna lagras enligt myndigheternas behov.



Alltså: om man är skyldig att göra televerksamhetsanmälan så skall man logga och kolla med inrikesministeriet att allt kommer med.

Betyder att den loggar som har över 300 000€ i omsättning. Betyder att vi små inte behöver logga.

MEN!

"Ett tjänsteföretag som är skyldigt att lagra uppgifter ska vid behov sörja för fullgörandet av skyldigheten i samråd med ett nätföretag, så att även de tillgängliga uppgifter enligt 14 a § som nätföretaget behandlar för tillhandahållande av tjänsteföretagets tjänster lagras."

Så att. Ett litet nätföretag kan antgligen bli skyldig att logga om där finns en stor tjänsteleverantör i nätet. Men för vilka tjänster i så fall. Hålller inte tjänsteföretaget själva koll på sina kunder?
Ludit!



Och det intressanta: Vem betalar? Jo staten enligt 98§ i kommunikationslagen!

"...Teleföretagen har rätt att av statens medel få ersättning för omedelbara kostnader för investeringar i, användning och underhåll av system, utrustning och programvara som anskaffats enbart för de behov som myndigheten uppgett. Teleföretagen har rätt att av statens medel få ersättning även för omedelbara kostnader som orsakas av en åtgärd som myndigheten förordnat. Kommunikationsverket bestämmer om ersättning för kostnaderna.

Teleföretagen får inte för sin kommersiella verksamhet använda system, utrustning eller programvara som bekostats av myndigheten."



Så, ryktet om att vi små måste logga gäller antagligen inte. Bäst är ändå att fråga inrikesministeriet.

Guje
Medlem
# Skrivet: 6 Dec 2012 15:58 - Editerad av: Guje
Svara 


Dags för ett litet sammandrag.

Jag tänker nämnligen föreslå följande upplägg för vårt andelslag:


1. För hushållen bygger vi ett best effort nät utan QoS och utan VLAN.

2. L2-Isoleringen av hushåll sköts mha. L3 switch (=växel, =koncentrator =fiffig burk) genast på gränssnittet ut mot kunden

3. Hushållen kan välja följande anslutnigsklasser:

a) En skyddad NAT-anslutning med de flesta portar stängda
b) En skyddad global IP med de flesta portar stängda
c) En oskyddad global IP med de flesta in/ut portar öppna (bl.a. SMTP låst utom till kända servrar)

4. Hushållen skall kunna vara i direktkontakt med varandra på L3.

5. Diverse nätadministrativa system tas i bruk efter behov (t.ex. VLAN)

7. En DHCP-server sätts upp i egen server som också kan ha andra funktioner

8. Att koppla privata nät görs med VPN, inte VLAN.

9. Tjänsteleverantöer kan plocka in sin tjänst i nätet men den levereras f.o.m. Layer 3 och uppåt, ingen QoS. Ingen VLAN.

10. Ingen myndighetsloggning, men om vi måste så får staten betala.

11. Normal uppföljning/loggning av nätfunktioner.

12. IPv6 finns med, men inte som ett första alternativ, om ens ett möjligt alternativ i början


Resonemanget stöder jag rätt mycket på vad som vi hittills snackat om och det som stod att läsa i
http://www2.research.att.com/~ashaikh/papers/isp-c onfig-sigcomm11.pdf

- De konstaterade att OM man säljer tjänster så kan det vara bra att satsa på teknik som tjänar tjänsteleverantörerna.
- De konstaterade att OM man tar in tjänsteleveranser så blir det problem som kan bli både dyra och extremt svåra att sköta.
- Speciellt knepigt var det att anpassa kundens utrustning att fungera ihop med en brokig skara tjänsteleverantörer.
- Om man inte passar sig går det galet! Om inte genast så senast då det är dags att konfigera om nätet för nya utmaningar.

Jag drar den slutsatsen att tjänsteförmedling skall vi inte satsa på därför att

a) Vi säljer inte tjänster och har inget behov av all världens udda sätt att leverera tjänster på
b) Oklart vem som betalar kalaset med VLAN och BGP, och vem som betalar att konfigurationen hålls vid liv
c) Skippar man allt onödigt kring tjänsteleveranserna så blir där bara ett enkelt nät kvar
d) Tjänsterna kan levereras som vanlig IP-tjänst (tex. Web). Vid behov direkt från en server i vårt eget nät.
e) Vi skall inte satsa på ny teknik som ingen ännu vet att får ett liv

Det liknar alltså väldigt mycket ett NisseNät, med några få tilläg.

Finns här nån vänlig själ som kunde agera djävulens advokat?

Nisse
Medlem
# Skrivet: 6 Dec 2012 16:46
Svara 


He-he, jag gillar namnet "fiffig burk", Det passar bättre än de andra namnen som bara täcker en del av funktionerna (som varierar från burk till burk).

Johanh
Medlem
# Skrivet: 6 Dec 2012 18:16
Svara 


Frågan om isolering?

Ficora:

"När teleföretaget tillhandahåller en kundanslutning där teleföretaget delar
anslutningens kapacitet bland abonnenterna, ska teleföretaget skilja
abonnenternas trafik från varandra så att abonnenterna inte obehörigt kan
följa med varandras trafik. Teleföretaget ska säkerställa att det inte är möjligt
att obehörigen omdirigera en annan abonnents trafik mellan anslutningarna."

http://www.ficora.fi/attachments/ruotsiav/5B36zJiZ G/Kommunikationsverket13A2008M.pdf


Klara bud åt den som sysslar med televerksamhet. Skyldig att isolera!


Guje, man ska vara försiktig med ordvalet. Jag är medveten om att du kan detta, men andra som läser det kan missförstå. Lagen pratar inte uttryckligen om att isolera, utan om att skilja trafiken SÅ ATT abonnenterna inte kan obehörigt följa eller omdirigera varandras trafik. Det vill säga, skilja trafiken på så sätt att obehörig avlyssning inte kan ske. Att en teknisk lösning är att isolera layer 2 mellan abonnenterna, är, just det, en teknisk lösning. Det finns de som isolerar all trafik (layer 3), vilket är ett dråpslag för öppna nät.

I övrigt är jag imponerad av ditt sammandrag.

Guje
Medlem
# Skrivet: 6 Dec 2012 19:54 - Editerad av: Guje
Svara 


Du har så rätt! Isolera är är en teknisk term i skallen på mig. "Layer 2 isolation" eller nåt i den stilen.
Vill minnas att du försökt få mig att fårstå risken för missförstånd redan tidigare. Skam den som ger sig! Kanske jag lär mig nån gång jag också.
Uttrycket borde vara "att skilja åt trafiken".

Att isolera hushållen från varandra låter ju nog lite väl dystert i ett öppet nät. Nä, så är det inte. Man skall skall bara inte kunna tjuvkoppla sig upp mot grannen. Och det är ju sunt.


Nå, vad tycker du om att skippa VLAN helt och hållet från abonnentsidan? Och ingen QoS! Kärnan i allt vad dagens nätdesign och TriplePlay står för!

Johanh
Medlem
# Skrivet: 6 Dec 2012 21:35
Svara 


Nå, vad tycker du om att skippa VLAN helt och hållet från abonnentsidan? Och ingen QoS!

Jag vågar inte uttala mig om QoS. I ett närliggande nät med 500+ abbonnenter använder man någon form av QoS. Måste nog få erfarenhet av detta först.

Ifråga om VLAN kommer vi nog att bygga vårt nät så att det går att använda vid behov. Men jag är osäker på hur mycket jobb det blir att släppa in tjänsteleverantörer på VLAN. Det är hursomhelst något som användaren måste betala. "Open access" gör det dyrare i slutändan för konsumenten.

Vi är lite i ett brytningsskede för OTT-tjänster. Vi kan ha lite svårt här eftersom vi har operatörer runt oss som gärna kommer in med tjänster i eget VLAN. Man borde ha kuraget att skippa "open access" (och kanske medverka till att tvinga operatörer att utveckla OTT-tjänster).

Guje
Medlem
# Skrivet: 6 Dec 2012 22:35 - Editerad av: Guje
Svara 


Vi har också leverantörer som gärna kommer in med tjänster över VLAN.

Men det blir ju en tjänsteleverantör per VLAN i så fall. Inte ett hushåll per VLAN som ligger i byanätets intresse.

Den dag man vill ändra på tjänstestrukturen är man låst till gammal VLAN-teknik. Har leverantörerna dessutom fått köpa garanterad bandbredd så är det svårt att gå tillbaks till best effort.
Jag menar, den dag du vill gå vidare med nya tjänster i nätet, vad säger du åt en gammal VLAN-kund som säljer sina tjänster via ditt nät: "Tack och adjö, vi släcker ner dina tjänster nu!"
Det gör man bara inte. Speciellt om han betalat VLAN-upplägget.

Nä, om man inte ger lillfingret åt fan så har man handen kvar.

Låt dem utveckla ordentliga säljtjänster i stället. Sen kan de ju erbjuda sina tjänster åt en större publik och inte bara åt ett lokalt byanät. På sikt är det WinWin att inte öppna för VLAN. Konkurrensen skarpar också kvaliteten. Dom som har tillräckligt bra tjänster på Internet kammar hem potten. Lokala VLAN-monopolister dör ut. Varför skulle man satsa på dem?

Guje
Medlem
# Skrivet: 6 Dec 2012 23:14 - Editerad av: Guje
Svara 


Johanh: "Open access" gör det dyrare i slutändan för konsumenten. "

Det beror på vems "open acces" vi talar om. Byanätets "open access" eller tjänsteförsäljarnas "open access" - den med epitetet "provision open access"

När vi i våra kretsar talar om open access så menar vi motsatsen till teleoperatörernas monopol.
När teleoperatörerna talar om "open access" är det närmast den kommersiella sidan som avses - den att alla skall kunna sälja sina tjänster på lika villkor.

"Alla" i det sammanhanget begränsas till alla dem som kan ta sig fram till byanätets VLAN-strukturer - och det är ju inte så värst många det.

Nisse
Medlem
# Skrivet: 7 Dec 2012 05:50
Svara 


Tyvärr så har de förstört uttrycket "open access" och jag använder det aldrig i något positivt sammanhang mera utan talar om (verkligt) öppna (och dumma) nät. Det är som uttrycket "bredband" som kan betydea 256 kbit/s. Det använder jag heller aldrig mera - än möjligen ironiskt. I stället talar jag om fibernät för där finns åtminstone potential.

Guje har rätt. Man måste se framåt så man inte hamnar i en återvändsgränd.

Guje
Medlem
# Skrivet: 11 Dec 2012 11:52
Svara 


braåhaa-länkar

Ficoras förordningar:
http://www.ficora.fi/sv/index/saadokset/maaraykset .html

Internetförordningen "Om internetförbindelsetjänsternas informationssäkerhet 13 B/2011"
förnyades 2011 (jag refererade till den gamla fr. 2008 här ovan)

http://www.ficora.fi/index/viestintavirasto/asiaka stiedotteet/verkotjaturvallisuus/2011/P.html

Nya saker bl.a.:

"Kuluttajaliittymään suuntautuvan SMTP-liikenteen estämiseeen liittyvät säädökset on poistettu kokonaan...

...Uutena velvoitteena on teleyritysten käsittelemien tietoturvaloukkaustapausten tilastointi...."


Guje
Medlem
# Skrivet: 11 Dec 2012 13:02
Svara 


Här är förordningen om hur man kopplar upp sig mot andra nät.

Det är ju en detalj som alla byanät måste ha koll på.
Å andra sidan har vårt KT varit väldigt tillmötesgående i den saken hela tiden.
Inget problem med transiten.

Om interoperabilitet av kommunikationsnät och kommunikationstjänster 28 H/2010 M
http://www.ficora.fi/attachments/ruotsiav/5uSL7CR8 M/M28H2010SV.pdf

Det är i allmänhet Motiveringarna som är intressanta. Där hittar man detaljerna.
http://www.ficora.fi/attachments/ruotsiav/5uSLDG2a x/M28_SV_MPS.pdf




PS.
Nu vet jag inte vad http-länkens ...5uSLDG2ax.... finns till för.
Om länken inte funkar så gå in via
http://www.ficora.fi/sv/index/saadokset/maaraykset .html
och sök fram respektive rapport

Guje
Medlem
# Skrivet: 11 Dec 2012 13:11 - Editerad av: Guje
Svara 


Vad tror ni om en sån här tilläggskonstruktion?

Ett hushåll kan välja en annan gateway som direkt går till en annan operatör.
Vårt byanät funkar i så fall som en transit till nån annan.

Samma månadskostnad som för andra IP-anslutningar.

Spelar det nån roll för byanätet om någon vill rutta sin trafik andra vägar än via vår egen transit?

Den andra operatören kan ju ha vilka godbitar som helst att bjuda ut. Öppet nät ... inte sant?


Då skulle det se ut såhär:

3. Hushållen kan välja följande anslutnigsklasser:

a) En skyddad NAT-anslutning med de flesta portar stängda
b) En skyddad global IP med de flesta portar stängda
c) En oskyddad global IP med de flesta in/ut portar öppna (bl.a. SMTP låst utom till kända servrar)

d) Egen gateway till annan operatör


Restriktionen är Inget VLAN, Ingen QoS, bara layer 3 och uppåt.

Nisse
Medlem
# Skrivet: 11 Dec 2012 15:49
Svara 


Vi har meddelat att alla får ansluta sej till vårt nät - också operatörer. Sedan får de avtala med abonnenten att denne använder deras Internetanslutning. Trafiken i vårt nät är ju gratis och folk betalar bara för anslutning till Internet (och så en underhållsavgift på ca. 5 euro/mån.). Men vi tillhandahåller ingen specialteknik utan vårt nät bara förmedlar paket. Det är upp till operatören att UTANFÖR nätet se till att deras paket når rätt destination. Vi har som sagt bara ett dumt nät.

Det går att köra VPN genom vårt nät förstås eller så kan man ha en burk som håller kontakt till operatören - eller vad de vill. Men vi sätter inte in något VLAN eller gör något annat heller. Kostnaderna får naturligtvis operatören stå för (som säkert för över dem på sina kunder).

Guje
Medlem
# Skrivet: 11 Dec 2012 16:21
Svara 


Precis vad jag också tänkte. Borde inte vara något problem.

Man kan ju tom. tänka sig att kunden behåller vår Internet, och ruttar bara viss trafik via nån annan, tex. e-posten eller nån övervakningskamera service.

Tar ni bort Internet månadskostnaden om kunden tar nån annan operatör?

Nisse
Medlem
# Skrivet: 11 Dec 2012 20:57
Svara 


Vi tar förstås inte betalt av nån som inte använder vår Internetanslutning. Det är ju den som kostar. Men då stänger vi av den abonnenten från vårt Internet. Det är förstås helt möjligt att ha en router med flera WAN-portar och köra med flera Internetanslutningar.

Guje
Medlem
# Skrivet: 12 Dec 2012 21:52 - Editerad av: Guje
Svara 


Vi resonerar lite som så att Internet är en del av nätfunktionen, typ routerkonfigurationer och nätövervakning, kanske någon inbyggd möjlighet till VLAN eller VPN-tunnel? Dom sakerna kostar också men inte sänker vi måndaskostanderna trots att nåt hushåll låter bli att använda dem (eller aldrig använder). Det kan lätt leda till att folk börjar säga att de inte alls använder Internet(har t.ex. bara kabel-TV) och därför skall de inte heller betala Internet.

Det är en tvåpipig grej tror jag. Hur som helst skall Internet ingå i nätet som standard.

En sak som vi aldrig filosoferat runt här i forum är att egentligen borde det finnas krav på att minsta hastighet som förmedlas till Internet.

Annars löper ju en del medlemmar risken av att inte kunna utnyttja alla e-tjänster vilket är dåligt med tanke på nationalekonomin. Vi har byggt ett nät som skall ge snabba förbindelser och som t.ex. HDTV-leverantörerna skall kunna dra nytta av. Även kommunens hälsovård skall kunna räkna med att deras e-tjänster funkar perfekt. Men det gör de ju inte om nån säljer alltför långsamma linjer till en billig peng i vårt nät. Då snålar ju folk bort den stora nyttan av fibernätetet och så blir dom utanför e-tjänsterna.

Antingen kör man best effort eller så kör man QoS. Inte kan man väl ha båda två?

Nisse
Medlem
# Skrivet: 12 Dec 2012 23:32
Svara 


Nå, inte en enda har låtit bli att beställa Internet fastän det är frivilligt. Men då blir de helt bortkopplade från omvärlden.

Det är litet problematiskt då endel kör med medelTRAFIK på 1 Mbit/s och andra kör med 100 Mbit/s hela dygnet. Men så länge kapaciteten räcker till för alla så varför bry hjärnan ...

Vad menar du med QoS ? Jag ser det som en metod att prioritera telefoni och annat som behöver korta svarstider. Och då gar det bra att kombinera för telefoni använder så litet kapacitet. TV behöver inte prioriteras utan man kan fördröja signalen så att mellanlagringen alltid har tillräckligt med data.

Enligt min mening börjar 100 Mbit/s vara lägsta användbara hastighet i ett datanät redan nu. Långsammare nät stör redan vissa tillämpningar.

Guje
Medlem
# Skrivet: 13 Dec 2012 08:24 - Editerad av: Guje
Svara 


Prisskillnaden mellan 100 Mbps och 1 Gbps är ju inte avgörande stor längre. Blir antagligen 1 Gbps i vårt nät.

Ok, QoS behöver ju inte enbart ligga på L3. Den kan ju finnas på applikationsnivå också.

Men de kvaliteshöjande funkrioner jag närmast tänker på är de som prioriterar viss trafik på L2/L3 nivå. Som just telefoni. Det är väl främst telefonin som kan behöva köras förbi i datapakets kön. Eller skall vi säga att det var så. I ett nät med 100-tals Mbit/s behövs ingen prioritering längre eftersom det går tillräckligt fort ändå.


QoS funkar dessutom bara i det egna nätet - inte ute på Internet. Vad är det då för vits med att bygga upp prioriterad trafik inne i det egna nätet om trafiken ändå går enligt best effort genom Internet?
Det blir ju inte bättre än den svagaste länken. Tidigare låg den länken på 1:a kilometern - nu ligger den svagaste länken ute på Internet. Så varför betala för en QoS i det egna nätet då?

Nisse
Medlem
# Skrivet: 13 Dec 2012 08:33
Svara 


Just precis. Vi har så snabba nät att problemen finns på annat håll.

Men förr så använde operatörerna dethär som orsak till att de inte behöver erbjuda snabba anslutningar. "En Mbit/s räcker bra för det är ändå så långsamt ute på Internet bl, bla, bla ...". Men det har inte hörts så mycket sådant prat på sistone då TV-tjänster och liknande blivit allt vanligare.

Guje
Medlem
# Skrivet: 13 Dec 2012 09:47 - Editerad av: Guje
Svara 


Bra, då skippar vi Qos! Det kostar bara extra och hjälper inte oss.

Den som stryper trafiken (t.ex. i olika hastighetsklasser) hamnar ju ut för sådana investerings-, konfigurations- och underhållskostnader. Strypningen i sig är ju en QoS-grej.

Som sagt var, jag tycker det blir allt klarare att ju förr vi blir av med QoS desto snabbare nät och desto tidigare kommer vi in i e-samhället. Men det är ju inte allas målsättning. En del vill ju suga på ADSL- och mokkula karamellen många år ännu. Och då är det inte bra att släppa fram kannibalprodukter som äter den egna businessen. Men vi har ju inga sådana laster.

<< . 1 . 2 . 3 . 4 . >>
Ditt svar
Bold Style  Italic Style  Underlined Style  Image Link  URL Link     :) ;) :-p :-( :up: :down: :talk: :confused :cool: :sealed: :noway: ... Använd inte smilies

Kill your darlings


» Namn  » Lösenord 
Only registered users can post here. Enter your login/password correctly before posting a message, or register first.