Det ultimata byanätet - Finlandssvenskt fiberforum (3)
Bredbandsgruppen  
Forum RSS feed    Forum - Svara - Statistik - Registrering - Sök -

Finlandssvenskt fiberforum / Byanät / Det ultimata byanätet
<< . 1 . 2 . 3 . 4 . >>
Författare Meddelande
Johanh
Medlem
# Skrivet: 14 Dec 2012 14:58
Svara 


Här var en bra förklaring från en ISP som använder linux routrar med proxy ARP och Private VLAN i switcharna (i själva verket den som gjort patchen till linuxkerneln):

http://patchwork.ozlabs.org/patch/42132/

Bra att få det svart på vitt att man KAN göra på detta vis!

Om detta är den mest praktiska lösningen återstår att se. De billigaste switcharna stöder inte Private VLAN (= VLAN Aggregation enligt RFC 3069).

Johanh
Medlem
# Skrivet: 26 Jan 2013 16:48 - Editerad av: Johanh
Svara 


Ska försöka sammanfatta vad som tidigare sagts här om separering av layer 2 mellan abonnenter. Jag vet inte om det är det ultimata byanätet, men det borde vara enkelt att underhålla, i alla fall i liten skala. Orsaken till att dessa konfigurationer inte är allmän kunskap är det det är en rätt ny företeelse att koppla hushåll direkt till ett Metro-nät med ethernet access-switchar. Men funktionaliteten har nog funnits i många år i switcharna och DSLAMar fungerar på samma sätt. Triple play och Open Access har gjort att operatörer istället börjat använda automatiska system med olika VLAN till varje kund. Dessa system är rätt dyra och vill man nu ha ett riktigt datanät istället för att härma gammalmodiga telefonlinjer så gör man på följande sätt.

Många växlar (alla dyra, men också en del billiga, men kolla specsen!) stöder en funktion som har lite olika namn beroende på tillverkare: Port Mapping, PVE (Private VLAN Edge), Protected Port, Port Isolation eller Traffic Segmentation (kärt barn har många namn). Det är en funktion i switchen som separerar trafiken mellan portar i switchen på layer 2. Det är en enkel inställning och man behöver inte blanda in olika VLAN alls (även om Private VLAN egentligen gör samma sak; dock har det andra nackdelar). När man senare pluggar i nya anslutningar i switchen behöver man inte konfigurera något.

Däremot måste man ha skilda VLAN på skilda byaswitchar om man fortsättningsvis vill separera layer 2 trafik mellan OLIKA switchar (Port Isolation hjälper bara lokalt på den enskilda switchen). I praktiken ställer man in ett VLAN och ett subnät för varje switch med hjälp av en router. Routern ruttar trafiken automatiskt mellan subnäten (switcharna). Dvs. hushåll på olika switchar kan kontakta varandra på layer 3. I routern sätter man dessutom på local proxy ARP (proxy_arp_pvlan i linux) för att kunna rutta trafik mellan anslutningar som ligger på samma switch. Annars kan ingen trafik gå mellan hushållen på samma switch. Denna trafik går då också alltid via routern.

Då man utökar nätet med en ny switch måste man alltså konfigurera ett nytt VLAN för switchen och ett nytt subnät och sätta på port isolation i switchen.

Här är en exempel-skiss. All trafik till och från ISP:n går genom CR1 (Core Router), som kan vara t.ex. en linux router med brandvägg. Tänker man använda en hårdvarurouter ska man kolla så att den stöder proxy ARP på SAMMA interface (Cisco kallar detta Local Proxy ARP). All trafik mellan byaswitcharna går också genom CR1. All trafik mellan hushållen på en enskild switch går också genom CR1.

" title="

(credit för bilden går till en bekant )

Guje
Medlem
# Skrivet: 29 Jan 2013 08:29
Svara 


Tack för lösningen!

Vi håller just i dagarna på med att få ihop en anbudstävlan kring dessa saker. Ett av våra krav är L3 trafik mellan hushållen så att de skiljs åt på L2. I preliminära diskussusioner med HW-jänget har jag märkt att detta inte varit helt självklara saker. L2-isoleringen ställer till med problem när två hushåll i samma switch skall hålla kontakt. Namet L3-switch förbryllar fortfarande.

En router löser problemet, men den måste i så fall vara inlåst i nätoperatörens utrymmen. Nu kunde man ju tro att det finns sk. L3-switchar som skulle klara av att lägga en IP-nummer på porten ut till hushållet. Eget subnät. Det isolerar också på L2 och skulle inte kräva extra local prxy ARP.

Inte sant?

Johanh
Medlem
# Skrivet: 29 Jan 2013 12:25 - Editerad av: Johanh
Svara 


Följetongen fortsätter. Om jag förstår rätt vad du frågar efter:

S.k. L3-switchar har routing-förmåga endast mellan olika VLAN. Det betyder att varje port på switchen ska ha en egen VLAN Id. VLAN:et finns alltså bara från acess-switchen till hushållet. Eget subnät. Inga isolated ports behövs. Inget local proxy arp behövs. Minst 4 IP-adresser kommer att gå till varje port. Dvs. man behöver minst 96 IP-adresser till en 24-portars switch. För att routingen i nätet ska gå enkelt att uppdatera borde man använda RIP eller OSPF på alla switchar. Access-switcharna kan ligga i samma subnät.

Fördelen är uppenbar. Man begränsar L2 till access-porten/hushållet. Loopar hålls nedanför access-switchen. Man belastar inte Core eller Distribution-switchar med routing eller onödig trafik.

Nackdelen är att det bli jobbigare och petigare att konfigurera. Man behöver massor av IP-adresser. Då det kommer nya anslutningar måste man uppdatera routing och adresser m.m.

Ska det vara DHCP eller statiskt? Jag skulle rösta på statiska IP. Då tvingar man också folk att använda router hemma om de ska ha massor av IP-adresser.


Jag tror nog man kan överväga detta alternativ också. Det vore det säkraste och stabilaste.

Edit. OBS! Med detta nätverksupplägg kommer vi tillbaka till samma sak som då vi diskuterade VLAN tidigare i denna tråd. Nämligen eftersom switchen nu sköter routingen (och den interna trafiken inte går genom Core routerns brandvägg), så finns det inget som stoppar SMTP och SMB mellan hushållen. Därför borde man slå på ACL i access switchen.

Edit 2. Om man läser bakåt i tråden finns det lite motstridiga uppgifter och felaktiga antaganden. De två senaste inläggen har jag nu diskuterat i detalj med en nätverksingenjör, men man vet ju aldrig ändå. Då kraven ändrar så ändrar antagligen specifikationerna också (som vanligt...). Ska försöka få till en skiss över den senare lösningen också.

Guje
Medlem
# Skrivet: 29 Jan 2013 20:33
Svara 


Jep, det var detta jag är ute efter ... i någon form.

Noterar samtidigt följande säkerhetsaspekt: Som nätoperatör axlar vi inget ansvar för hur hushållen exponerar sig på nätet. Egentligen får vi inte stoppa portar utan väl underbyggd motivering. Men vi har en skyldighet att informera om riskerna att inte skydda sig. I princip bode vi alltså kunna strunta i SMTP och SMB.

Tänkte i första hand ge ut 1 NAT:ad IP till varje hushåll. Om inte det räcker så får man fixa tilll flera IP:n eller en global IP. Globala IP:n ligger under sten nuförtiden. Vi har så vi klarar oss men resonerar precis som Nisse: NAT-om vi inte måste ge en global IP... med betoning på "måste ge".


Johanh, du skrev: "...Minst 4 IP-adresser kommer att gå till varje port...", Jag undrar: Varför det?

Johanh
Medlem
# Skrivet: 30 Jan 2013 10:12
Svara 


I princip bode vi alltså kunna strunta i SMTP och SMB.

I princip har du rätt, men du kan nog komma att få klagomål på att folk ser varandras printrar och nätverksskivor, speciellt om de har gamla XP datorer. Och så kan man fråga sig om någon i det här fallet kommer att anknyta det till förordningen om att separera trafiken mellan hushållen. Rent tekniskt sett tror jag likadant som du, att det räcker som nätoperatör med att separera layer 2, men det är inte säkert att alla är av samma uppfattning.

Johanh, du skrev: "...Minst 4 IP-adresser kommer att gå till varje port...", Jag undrar: Varför det?

Det beror på att varje hushåll får ett eget subnät i denna konfiguration. Ett subnät består av minst 4 IP-adresser, eftersom man behöver en subnät IP, gateway IP, broadcast IP och förstås minst en IP-adress åt en router eller dator. Exempel:

CIDR Network Address 192.168.1.0/30
Network Size 4
Number of Hosts 2
Network Address 192.168.1.0
Broadcast Address 192.168.1.3
Network Mask 255.255.255.252

Hosts är förstås gatewayn (access-switchen) och hemmadatorn eller routern i exemplet ovan.

Mask och adressområde kan man enkelt beräkna på http://www.webdnstools.com/dnstools/ipcalc eller på kommandoraden med sipcalc.

P.g.a. att varje anslutning får ett subnät, blir det ganska mycket att beräkna, konfigurera och dokumentera. Men om du besluter dig att gå in för NAT eller skaffar egna publika adresser, så kommer ju IP-adresserna inte att ändra i framtiden även om man byter ISP/transit.

Nisse
Medlem
# Skrivet: 31 Jan 2013 06:39
Svara 


Hmm, det verkar invecklat. Jag kan inte nog understryka att ENKELHET är ett nästan absolut krav. Med närmare tio års erfarenhet kan jag påpeka att man tröttnar fort att underhålla ett invecklat nät. Och skall man ha betald arbetskraft att göra jobbet så blir det DYRT !

Bäst är burkar som inte alls behöver konfigureras utan man bara kopplar in dem. Det strider litet mot att jag använder fasta IP-adresser men att sätta in adressen i en router går ännu an. Men inte mer konfigurering än det !

Guje
Medlem
# Skrivet: 31 Jan 2013 15:11
Svara 


Det är inte bara du Nisse som för fram KISS i det här sammanhanget.

Flera studier visar på att både kostnaderna och komlexiteten växer när man sätter in finesser, typ tripleplay. Typ Cisco konfigurationer.

Vill det sig riktigt illa betalar man sig fördärvad på ett system som inte funkar.

Här är en sådan viktig studie:

http://bredband.selfip.net/forum/filebox/dokument/ ispcomplexity.pdf

Citat ur inledningen:

We find:

(1)
the design of the core data-plane is usually service-agnostic and
simple, but the control-planes for different services become more
complex as services evolve;

(2)
more crucially, the configuration at
the service edge inevitably becomes more complex over time, potentially
hindering key management issues such as service upgrades
and troubleshooting; and

(3) there are key service-specific issues
that also contribute significantly to the overall design complexity.
Thus, the high prevalent complexity could impede the adoption and
growth of network-based services. We show initial evidence that
some of the complexity can be mitigated systematically.





...Pontentially hindering key mamagement issues ... €€€€


Det finns dom som varnar för svårdefinierade brandmurar också. Det är inte vilka funktioner en grunka innehåller som gör den dyr utan det är fikonspråket den styrs med som är avgörande. Läste jag nånstans....återkommer om jag hittar källan.

Nisse
Medlem
# Skrivet: 31 Jan 2013 19:36
Svara 


Det är faktiskt skillnad mellan de olika brandmurarna/routrarna (det är svårt att se skillnad mellan dessa numera). Tyvärr så vet man vilka som är bra eller dåliga först då man använt dem i något år ...

Så tipset är att köpa något billigt först och kolla in vad som fungerar och vad som inte fungerar i praktiken. Sedan kan man försöka hitta något bättre - men det borde också testas en lång tid.

PortKatterno
Medlem
# Skrivet: 11 Jan 2015 16:40
Svara 


Den här tråden är enligt min mening absolut en av de bästa på detta forum. Det lönar sig verkligen att läsa igenom den från början till slut även om den är lång.

Våra byanät, öppna nät, andelslagsnät eller vad vi nu vill kalla dem är i dag väldigt olika. Någon gemensam best practice-modell tycks knappast existera som det nu ser ut. Det kan till en del förklaras med att våra behov kan vara olika men det är knappast hela sanningen. Troligen ligger det närmare till hands att våra nät ser ut som de gör därför att vi av olika orsaker, ofta omedvetna, valt som vi gjort.

Det vi nu skulle behöva är en modell för ett optimalt öppet nät som underhålls och ägs av en gräsrotsrörelse. Även om våra nuvarande nät ligger långt ifrån målet behövs modellen behöver vi modellen för att gradvis förändra dem och utvecklas i rätt riktning. Om något av de beslut vi fattade då det begav sig var dåligt innebär inte detta att vi måste leva med dem i all framtid. Allt är föränderligt och det största misstaget av alla är att tro att vi inte på sikt kan förändra våra nät om det finns anledning till det.

Vi behöver alltså något som i dag kanske skulle kallas ett narrativ - en berättelse om våra nät. Utgångspunkten bör vara narrativets:

Transformation - inse att allt innebär en pågående förändring.
Begär - önska att nå målet.
Brist - inse bristerna och åtgärda dessa.

Efter detta filosoferande undrar jag; Hur skulle ni beskriva er optimala modell eller narrativ för ett öppet byanät som ni ser det i dag? Det blir ingen lätt uppgift men jag hoppas att ni tar er tid att svara. Jag själv, och jag tror att jag talar för många andra, är av idel öra.

PortKatterno
Medlem
# Skrivet: 11 Jan 2015 17:17
Svara 


Jag skall försöka besvara min egen fråga som jag ställde i föregående inlägg. Mitt svar är långt ifrån fullständigt det finns många områden som jag inte har någon klar uppfattning om.

Infrastruktur

Fibern i hemmet kopplas in i hemmet men kunden använder sin egen hemmarouter beroende på behovet. Nätägarens uppgift är att se till att allt fungerar klanderfritt och att utrustningen förnyas då trafiken ökar och behoven växer.

Internet

Intenetkapacitet köps som bulk och fördelas mellan användarna som en delad uppkoppling. Bandbredden skall alltid vara "tillräcklig". I dagens läge ligger detta på den nivå som uppnås med en 100/100 mps förbindelse. Kostnaderna fördelas jämnt mellan användarna och/eller inkluderas i den månatliga underhållsavgiften.

VLAN
Operatörernas vlan för teve och internet slopas helt och hållet. Tjänsterna är en sak mellan slutkunden och operatören/tjänsteleverantören.

TV

Teve är det stora frågetecknet här. Här i Österbotten är god tillgång till den svenska TV-kanalerna en nödvändighet. Hur skall detta ordnas i denna modell? (Maxivisons lösning duger inte då kunderna är vana med bättre och förmodligen billigare.

Samarbetspartner

Där det är möjligt bör de öppna näten bygga i hop förbindelserna som först och främst kunde användas för saminköp av bulkinternet. Eftersträvas redundans. Driftning, helpdesk och åtgärdande av fel bör handhas professionellt och blir förmånligare per enhet om flera delar på kostnaderna. Mål för åtgärdande av fel, helpdesk: 24/7.

Intresseorganisation

Nu då Österbottens Förbund lagt ner sin verksamhet för de öppna nätverken och ingen på förbundet ansvarar längre för detta område efterlyser jag en en lösning om hur utveckling och intressebevakning kan ordnas för att undvika en hopplös fragmentering och i slutändan förtvining.

Guje
Medlem
# Skrivet: 11 Jan 2015 19:39
Svara 


Av samma åsikt angående denna tråd: "En av de bästa".

Så bra att vi faktiskt byggde vårt nät utgående från detta.

Såhär såg det ut just innan offerterna började trilla in. I stort blev det också så som vi planerat.

Här vår "narrativ":
http://bredband.selfip.net/forum/filebox/guje/ByaN atTeknik_ver_F.pdf

Nisse
Medlem
# Skrivet: 12 Jan 2015 10:19
Svara 


Vårt system har presenterats otaliga gånger men sammanfattningsvis helt kort:

1. Dumt paketnät. Nätet bara flyttar paket från och till Internet. Anslutningen Ethernet 100 Mbit/s (möjlighet till Gigabits Ethernet).

2. Lokalnät med brandmur mot Internet. Brandmur/router rekommenderas för varje anslutning. Vi erbjuder enkel router (trådbunden). Skild fiberkonverter.

3. Inga tjänster erbjuds i princip. Sedan testar jag lokala "molntjänster" för att få ned trafiken utåt (lokal fillagring, lokal blogg, lokalt fotoalbum, osv.) men det är mest av personligt intresse.

4. TV blandar vi oss alls inte i. Inte heller IP-telefoni.

5. Internet-anslutning köps för hela nätet. Inga tjänsteportaler som bara kostar extra och gör det invecklat.

6. Underhåll sköts av utomstående för abonnenter. Jag sköter växlarna.

Det som kunde behövas på längre sikt är nån som kunde sköta underhållet (då jag är död). Det är så litet arbete att en persom kunde sköta alla landets lokalnät. LIkaså hoppas jag på ihopkoppling av de lokala näten och gemensam anslutning till Internet.

PortKatterno
Medlem
# Skrivet: 12 Jan 2015 14:59 - Editerad av: PortKatterno
Svara 


Jag förmodar att Hindersbynätet är det byanet som är mest känt för de som läser detta forum och i synnerhet för dem som fäljt med forumet en längre tid. Men det skadar aldrig att repetera och det kan nog aldrig göras för ofta. Ett markant drag för detta forum är att det har mycket få postare men ett stort antal som läser forumet. En märkvärdig kombination som jag nog inte kan hitta någon förklaring på. Den här tråden som startades av Guje har samlat över 36000 visningar. Tråden Att följa med användningen av bandbredd, som jag startade för exakt en månad sedan, har redan samlat mera än 22000 visningar!

Citerar Nisse:
Det som kunde behövas på längre sikt är nån som kunde sköta underhållet (då jag är död). Det är så litet arbete att en persom kunde sköta alla landets lokalnät. LIkaså hoppas jag på ihopkoppling av de lokala näten och gemensam anslutning till Internet.

Just när det gäller ihopkoppling av de lokala näten och gemensam anslutning till internet är jag helt av samma åsikt. Detta är enligt min mening en av de allra viktigaste olösta frågorna som finns då det gäller att slå vakt om de öppna näten. Men vem skall ordna det. Ingenting sker ju bara sådär av sig självt. I Österbotten kunde det ha varit Österbottens Förbund men som vi vet har förbundet avvecklat all sin verksamhet på detta område. I tysthet, skulle jag vilja tillägga, eller är beslut med motiveringar bara något som jag missat? Vem kunde åtaga sig att starta denna process?

Som ett förtydligande vill säga jag tänker mig att narrativet för det optimala byanätet inte är det samma som en beskrivning av våra nuvarande nät. Det är närmast idealiskt om det lokala byanätet helt och hållet sammanfaller med narrativet men jag tänker mig att så sällan är fallet. Narrativet varierar med säkerhet en hel del beroende på vem som definierar det. Men det som är viktigt är att diskussionen fortsätter i hopp om att vi åtminstone på några punkter kan komma till någon slags konklusion som kan fungera som en best practice på dessa punkter.

MarkusI
Medlem
# Skrivet: 12 Jan 2015 18:02
Svara 


Kommer kanske in lite sent i denna tråd men tänkte att någon kunde vara intresserad av mina erfarenheter och tankar...

Ett byanät handlar i min åsikt om sammarbete i byn, byanätet skall gärna alltså fungera internt fast ISP:n skulle ha tagit pengarna och flytt till varmare ort. Unga (och gamla) skall få experimentera med servrar och spel, tillochmed hjälpa till att sköta nätet (billig arbetskraft). Vill man producera tjänster eller innehåll, skall man få göra det.

Det är lite knepigt att uppehålla ett IP-nät, speciellt ifall man saknar kunnig och intresserad (frivillig) arbetskraft. Jag skulle ha detta som största risken i projektet. Om man vill sälja tjänster utöver ett fungerande IP-nät så löns det att låta någon annan sköta det. Bjud in leverantörer i nätet, unicast-tjänster endast (Ex. Netflix).

IP-adresser är ett problem som inte kommer att lösas innan vi är helt oberoende av IPv4. Enda vettiga lösningen är NAT och RFC1918-adresser på insidan. Om man fick tag på tillräckligt många sk. Provider Independent IPV4-adresser så vore det enklare.

Sen efter det så handlar det om att få ihop budget. För att få byggt ett bekvämt IP-nät så går det åt en del pengar, ett fullt ruttat nät med dynamisk ruttning är det man vill ha. Det går att göra billigare med statisk ruttning men då kan det finnas andra problem (L2+ vs. ordentlig L3 (mer specifikt arp-tabellens storlek i apparaterna, mängd ip-interfaces, mängd rutter)). RIP är helt okej men OSPF är bättre.

Dynamiska ruttningen gör det bekvämt på det viset att då man lägger till en switch så får den berätta åt resten av nätet att bakom den ligger vissa kund-subnät. Statisk ruttning kräver att man manuellt berättar åt en del apparater om att det nya subnätet finns. Man ska då inte publicera varje subnät med dynamiska protokoll utan hela delegerade subnätet (24 portar ~ /24) för att minska anatalet rutter.

Varje kund får en access-switch-port som ligger på eget VLAN och med eget IP-subnet. DHCP-relay löser lite användbarhetsproblem och OPTION 82 behövs ej för att ett subnet kan endast finnas på en port i detta fall. ACL i access-switchar som säger att trafik påväg till CIFS och SMTP-portar på kund-subnets (10.0.0.0/8 t.ex.) inte tillåts löser några problem också.

Detta är min syn på hur man bygger ett säkert och presterande nät. Nätet ska internt fungera som Internet och inte bry sig om vad kunderna traffikerar sinsemellan, sålänge det går ovanpå IP.

Vill kunderna skydda sin trafik mellan två byanäts-anslutnigar (eller annan motpart) med VPN så får dom. Litar man på byanätet kan man tillochmed traffikera okrypterat för det är omöjligt att spoofa trafik i tidigare nämnda nät. Kundens egna NAT/brandväggs-låda sköter kundens säkerhet och loggning, ifall kunden behöver anmäla någon för intrång. Kör man utan skydd, har man bäddat dåligt :)

Nisse
Medlem
# Skrivet: 12 Jan 2015 20:18
Svara 


Vi använder växlar (switchar) från Edgecore ES3528-serien och ES4610 (Gigabit). Där finns allt inbyggt. Det mesta använder vi inte alls. Vi har bara ett enda VLAN och alla är med i det. Som sagt så håller vi vårt nät så dumt som möjligt. Alla är i samma lokalnät så det är enkelt att ta kontakt sinsemellan. Därav behovet av hemmarouter.

MarkusI
Medlem
# Skrivet: 12 Jan 2015 21:11 - Editerad av: MarkusI
Svara 


Rätt våghalsigt, har du statisktik om hur många paket per sekund broadcast-trafik ni har?

Edit: Hemmaroutern är nog viktig, oberoende om man har eget subnet eller alla på samma L2 och L3 -nät.

Nisse
Medlem
# Skrivet: 12 Jan 2015 22:12
Svara 


Ganska litet broadcast. Inga problem de senaste 11 åren.

Guje
Medlem
# Skrivet: 12 Jan 2015 23:36
Svara 


PortKatterno angående det höga antalet visningar och få skribenter: "En märkvärdig kombination som jag nog inte kan hitta någon förklaring på."

Förklaringen stavas "K i n e s e r", "R y s s a r" och "G o o g l e".

Guje
Medlem
# Skrivet: 13 Jan 2015 08:39 - Editerad av: Guje
Svara 


TV:n har varit på tapeten. Såhär blev det hos oss:


Eftersom vi har två färdigt svetsade fiber hem åt alla så kör vi data i en den ena fibern och äkta gammal kabel-TV i den andra. TV-fibern har andelslaget gett gratis ut åt en kabel-TV leverantör (i dagsläget Karis Telefon). I gengäld får andelslagsmedlemmarna möjlighet till kabel-TV. Dealen är att kabel-TV-bolaget skruvar in sin egen utrustning i centralerna och ger samma pris åt våra medlemmar som åt sina egna kunder. Lite Win-Win över det hela.

Kabel-TV:n avlastar förstås trafiken i datanätet men på sikt börjar nog IP-TV:n ta över. På IP-sidan är utbudet helt annat och till stor del helt gratis (YouTube, YLE arenan mfl). Att tex. hyra en video kostar bara några euro. Man behöver inte ens satsa på en blue-ray spelare för sin HD-kvalitet.

Den här TV-lösningen förutsätter gott samarbete mellan parterna. Vilket egentligen är A&O för att få våra glesbygdsnät att funka fullt ut. Något jag har skäl att återkomma till senare.


Som ni kanske märker - inga egna tjänster här inte! Och absolut inget tjänste-VLAN och tripleplay-rackerier. Ingen ISP som mellanhand. Därför är tjänsteutbudet också i världsklass. Enda problemet har varit att hålla den utlovade hastigheten på 100/100 Mbps, trots att vi köper mer än så, 150/150 Mbps.

Svårt att hålla 100/100 Mbps

Guje
Medlem
# Skrivet: 13 Jan 2015 09:30
Svara 


I grunden har vi alltså ett KISS-Nisse-nät. även kallat Hindersbynätet. Det enda extra är L2-skyddet så abonnenterna inte kan tjuvlyssna på varandra.

Eftersom samarbetet med Karis Telefon är i världsklass även det så fick vi 2 C-klasser med publika IP-adresser av dem. I vårt nät med under 300 anslutningar kan vi således ge en riktig IP åt alla hushåll. Företagen, om de så vill, kan få ett eget VLAN med tillräckligt många IP:n. I ett litet nät kan man göra såhär! Small is bjuuti!

Inget problem med servrar heller. Bara att tuta och köra. Blir det för mycket av det goda stänger vi linjen och ber kunden se över sina burkar. Kom ihåg att vi som nätoperatör inte får hindra trafik. Bara i de fall nättrafiken är hotad (som vid DOS) kan vi ingripa. I trafikgrafen ser vi flera användare som belastar nätet mycket mer än genomsnittet, men eftersom de inte stör trafiken tillräckligt mycket får de hållas. Åtminstone tills vidare.

Underhållet köper vi utifrån efter behov. Supporten sköter vi själva. Tristare jobb lär inte finnas, säger vår telefonsvarare. På sin höjd ett samtal i månaden och då brukar frågan lyda: "När blir jag inkopplad". Efter inkoppling är det i regel tyst.

Guje
Medlem
# Skrivet: 13 Jan 2015 09:35
Svara 


I grunden har vi alltså ett KISS-Nisse-nät. även kallat Hindersbynätet. Det enda extra är L2-skyddet så abonnenterna inte kan tjuvlyssna på varandra.

Eftersom samarbetet med Karis Telefon är i världsklass även det så fick vi 2 C-klasser med publika IP-adresser av dem. I vårt nät med under 300 anslutningar (dagsläget) kan vi således ge en riktig IP åt alla hushåll. Företagen, om de så vill, kan få ett eget VLAN med tillräckligt många IP:n. I ett litet nät kan man göra såhär! Small is bjuuti!

Inget problem med servrar heller. Bara att tuta och köra. Blir det för mycket av det goda stänger vi linjen och ber kunden se över sina burkar. Kom ihåg att vi som nätoperatör inte får hindra trafik. Bara i de fall nättrafiken är hotad (som vid DOS) kan vi ingripa. I trafikgrafen ser vi flera användare som belastar nätet mycket mer än genomsnittet, men eftersom de inte stör trafiken tillräckligt mycket får de hållas. Åtminstone tills vidare.

Underhållet köper vi utifrån efter behov. Supporten sköter vi själva. Tristare jobb lär inte finnas, säger vår telefonsvarare. På sin höjd ett samtal i månaden och då brukar frågan lyda: "När blir jag inkopplad". Efter inkoppling är det i regel tyst.

PortKatterno
Medlem
# Skrivet: 13 Jan 2015 12:27
Svara 


Citerar Guje:
"TV:n har varit på tapeten."

Bra lösning för er TV-tjänst även om den knappast kan exporteras till så många andra. Det tycks dröja otroligt länge att få fram högklassiga renodlade IP-lösningar för TV. Kanske beror det på att vi är alltför få som har tillräcklig bandbredd för att locka fram hugade aktörer. Maxivision är den enda jag känner till och som har ett utbud värd namnet men Maxivision är nog inte tillräckligt attraktivt för att locka i Österbotten.

Citerar Guje:
"I grunden har vi alltså ett KISS-Nisse-nät. även kallat Hindersbynätet"

Ha, ha, jag gillar det namnet. I översättning:Keep It Simple Stupid a la Nisse. I själva verket gillar jag det så bra att jag kunde tänka mig att ta med KISS-Nisse-nätet i mitt eget narrativ. Men TV-frågan pockar på en lösning.

Citerar Guje:
"I trafikgrafen ser vi flera användare som belastar nätet mycket mer än genomsnittet, men eftersom de inte stör trafiken tillräckligt mycket får de hållas. Åtminstone tills vidare."

Man bör nog i det längsta undvika att interventera här. De flesta i den här gruppen är så kallade early adapters och visar på något sätt vart vi är på väg. Litet off topic men jag såg i går ett inslag i SVT:s Västerbottens Nytt. En renskötare hade börjat använda drönare för att driva sina renflockar och såg en stor potential i detta. Många äldre renskötare var skeptiska och motståndare till detta nya påfund. Men den renskötaren i fråga konstaterade torrt att de var emot snöscotern också då den först introducerades i rennäringen.

Nisse
Medlem
# Skrivet: 13 Jan 2015 14:18
Svara 


Det tar alltid tid innan nya idéer slår igenom. Redan för 14 år sedan såg man klart att hela TV-konceptet kommer att försvinna och i stället kommer video som man ser på då man har tid och lust. I själva verket sysslade vi med VOD (video-on-demand) redan i 90-talets början i vårt labb så något nytt är det inte.

Så det gäller att försöka fundera ut hur mycket det lönar sej att satsa på ett döende koncept. Kan man få kabel-TV nästan gratis så varför inte men någon större satsning skulle jag inte sätta på det.

Själv ser jag på satellit-TV som rent tekniskt är det enda rätta ifråga om kapacitet och täckning. Problemet är bara grisarna i mediamonopolen och deras lakejer bland politikerna som lagstiftningsvägen förhindrar en förnuftig användning.

Guje
Medlem
# Skrivet: 13 Jan 2015 15:15 - Editerad av: Guje
Svara 


Det är möjligt att köra både kabel-TV och IP-trafik i samma fiber. Så gör tex. KT i sitt eget nät. För oss var det naturligt att ta till den andra svetsade fibern eftersom det var ett krav i stödbeslutet att vi skulle dra två fiber hem till alla. Dessutom tror jag att de flesta iaf. svetsar minst två fiber då man nu en gång är i farten.

Sen är det en annan sak om man får till TV:n i praktiken. Om inte det lokala telefonbolaget eller kabel-TV-bolaget är intresserade kan man alltid försöka få nån bybo att göra som Nisse säger: skaffa Parabol + lämplig streaming. SAMT att göra det som Nisse INTE säger: Skaffa lov. För sååå omöjligt kan det ju inte vara eftersom det finns dom som lyckats med konststycket. Kostar lite ... men sätt in det i månadsavgiften! Garanterat billigare än att låta nån kanalpaketerare skicka fakturan.

Det stämmer att kabel-TV:n sjunger på sista versen, men det stämmer också att IP-TV:n kommer långsamt. Inte bra att vänta heller, som bonden i Houtskär som väntade på nästa års traktormodell. Han dog utan traktor.

För egen del räcker dagens IP-TV-utbud rätt väl för mig. Nyheterna ser jag via YLE Arenan och SVT play. Filmer ser jag via Netflix och Apple-TV. Tidningarna läser både jag och gumman med varsin iPad via YLE/SVT! Sorry nu bara alla e-tidningar. Både Finlands och Sveriges TV kommer vid behov via fibern, därför att jag kostat på mig den lyxen.

Guje
Medlem
# Skrivet: 14 Jan 2015 10:03
Svara 


MarkusI skrev ett intressant inlägg, tack för det! Tänkte vi kunde diskutera den modellen en stund.

Förstår jag saken rätt strävar du efter ett öppet nät. Citat: Unga (och gamla) skall få experimentera med servrar och spel, tillochmed hjälpa till att sköta nätet (billig arbetskraft). Vill man producera tjänster eller innehåll, skall man få göra det.


Men jag tycker du tar till stora elefant-bössan och komplicerar till det lite. För vi talar ju om ett litet byanät med några hundra anslutningar och kanske upp till 10 switchar, inte sant? Så varför stressa tex. med RIP eller OSPF då nätet till sin natur är ytterst statiskt? Jag menar, husen flyttar just inte på sig och nybyggen är sällsynta.

Är det nåt speciellt du tänker på i det sammanhanget?

Johanh
Medlem
# Skrivet: 14 Jan 2015 11:32 - Editerad av: Johanh
Svara 


Här är alltså konceptet som MarkusI hänvisar till i posten ovan (bilden har blivit postad tidigare på ett annat ställe). Den stora grejen med ett sådant här koncept är att man skiljer åt Layer 2 mellan kunderna. Och nätet är fullt ruttat, så trafiken kan gå fritt mellan kunderna, utan att ta omvägar över Internet. Det kräver dock access-switchar med ruttningsförmåga. Det är alltså ett byanät i Österbotten som nu har i bruk detta system (med vissa förändringar). För att anknyta till IPTV-diskussionen så körs kabel-TV i separat fiber i detta nät.

" title="

MarkusI
Medlem
# Skrivet: 14 Jan 2015 14:17
Svara 


Förstår jag saken rätt strävar du efter ett öppet nät. Citat: Unga (och gamla) skall få experimentera med servrar och spel, tillochmed hjälpa till att sköta nätet (billig arbetskraft). Vill man producera tjänster eller innehåll, skall man få göra det.

Jo, på det viset vill jag att det skall vara öppet att man får publicera vilka tjänster som helst på adresserna som tilldelas kunderna. Nätet bör fungera internt på samma sätt som Internet, trafiken mellan kunderna går kortaste möjliga vägen och nätets uppgift är att förmedla IP-paket (inte brygga ihop kunderna sinsemellan eller med någon ISP). IP-nät, kort och gott. Organisationen som äger och eller sköter nätet får gärna involvera byyssbooan :)

Jag har själv vuxit upp med Internet (jag hör alltså till den generation som nu bygger/köper hus och bildar familj), varit aktiv arrangör på flera LAN-parties, skött servrar och tjänster som hobby... För att sen bli anställd i nät/server-branchen, senare bytt lite uppgifter för att få mer familje-vänliga arbetstider. Saknar leksakerna så jag blandar mig i andras nätfunderingar numera :)

Pointen där var att jag lärt mig allt upp till Interior Gateway Protokoll genom eget intresse, genom hobbyn, innan skolan. BGP har jag inte haft nöjet att använda så det är jag helt ute med. Hur har jag lärt mig, jo, med hjälp av Linux och lite virtualisering.

Men jag tycker du tar till stora elefant-bössan och komplicerar till det lite.

Jo, det är dyrare och kan verka mer komplicerat att ta i bruk men fördelarna är stora. Folk har anklagat mig (helt rätt) för Enterprise-sjuka flera gånger men jag berättar gärna varför.

Varför IP-nät? Loopar fortplantar sig inte över en router. Om varje kund ligger på eget L2-broadcast domän samt eget subnet så kommer en loop, orsakad av kunden, att maximalt sänka ifrågavarande kunden och belasta access-switchens CPU. Andra kunder på samma access-switch kan märka av det ifall access-switchen har svag CPU. Ifall inte så är det bara den ena kunden som försvinner så länge loopen håller på. Har kunden dessutom egen NAT-låda och loopen ligger bakom den så belastas inte access-switchen alls. På samma gång får vi isolerat kunderna från varandra men kunderna kan kommunicera sinsemellan tack till paketförmedlingstjänsten dom köpt. PVLAN kan lösa detta också men på grund av dess natur så rekommenderar jag det inte. Jag har sett många fall av fel-implementerade PVLAN-nät. Kan ta upp det i en annan post ifall det finns intresse.

Varför ruttningsprotokoll? I ett IP-nät så kommer man automatiskt att bygga en sorts hierarki var man har två eller flera nivåer: Core och Access exempelvis. Statisk ruttning fungerar bra, inget fel alls på det men det kan börja kännas gammalt och jobbigt att måsta mata dendär ena rutten i alla likvärdiga apparater i samma topologiska område. Risken för mänskliga misstag ökar markant för varje apparat som måste manuellt uppdateras. Med hjälp av ruttningsprotokoll slipper man detta men man måste också komma ihåg att inte lyssna på ruttningsprotokollmeddelanden från access-portar :)

Ruttningsprotokollen ger också möjligheten att bygga ring-nät och andra fina konstellationer för redundans och kortare ruttlängd. RIP har någon minuts konvergenstid normalt och OSPF märker av problem/ändringar inom några sekunder. Och om man håller sig från att ändra på parametrarna för RIP/OSPF så lär man inte heller se problem. Måste man pynja på parametrarna så gör man något fel, KISS gäller här med.

JohanH:s bild var ju rätt bra exempel på ruttat nät men man kunde göra det ännu bättre, beroende på situation och behov såklart. One size never fits all.

PortKatterno
Medlem
# Skrivet: 14 Jan 2015 17:31
Svara 


Citerar Johanh:
"Och nätet är fullt ruttat, så trafiken kan gå fritt mellan kunderna, utan att ta omvägar över Internet. Det kräver dock access-switchar med ruttningsförmåga. Det är alltså ett byanät i Österbotten som nu har i bruk detta system (med vissa förändringar)."

Tänk, jag som trodde att detta var standard i alla våra nät. Är de flesta av våra nät verkligen så dåligt designade att vi måste belasta dyrt inköpt internetkapacitet om ungdomarna vill spela dataspel mot varandra eller om någon vill ha kameraövervakning på sina fastigheter inom nätverket? Kan nätet kallas öppet längre om det är så?

Vilket nät i Österbotten är det som gjort detta rätt? Det får gärna glänsa även om vi andra kanske måste skämmas en smula. Skämmas därför att detta var ju en av de bärande idérna med öppna nät. Vi behöver verkligen få fram ett narrativ - best practice.

Nisse
Medlem
# Skrivet: 14 Jan 2015 18:02
Svara 


Vårt nät har alltid varit öppet för kommunikation mellan alla anslutningar. Jag har inte gjort nånting för ruttningen - den sköter växlarna automatiskt.


"The Spanning Tree Algorithm (STA) can be used to detect and disable network
loops, and to provide backup links between switches, bridges or routers. This allows
the switch to interact with other bridging devices (that is, an STA-compliant switch,
bridge or router) in your network to ensure that only one route exists between any
two stations on the network, and provide backup links which automatically take over
when a primary link goes down.
The spanning tree algorithms supported by this switch include these versions:
• STP – Spanning Tree Protocol (IEEE 802.1D)
• RSTP – Rapid Spanning Tree Protocol (IEEE 802.1w)
• MSTP – Multiple Spanning Tree Protocol (IEEE 802.1s)"

Jag har faktiskt inte ändrat nånting alls utan har kvar fabriksinställningarna. Och bra går det ...

Johanh
Medlem
# Skrivet: 14 Jan 2015 18:47
Svara 


Tänk, jag som trodde att detta var standard i alla våra nät. Är de flesta av våra nät verkligen så dåligt designade att vi måste belasta dyrt inköpt internetkapacitet om ungdomarna vill spela dataspel mot varandra eller om någon vill ha kameraövervakning på sina fastigheter inom nätverket? Kan nätet kallas öppet längre om det är så?

Ja, alltså det kan ju finnas andra nät i Österbotten som tillåter trafik mellan användarna, t.ex. en större ISP i Österbotten tillåter detta. Bland de mindre byanäten har jag hört att man inte tillåter detta, eftersom man inte har förstått sig på ruttning, eller inte vill, eller vad vet jag.

Det går mycket väl att göra som Nisse, att man låter huvudroutern sköta ruttningen för hela nätet. Layer-2 switchar ruttar inte själva, utan de skickar alltid trafiken till huvudroutern. I vår modell ovan, eftersom också access-switcharna har routing på layer 3, och varje kund har eget subnät, så går trafiken mellan två kunder bakom samma switch endast genom själva switchen, och tar inga onödiga omvägar.

I de nät i Österbotten som inte tillåter detta, så borde man prata med ISP:n om att slå på proxy ARP (eller vad som nu behövs, beroende på hur nätet är gjort). Det kräver dock att man tar ställning till om man borde förhindra vissa sorter av trafik, som SMB och SMTP. Så helt öppet kan man inte ha i praktiken om man har större nät.

Vilket nät i Österbotten är det som gjort detta rätt? Det får gärna glänsa även om vi andra kanske måste skämmas en smula. Skämmas därför att detta var ju en av de bärande idérna med öppna nät. Vi behöver verkligen få fram ett narrativ - best practice.

Jag tror jag hellre låter nätägarna berätta, eller så skickar jag meddelande. Det där med "öppet nät" är nu hur man tolkar det. Är det Nisses tolkning (dvs att alla portar och protokoll är öppna), som jag dessutom håller med om, så stämmer det. Men om man med "öppet nät" menar s.k. "open access", så stämmer det inte i detta fall (det konceptet är förresten inte så öppet som man har velat påskina).

tholm
Medlem
# Skrivet: 14 Jan 2015 20:18
Svara 


Vi bad i Maxmo och Oravais Johan och Markus att hjälpa till att bygga upp vårt fibernät.
Fastnade lite för att 'såhär har inte så många andra gjort (kanske de tom sa ingen annan...' och 'alla problem som kunderna förorsakar stannar hos kunderna själva'. Så vi började på. Blev lite tröttsamt att skriva alla ip interface och dhcp subnät deklarationer. Men med ett program som skapar texten att kopiera och klistra in, så gick det mycket bättre... Såhär efter ett år ungefär så verkar det bra, väldigt bra. Bara elleveranserna som orsakat störningar, eller någon avgrävd fiber i leverantörskedjan.

Har tyckt att cli-interface är av ondo, men har nu börjat förstå (nyttan av att kunna klippa ut och klistra in)
Nu pratar vi internet trafik. TV kanaler kör vi (som gamla kabeltv bolag i grunden) på skild fiber.
Trodde först också att det lät avancerat och invecklat då Markus började berätta, men man lär sig, så nu känns det hyfsat bra. Har gått in för att manuellt upprätthålla rutt-definitionerna tills vidare. Dvs vill inte satsa de pengarna i switchar som krävs. Bättre att bygga mera fiber...

PortKatterno
Medlem
# Skrivet: 14 Jan 2015 23:09 - Editerad av: PortKatterno
Svara 


Citerar Johanh:
"Jag tror jag hellre låter nätägarna berätta, eller så skickar jag meddelande. Det där med "öppet nät" är nu hur man tolkar det. Är det Nisses tolkning (dvs att alla portar och protokoll är öppna), som jag dessutom håller med om, så stämmer det. Men om man med "öppet nät" menar s.k. "open access", så stämmer det inte i detta fall (det konceptet är förresten inte så öppet som man har velat påskina)."

Jag uppfattade nog att man med begreppet öppet nät avsåg både öppna portar, open access och nätneutralitet.

Citerar tholm:
"Vi bad i Maxmo och Oravais Johan och Markus att hjälpa till att bygga upp vårt fibernät.
Fastnade lite för att 'såhär har inte så många andra gjort (kanske de tom sa ingen annan...' och 'alla problem som kunderna förorsakar stannar hos kunderna själva'. Så vi började på. Blev lite tröttsamt att skriva alla ip interface och dhcp subnät deklarationer. Men med ett program som skapar texten att kopiera och klistra in, så gick det mycket bättre... Såhär efter ett år ungefär så verkar det bra, väldigt bra. Bara elleveranserna som orsakat störningar, eller någon avgrävd fiber i leverantörskedjan."


Kul att höra. Egentligen så har vi redan i norra delen av svenska Österbotten flera nät som kunde gå rätt enkelt att koppla i hop. KNT-net, PÖF, Nunet och Maxmo-Oravais. KNT-net och PÖF är redan ihop och PÖF-Nunet är på gång.

MarkusI
Medlem
# Skrivet: 15 Jan 2015 10:58
Svara 


Vårt nät har alltid varit öppet för kommunikation mellan alla anslutningar. Jag har inte gjort nånting för ruttningen - den sköter växlarna automatiskt.

Jo, ni i Hindersby har ett enda stort L2-broadcast domän. I det fallet kan kunderna själv göra vad som helst och nätet har ingen kontroll. Nätets primära uppgift är att förmedla ethernet frames, ingen IP-ruttning involverad (förutom när man öppnar sessioner mot hosts utanför nätet).

STP är tillför att laga ett active/passive/passive/... -redundant nät. Har man två sladdar mellan två switchar så stänger switcharna av forwarding för andra sladden så att det inte blir en loop. Med tre sladdar får man 1/3 bandbredd. Har man inga redundanta länkar i nätet så gör STP dubbel skada: Det behövs inte och varje gång en port far upp eller ner så måste alla switchar räkna om topologin och meddela varandra att nu hände dethär. Jag har sett nät stanna totalt på grund av en topologiförändring som switcharna inte orkade räkna i farten. I ett fall var miljön rätt kritisk, så det var inte skoj att se exakt alla portar gå i blocking state i typ 30 sekunder.

Så, jag rekommenderar att inte lösa redundans med STP. OSPF och MC-LAG (eller stackad LACP) är bättre alternativ.

Det finns många mindre nät (inte Telefonbolag alltså) i Finland som åstadkommer byanät och lite större nät på olika sätt. Största synden i min bok är att isolera kunderna från varandra utan att tillåta kunderna kommunicera sinsemellan. Om jag inte får publicera tjänster så att grannen kan se dem så blir jag rent ut arg. Telefonbolagen har löst detta med något likt PVLAN och en router med Proxy-ARP påslaget.

Jag har hört att offren för total isolering hittat på kreativa lösningar, varav en är Hamachi. Hamachi gör en L2-brygga mellan Hamachi-klienternas LAN-nät som går via en tredje part (hoppeligen bara en, om man räknar bort NSA/FRA/osv...). Dvs, man ser grannens alla apparater och grannen ser alla mina apparater på mitt LAN över en L2-brygga. Bryggan går alltså via NSA-land osv... Orsaken till att Hamachi gör L2-bryggor är att det fanns spel förr som endast funkade på samma subnät, behändigt verktyg men folk förstår inte vad det innebär.

Guje
Medlem
# Skrivet: 15 Jan 2015 11:33
Svara 


Man blir så glad av att läsa allt det intressanta ni skriver om!

..tyvärr har min arbetsgivare också sin syn på vad som gör honom glad. Återkommer sena

Nisse
Medlem
# Skrivet: 15 Jan 2015 11:50
Svara 


Jag kollade först in topologiändringarna men då vi har mediakonvertrarna på så gott som hela tiden så blev det inte mycket trafik. Så jag lät det gå vidare. Vi har inga slingor utan ett hierarkiskt system så det är enkelt. Blir det problem så får jag väl ändra på nånting.

Switcharna stöder att man klumpar ihop flera portar till en enda förbindelse så att kapaciteten faktiskt blir flerdubbelt större. Vi har Gigabit mellan switcharna så tillsvidare har det inte behövts.

Då jag satt med i Kommunikationsverkets arbetsgrupp (som jag lämnade på grund av den monumentala inkompetensen där) så ville operatörerna absolut att all trafik skulle gå via deras router. Alltså att all trafik skulle betalas för. Klart att jag inte ville ha vårt nät på det sättet så jag skippade alla deras funderingar. Det viktigaste är att strunta i alla "rekommendationer" som kommer från det hållet. En idiot skulle också ha sex fibrer till varje abonnent !!?? Och Soneras representant var en jurist som genast sa att hon inte förstod nånting alls utan bara satt där som vakthund ...

Jag anser också att det värsta är då kunderna isoleras från varandra. Det var en huvudmålsättning att alla skulle kunna kommunicera direkt utan att gå via betald trafik. Därför kollar jag också in lokala molntjänster fastän vi inte skall leverera tjänster. Allt som sparar trafik ut via vår Internetanslutning sparar pengar. För att inte tala om ökad säkerhet med lokala "moln".

Hemmarouter är bra att ha. I början så hade alla inte och en gång matades en utskrift ut i en laser i en annan by. Windowseländet trodde det var en lokal skrivare ... Alltför mycket automatik är bara av ondo.

Vårt nät är EXTREMT enkelt men så länge det fungerar så får det gå. Våra växlar börjar vara amorterade och om det kommer nya smartare modeller så kan vi byta dem så småningom. Men jag har inte sett större förändringar i switcharna sedan vi köpte våra. Det enda vi bytt ut är huvudroutern/brandmuren mot Internet. Där har det faktiskt kommit bättre modeller.

En huvudregel är att inte köpa "bättre" (=dyrare) burkar än nödvändigt. Alla burkar blir bättre och billigare hela tiden och om något år kan man köpa dyra "operatörsburkar" för en bråkdel av priset idag.

MarkusI
Medlem
# Skrivet: 18 Jan 2015 17:15
Svara 


Hemmarouter är bra att ha. I början så hade alla inte och en gång matades en utskrift ut i en laser i en annan by. Windowseländet trodde det var en lokal skrivare ... Alltför mycket automatik är bara av ondo.

Inte alls underligt, ni har ett nät som ser ut exakt som ett LAN så Windows gjorde helt by the book. Och jo, alla kunder ska ha en NAT-låda då det gäller IPv4.

I ett ruttat nät så kan man tvinga NAT-låda enkelt, man publicerar 4-adressers subnät åt kunderna så får dom anslutit maximalt en apparat utan NAT.

Nisse
Medlem
# Skrivet: 18 Jan 2015 17:31 - Editerad av: Nisse
Svara 


Nåjo, jag ingen vän av Windows just av den anledningen. Linux sysslar inte med alls orters struntautomatik som mest bara ställer till elände. Det måste stängas in i ett eget LAN för att hållas i skinnet. Men det är inget problem att ha en hierarki av nät.

Guje
Medlem
# Skrivet: 20 Feb 2015 18:26
Svara 


Tar mig friheten att flytta MarkusI's inlägg från en annan tråd hit i stället:



MarkusI: "Det finns ett byanät, dikterat av underskrivande, som har hushållen på olika L2 och olika L3-subnät "


Då finns det åtminstone två byanät med hushållen på olika L2 så att trafiken ändå tar kortaste vägen då två grannar kommunicerar. Ärligt talat - det har nog största delen av nätoperatörerna idag, vill jag tro. Lagstiftningen kräver ju det och i praktiken blir det L2 isolering. Men hur situationen ser ut då lägenheterna i ett höghus/radhus delar på en gemensam Internet är en helt annan sak. Trots att lagstiftningen även gäller sådana installationer. (Nå, den här diskussionen hör kanske hemma i en annan tråd).


Guje: PVLAN är samma L2-broadcast domän. Ditt PVLAN-nät kvalificerar inte. Operatörernas konsument-nät kvalificerar inte heller. PVLAN är inte 100% vattentätt utan hårdkodade MAC och ARP-tabeller. Dessutom finns det stor risk för att man gör en topologimiss med PVLAN och orsakar läckage på det viset...

Somsagt, dethär kan höra till en annan tråd men ditt påstående stämmer inte.

Guje
Medlem
# Skrivet: 20 Feb 2015 18:28
Svara 


Ok MarkusI, vi fortsätter här då.


Säger du det! Det här är nånting vi köpt och klart uttryckt i vår offertförfrågan. Vad skall jag hälsa leverantören?

MarkusI
Medlem
# Skrivet: 20 Feb 2015 21:11
Svara 


Port Isolation, Private VLAN, Asymmetric VLAN, Super VLAN eller vad än favorit-vendorn kallar det så är det fortfarande samma L2-broadcast domän. Det är helt upp till dig vad du än hälsar eller inte åt leverantören.

PVLAN i sin korthet går ut på att med hårdvarufilter endast tillåta user-portarna kommunicera med router-porten. Allt annat är annars bekant:

- Hushållets router/dator skickar ut DHCP Discovery och får svar... Switchen och routern lär sig MAC-adressen
- ARP och MAC-timeout gör att apparaterna glömmer associationerna efter att tag av tystnad
- I något skede kommer routern att skicka ut 'arp who has n.n.n.n' och den som hinner svara först får routern att tro att den adressen mitt i allt finss bakom en annan MAC-adress
- Någon kan möjligen överflöda switchens MAC-tabell och beroende på vendor så beter den sig på olika vis, i värsta fall skickar den alla frames till alla portar på samma VLAN då den inte kan bättre

Problemet ligger alltså i den bekväma dynamiska inlärningen av MAC och ARP-inlägg. Det finns hjälpmedel men man kommer en vacker dag att se att dom biter en i arslet då man minst anar det.

Men, genom att lägga varje hushåll/kund på olika VLAN:s med sina egna IP-subnet (/31,/30 eller större), och om man endast förmedlar IP-paket mellan dessa subnets så kommer trafik aldrig att kunna spoofas till villovägar. Kunden/hushållet kan alltså inte genom dynamisk inlärning lura nätets apparater att förmedla trafiken fel.

Det finns andra goda sidor också, DHCP Option82 blir onödigt på grund av att IP-subnäten bara kan finnas hos en kund/hushåll.

Guje
Medlem
# Skrivet: 20 Feb 2015 21:33
Svara 


Du säger: "Det är helt upp till dig vad du än hälsar eller inte åt leverantören."


Så jag hälsar från dig att

"...genom att lägga varje hushåll/kund på olika VLAN:s med sina egna IP-subnet (/31,/30 eller större), och om man endast förmedlar IP-paket mellan dessa subnets så kommer trafik aldrig att kunna spoofas till villovägar. Kunden/hushållet kan alltså inte genom dynamisk inlärning lura nätets apparater att förmedla trafiken fel.

Det finns andra goda sidor också, DHCP Option82 blir onödigt på grund av att IP-subnäten bara kan finnas hos en kund/hushåll."

Å andra sidan tror jag det är ganska onödigt att hälsa nånting alls... det är lugnt. Undrar förstås varifrån du fick att "mitt PVLAN nät inte kvalificerar, när du sen skriver att det är ok".

Har du för lite att göra?

Johanh
Medlem
# Skrivet: 20 Feb 2015 21:54
Svara 


Guje, PVLAN är inte samma som att manuellt konfigurera skilda VLANs med olika subnät på olika (virtuella) IP interfaces. PVLAN är en "billig" lösning där man utsätter sig för de risker som Markus räknade upp ovan.

MarkusI
Medlem
# Skrivet: 20 Feb 2015 22:09
Svara 


Guje: Jag bryr mig inte i vad du hälsar någon sålänge du inte nämner mig i hälsningen.

Förstod du skillnaden mellan PVLAN och skillda VLAN:s? Om inte så säg det då, jag berättar gärna mera.

För tillfället har jag inte för lite att göra, jag har dock stort intresse i nätverk och försöker vara till nytta då ni byanäts-nissar (Nisse, menade inte peka specifikt på dig) inte verkar ha fullständigt koll på era grejer :)

Guje
Medlem
# Skrivet: 20 Feb 2015 22:35 - Editerad av: Guje
Svara 


Nä, nog hälsar jag från dig, och eventuellt från Johanh också.

Det är ju ni som påstår nånting jag som ansvarskännande nätbyggare nu måste reda ut.

Var har ni för övrigt plockat upp detaljinfo om vårt nät? Fel eller rätt, spelar ingen roll. Jag skulle gärna vilja veta! Jag har inte berättat.

MarkusI
Medlem
# Skrivet: 20 Feb 2015 22:50
Svara 


Här lärde jag mig att ni har PVLAN:

# Skrivet: 13 Feb 2015 22:51 - Editerad av: Guje
Svara Citat

I kväll gjorde jag ett litet test i vårt byanät.

Eftersom jag har admin rättigheter tog jag bort layer 2 låset för just min fiberanslutning.


Hoppsan Guje, du berättade :)

PVLAN är rätt vanligt för att det sparar på IP-adresser och varje, mer eller mindre lat, operator väljer att använda det för att det kräver mindre pynjande med switchar och ruttrar... Dock så måste man få igång option82 & co i kedjan...

Johanh
Medlem
# Skrivet: 20 Feb 2015 23:08
Svara 


Vi har nog redogjort för skillnaden på PVLAN och en "fullt ruttad lösning" (borde komma på en bättre term) i denna tråd.

I början av denna sida finns en PVLAN-lösning skissad i denna post: http://bredband.selfip.net/forum/index.php?action= vthread&forum=25&topic=667&page=2#msg301149

Senare är den fullt ruttade lösningen presenterad: http://bredband.selfip.net/forum/index.php?action= vthread&forum=25&topic=667&page=2#msg301847

Guje
Medlem
# Skrivet: 21 Feb 2015 00:31
Svara 


Är väl tvungen att krypa till korset.
Jo, så sa jag. En annan sak är om jag verkligen gjorde det. För helt obekanta är ju inte diverse nätlösningar ens för mig. Kan ju hända att jag hoppade över stängslet där det var lägst.

Hur som helst kommer vår leverantör att få berätta mer om datasäkerheten i nätet.
Kravet är att lagstiftningen följs. Om någon utan kännedom om nätlösningen kan dra 100%iga slutsatser att nätet inte uppfyller lagstiftningen är det ganska allvarligt, skulle jag säga.

Guje
Medlem
# Skrivet: 21 Feb 2015 11:14
Svara 


Jo MarkusI, berätta gärna mer om vad det handlar om!

För, så här kan jag ju inte knalla upp till teknikavdelningen som vann vår upphandling och säga:

"Problemet ligger alltså i den bekväma dynamiska inlärningen av MAC och ARP-inlägg. Det finns hjälpmedel men man kommer en vacker dag att se att dom biter en i arslet då man minst anar det."

Sen berättar jag om en kompis på nätet som tipsade om ett eventuellt fel i vårt nät som inte uppfyller lagstiftningen. Kompisen säger att han har stort intresse i nätverk och försöker vara till nytta då ni byanäts-nissar inte verkar ha fullständigt koll på era grejer. Och så ler jag,

Så, om du kunde få ihop en variant på samma tema, men så att pekfingret hålls på sak och inte på tomtenissarna, vore jag glad. Klackar tar lika ont som tänder, om du förstår vad jag menar.

Ämnet är delikat eftersom jag fantiserar att största delen av världens accessnät baserar sig på nån form av PVLAN och industrin producerar såna burkar på löpande band.

Johanh
Medlem
# Skrivet: 21 Feb 2015 12:31
Svara 


Tror inte lagstiftningen säger något om tekniken. Jag antar att det är allmänt accepterat bland t.ex. operatörer att PVLAN är "tillräckligt" säkert.

Vi har ju nyss i banktråden stött och blött om att bankerna inte har tillräcklig säkerhet, även om där finns säkerhetsluckor. Det tycks ändå vara godkänt och accepterat av lagstiftning.

Sen är det en annan sak vad man som nätbyggare anser är säkert och med vilken teknik man kan bygga utan att det blir för dyrt.

Jag säger ingenting om de påstådda riskerna med PVLAN, det har jag inte tillräckligt expertis till. Men nog tycker jag att det som vi diskuterat i hela denna långa tråd ledde fram till det att helt egna subnät för kunderna och routing i accesswitchen ger ett antal fördelar. Och det har ju konstaterats fungera åtminstone i ett byanät.

Man måste ju se på proportionerna också, hur stora säkerhetsrisker, vad kostar det m.m. Även om det finns vissa påstådda risker med PVLAN, så kan det ju hända att man inte tas på allvar om man springer in till nätleverantörer och ropar att "vargen är lös". Så kontakta inte pressen ännu, Guje...

Guje
Medlem
# Skrivet: 21 Feb 2015 12:41
Svara 


Så vi backar då? MarkusI av samma åsikt? Inte så allvarligt menat, sa nu bara, eller...?

Guje
Medlem
# Skrivet: 21 Feb 2015 12:57 - Editerad av: Guje
Svara 


Aj, du visste inte att det finns lagstiftning kring dom här sakerna.

3 §
Kundanslutningarnas informationssäkerhet
Ett teleföretag ska skilja kundanslutningarnas trafik från varandra så att
användarna av de olika kundanslutningarna inte obehörigt kan följa med
varandras trafik. Teleföretaget ska säkerställa att det inte är möjligt att
obehörigen omdirigera trafik mellan anslutningarna.

Oberoende av vad som bestäms i 1 mom. kan teleföretaget tillhandahålla
okrypterade WLAN-förbindelser utan att skilja trafiken i radiogränssnittet.


https://www.viestintavirasto.fi/attachments/maaray kset/Viestintavirasto13B2011M_SV.pdf


Sen finns där lite tekniksa direktiv om hur man kunde lösa saken. Men, skall man säkerställa, så skall man. Och då tar man nog MarkusI på allvar.

Johanh
Medlem
# Skrivet: 21 Feb 2015 15:34
Svara 


Men jösses Guje. Det är klart jag vet att det finns lagstiftning, vi har diskuterat det många gånger i detta forum. Men jag kan väl inte ha advokater att granska varje av mina inlägg för att du inte ska hänga upp dig på varje formulering. Det jag menade var att lagstiftningen inte specificerar exakt detaljer på tekniknivå. Inte står det väl där att det skall vara just PVLAN eller skilda subnät osv på kundanslutningen.

Men det är en intressant frågeställning. När är kundanslutningarna åtskiljda så att de inte obehörigt kan följa varandras trafik? Vi har tolkat det så att om man har skilda subnät, så omöjliggörs avlyssning på layer 2 och man är definitivt på den säkra sidan då det gäller lagstiftningen.

Men det finns två frågeställningar nu. För det första, är PVLAN osäkrare än skilda subnät? Det får Markus själv motivera, så långt räcker inte mina kunskaper. För det andra, bryter det mot lagen i så fall? Jag tror inte Markus nämnde den saken alls, det var ju du Guje som lyfte fram det. Vem som skall avgöra den frågan kan jag inte ta ställning till. Jag har inget intresse av att börja hävda att nätoperatörer bryter mot lagen. Men, rent hypotetiskt, så är det möjligt att det finns sådana som bryter mot lagen. Kommunikationsverket själv säger ju i dokumentet där man beskriver open access-lösningar (som vi tidigare diskuterat i detta forum), att lösningar på layer 2 inte är bra, utan man borde använda layer 3-lösningar.

MarkusI
Medlem
# Skrivet: 22 Feb 2015 12:26
Svara 


Guje, läs in dig själv i ämnet om det nu tar på så hårt, sluta vara jobbig. Du behöver inte gå nånstans och härja, ingen tvingar dig. Dethär är en objektiv syn på ärendet.

För sista gången:

Det finns endast en metod som säkerställer att ingen kund kan lura utrustningen, varje kund i sitt egna riktiga 802.1q VLAN (av-taggat mot kunden) och IP-subnät. Man får återanvända samma VLAN id men såklart inte på samma switch.

Enligt min uppfattning skall det då vara svårast att få switchen att flooda frames till alla portar (hoppas switchen håller sig till samma VLAN, vet inte med säkerhet hur olika switchar beteer sig) ifall MAC-tabellen blir full. MAC-begränsning per port bör dock användas för att skydda sig mot detta.

Det som jag är 100% säker på är att ARP-fuffens är 100% omöjligt mellan kunder ifall kunderna ligger på olika IP-subnät och VLAN. Är man på olika subnet så är man, routern ser till att trafiken går rätt och om routerns management interfarce och andra mekanismer (stp, ospf, rip, lldp, och andra motsvarande) är säkrade eller avstängda så kan kunden inte påverka dessa.

Med PVLAN och ett stort IP-subnet så är alla kunder på samma VLAN och på samma IP-subnät. Med filtrering skall då switchen inte tillåta kund-portar att alls diskutera sinsemellan men endast med router-porten. Router-porten får dock diskutera med alla kund-portar.

Resten får vara en övning för läsaren.

Guje
Medlem
# Skrivet: 22 Feb 2015 16:39 - Editerad av: Guje
Svara 


Ok, låt mig tala klarspråk.

I såna här forum brukar man ibland dunka varandra i huvet med bollträ. Det bara blir så ibland, och inget fel med det. I sak kan det ändå vara hur intressanta och kreativa diskussioner som helst. Men, här finns också gränser.

Det påhopp som Markus gör på Optowest är helt oacceptabelt då han säger att vi inte "kvalificerar" i viktiga säkerhetsfrågor. Alla vet vem Guje är och var jag finns. Jag sitter dessutom som ordförande i fiberandelslaget, med namn och allt på webben, så det är nog inget tvivel om vilket byanät han menar då han talar om "mitt" nät som inte kvalificerar i säkerhetsfrågan.

Den enda tekniska kvalifikation vi har att klara av är vad myndigheterna kräver av oss som nätoperatör. Vi är mycket noga med att till punkt och pricka uppfylla alla våra skyldigheter. Både mot andelslagsmedlemmar och myndigheter. Vilket vi också gör. Men Marcus påstår ändå att vi inte kvalificerar.

Vidare säger Markus att de hjälpmedel PVLAN säkras med "biter en i arslet när man minst anar det." Tills vidare löst prat även det.

Att Optowest på riktigt skulle använda PVLAN gissar han sig bara till. Utgående från den gissningen drar han alla sina slutsatser.

Även våra nära samarbetspartners får sig med sleven. De segrade i en offentlig upphandling med många konkurrenter och nu kallar Markus oss för "byanätsnissar som inte har koll på våra grejer".

Svadan utmynnar i ett upprop där vi andra uppmanas att använda en alldeles unik och suverän nätverkslösning som han själv utvecklat.


Johan, jag är väldigt glad att du i dina senaste inlägg inte längre stöder Markus lika intensivt som förr och ber honom själv förklara sig. För, precis som du, så förstår ju inte jag heller riktigt alla detaljer. Vilket ingen heller skall behöva göra. Frågan är om nån annan än bara Markus själv har koll på detaljerna?

Tillsammans med våra kumpaner kommer vi naturligtvis att granska de eventuella säkerhetsmissar Markus säger att vi har i vårt nät. Vana att jobba under ansvar, som vi är.

MarkusI
Medlem
# Skrivet: 22 Feb 2015 18:07
Svara 


Då måste jag be om ursäkt. Tyvärr förstår jag inte själv att jag skulle gjort ett påhopp. Jag måste också kommentera att du, Guje, kunde vara lite artigare i din argumentation.

Jag skall då också försöka vara klarspråkig:

Din kommentar, Guje:

Då finns det åtminstone två byanät med hushållen på olika L2...

Min kommentar till detta:

...Ditt PVLAN-nät kvalificerar inte...

För att enligt hur du beskrev att du tog bort L2-låset och såg mitt i allt andras MAC-adresser, så kan detta inte stämma. Därför sade jag att ditt nät inte kvalificerade. Det kan vara att jag inte vet vad kvalificera betyder, modersmål är inte mitt starkaste ämne. Dock så var jag väldigt specifik angående vad detta gällde. Andra säkerhetsaspekter var inte på tapeten.

Hjälpmedlena till PVLAN är att hårdkoda MAC och ARP-inlägg, vilket jag inte ser som någon vettig lösning alls. Om man gör det så märker man en vacker dag att det var en mycket jobbig lösning.

Det är inte riktigt raketfysik dethär, åtminstone för mig, det finns inte just annat än PVLAN (eller vad som nu tillverkarn kallar det) som beter sig som beskrivet. Dessutom så har jag aldrig nämnt någon samarbetspartner. Dom kan säkert sin sak och PVLAN används i stor grad, som i min åsikt är lite suboptimalt. Jag har sett hjälpmedlena bli problem på den anslutning jag sitter på, jag får ibland ringa och be operatörn boota om sin utrustning för att få min trafik och inte någon grannes att komma igenom... Ja, jag har sett trafik avsedd till någon annan.

Den lösning jag rekommenderar är inte alls unik och jag har inte uppfunnit eller utväcklat något alls. Jag råkar bara ha en viss erfarenhet av IP-nät. Operatörerna tillämpar det på företagskunder som ber om att få fasta ip-adresser blandannat, varför skall då konsumenter få sämre säkerhet?

IP-ruttning är inget nytt, IPv4 uppfanns på 80-talet.

Återigen, ursäkta Guje, men var du också snäll och tona ner dina inlägg.

Guje
Medlem
# Skrivet: 22 Feb 2015 22:29
Svara 


Vädurar är varken snälla eller artiga, dom är bara trevliga ångvältsförare. På vägen genom livet plattas en del till, andra inte.


Säkerhetsmässigt kvalificerar PVLAN alldeles gott överallt i hela värden, så därför är det nog OK för Optowest att hålla sig med PVLAN. Om vi så önskar.

Men, att knycka ut meningar ur sitt sammanhang, ta på sig Sherlock-Holmes-mössan, placera in ett PVLAN hos Optowest och påstå att just vårt PVLAN inte kvalificerar säkerhetsmässigt, är ett första gradens påhopp! Så nu vet du det, Markus.

Noterar med glädje att du faktiskt själv också kommit till insikt att PVLAN sen också kvalificerar. Nu, när du säger att säkerheten är "lite suboptimal" kan vi säkert alla hålla med.

Om du säger att det plötsligt kniper till i aktern, så menar du egentligen den triviala, väl kända och odugliga lösningen för PVLAN att hårdkoda MAC-adresserna. Så nu vet vi det.

På en punkt hade jag nog missförstått saken grundligt. Du säger att den lösning du rekommenderar inte alls är unik och att du inte har uppfunnit eller utvecklat något alls. Så, egentligen talar vi om en helt vanlig och välkänd nätteknik. Vilket alltid är en fördel, med tanke på underhåll och sånt där.

I stället blir jag nu nyfiken på vad det du och Johan egentligen bjöd åt tholm som skrev:

"Vi bad i Maxmo och Oravais Johan och Markus att hjälpa till att bygga upp vårt fibernät.
Fastnade lite för att 'såhär har inte så många andra gjort (kanske de tom sa ingen annan...' och 'alla problem som kunderna förorsakar stannar hos kunderna själva'. Så vi började på. Blev lite tröttsamt att skriva alla ip interface och dhcp subnät deklarationer."


Det måste väl ha varit nåt unikt och suveränt?

MarkusI
Medlem
# Skrivet: 23 Feb 2015 09:30
Svara 


Låt mig fortsätta att vara klarspråkig.

Min kommentar i sin helhet:

Guje: PVLAN är samma L2-broadcast domän. Ditt PVLAN-nät kvalificerar inte. Operatörernas konsument-nät kvalificerar inte heller. PVLAN är inte 100% vattentätt utan hårdkodade MAC och ARP-tabeller. Dessutom finns det stor risk för att man gör en topologimiss med PVLAN och orsakar läckage på det viset...

Om jag inte lyckades kommunicera det redan så menade jag att ditt påstående om att det nät där du plockade bort L2-låset skulle ha kunderna på skillda L2 broadcast-domän är fel. Det är omöjligt. Om det skulle vara olika broadcast-domän skulle du inte ha kunnat se något annat än en routers och dina egna MAC-adresser.

Så för sista gången, jag hade redan sagt flera gånger att PVLAN är ett och samma broadcast-domän. Det som PVLAN gör är att den filtrerar bort ethernet frames som är påväg mellan kund-portar. Nej, PVLAN kvalificerar inte för att bilda nya broadcast-domän för varje kund-port.

När har jag dessutom sagt att Optowest skall behöva göra något alls, eller alls nämnt Optowest till namn innan denna post efter att jag lärt mig det av dig i ditt stora utlåtande daterat 22 Feb 2015 16:39 enligt detta forums klocka? Säg mig det.

Om jag blir frågad i framtiden om PVLAN så kommer jag att svara på samma sätt, PVLAN är en billigare och sämre variant av skillda L2 och L3-nät. Orsaken till varför det är så populärt är att det sparar på IP-adresser. Min fråga lyder fortfarande: Varför skall konsumenter inte få samma säkerhetsnivå som företagskunder?

Fördelarna med att ha kunderna på olika VLAN:s (avtaggade mot kunden) och på skillda L3-subnät (jag vet inte om andra konsument-kunder som behandlas såhär) är att ifall en kund orsakar en loop så stannar loopen i kundens VLAN. Om switchen och routern (gärna egenskaper i en och samma apparat) har tillräckligt med CPU-kraft eller andra egenskaper så kommer detta alltså inte att störa någon annan än denna ena kund. Andra fördelar är den att ethernet-frames förmedlas inte mellan kunder alls utan allt sker genom IP-ruttning. Om routern är vettig så ser den till att man inte kan göra source-spoofing. Det är också alltså omöjligt att se andra kunders MAC-adresser samt ARP-anrop i ett sånthär nät.

Ingen unik teknologi, ingen unik konfiguration utan endast unikt att konsumenter behandlas på samma sätt som företagskunder.

Guje
Medlem
# Skrivet: 23 Feb 2015 13:17 - Editerad av: Guje
Svara 


Vad jag skrev i någon annan tid i ett annat sammanhang skall man nog inte ta så bokstavligt i denna tråd. Där - men inte här, alltså. Vad syns månntro i ett oskyddat nät utan L2-skydd och UTAN pvlan? Jo grannarnas MAC-adresser och sannolikt deras trafik. Vad syns månntro om jag bryggar/tunnlar/pluggar in mig i routerns broadcasting domain? Sannolikt grannarnas trafik. Så dra inga slutsatser alls om vad näten innehåller innan ni på riktigt kollat vad där finns.

MarkusI skrev till Guje:PVLAN är samma L2-broadcast domän. Ditt PVLAN-nät kvalificerar inte. Operatörernas konsument-nät kvalificerar inte heller. PVLAN är inte 100% vattentätt utan hårdkodade MAC och ARP-tabeller. Dessutom finns det stor risk för att man gör en topologimiss med PVLAN och orsakar läckage på det viset...

Idag skriver du: "Om jag blir frågad i framtiden om PVLAN så kommer jag att svara på samma sätt, PVLAN är en billigare och sämre variant av skillda L2 och L3-nät."
eller som du sa det igår: PVLAN är en "lite suboptimal" lösning.

Mot bakgrunden av hittills förd diskussion låter ditt resonemang följdriktigt, om än inte alldeles konsekvent.

Trots att du nu trollar bort säkerhetsrisken med PVLAN vill jag nog ändå kolla upp saken. För, om det är som du säger att vi har PVLAN i bruk med de hotbilder du först nämnde, är det klart man vill se om sitt hus.


MarcusI, Du talar också om en riskfylld PVLAN topologimiss. Är det den att port-isoleringen gäller bara inom den aktuella switchen och inte i andra anslutna switchar?

MarkusI
Medlem
# Skrivet: 23 Feb 2015 13:33
Svara 


Om routern skickar ut ARP WHO HAS så far det ju åt alla på samma broadcast-domän och också åt alla som ligger i samma PVLAN-isolationsgrupp, då kan vem som helst svara "Jag!" och den som är först vinner. Lite suboptimalt i min åsikt och jag skulle inte vara så glad ifall min egna router effektivt blir utlåst från nätet. Ett roligt test skulle vara att förbereda popcorn och sen slå på Proxy-ARP på en mycket snabb kund-router.

Topologimissen jag nämnde är just den att man inte kopplar en router direkt på router-porten utan istället switchar ihop flera switchar ovanför den. Det lär finnas apparater som kan göra distribuerad PVLAN men det verkar inte alls vanligt.

<< . 1 . 2 . 3 . 4 . >>
Ditt svar
Bold Style  Italic Style  Underlined Style  Image Link  URL Link     :) ;) :-p :-( :up: :down: :talk: :confused :cool: :sealed: :noway: ... Använd inte smilies

Kill your darlings


» Namn  » Lösenord 
Only registered users can post here. Enter your login/password correctly before posting a message, or register first.