Det ultimata byanätet - Finlandssvenskt fiberforum (4)
Bredbandsgruppen  
Forum RSS feed    Forum - Svara - Statistik - Registrering - Sök -

Finlandssvenskt fiberforum / Byanät / Det ultimata byanätet
<< . 1 . 2 . 3 . 4 .
Författare Meddelande
Guje
Medlem
# Skrivet: 23 Feb 2015 23:36
Svara 


Vi kommer nog att göra en del PEN-test har jag på känn. Vad det blir får vi se när detaljerna är kända.

Dagens utrustningar har så mycket inställningar och finesser att man som köpare inte har en chans att lägga in sig i allt på förhand. Jo, jag vet att man kan läsa in sig och testa fram en del för det "ultimata byanätet", men i själva upphandlingen är det så mycket mer som kommer in. I all synnerhet för oss som bygger fibernät med stödpengar och måste göra offentliga upphandlingar.

I slutändan är det den som har högsta poäng som vinner och den teknik man hamnar ut för är det bara att ta emot. Visst kan man vikta olika egenskaper och säga vad man vill ha, men några produktnamn kan man t.ex. inte bestämma sig för på förhand. Eller nån exakt spikad konfiguration. Kommer nån budgivare fram med en motsvarande lösning är det bara att ta den med och fördela poängen enligt ett på förhand uppgjort schema.

Ni skulle bara veta hur konkurrenterna nagelfar poänggivningen då loppet är kört. Speciellt de som förlorade. Finns där nån liten källa till klagomål kan ni ge er tusan på att det kommer in en protest och då står byggprojektet i månader.

Därför är jag inte heller alltför väl påläst och insatt i detaljerna på vad vi sist och slutligen har i vårt nät. Det enda jag vet är att det "ser ju bra ut". Och funkar gör det också. Installationen skulle förstås ingå i leveransen vilket betyder att ansvaret ligger på leverantören att det funkar enligt spexen.

Om jag är nöjd? Jovisst för tusan. Slutresultatet blev bra. De som vann var de som var intresserade av oss som kund. Och tekniken då? Tja, leverantören är viktigare. Tekniskt sett funkar det ju så gott som alltid.

Så småningom börjar vi ha tid för PEN-tester och sånt. Skummade igenom handböckerna härom dagen och märkte att nog finns där allt tusan för all världens ARP-MAC-VLAN-DHCP-L3-IP-spoofar skall jag säga er.

Och PVLAN och Assymetric VLAN och 802.1Q i potens. Det ni!

Nästa steg blir att försöka glänta lite på luckorna och titta in. Kanske förbereda popcorn, vem vet?

I alla fall ser jag fram emot att stöta och blöta eventuella detaljer här i forum.

MarkusI
Medlem
# Skrivet: 24 Feb 2015 11:19 - Editerad av: MarkusI
Svara 


Skummade igenom handböckerna härom dagen och märkte att nog finns där allt tusan för all världens ARP-MAC-VLAN-DHCP-L3-IP-spoofar skall jag säga er.

Jo, och det är här jag sen kommer in och gör reklam för L3-lösningen. Visst finns det en massa magi i handböckerna? L3-lösningen blir i slutändan mycket enklare, i min åsikt. Ingen ARP-inspection, DHCP-snooping eller IP Source Guard bland annat krävs...

Access-utrustningen behöver stöda dessa saker för att möjliggöra L3-lösningen:
- MAC-adress antal begränsning per port
- 802.1q VLAN
- IPv4 ruttning
- tillräckligt med IP-interfaces, en per kund och minst en uplink
- tillräcklig mängd rutter
- DHCP-relay
- L4 ACL

Ruttningen måste då gå att konfigurera så att source-spoofing inte lyckas (standard på de flesta ruttrar) och det, tillsammans med MAC-begränsning, är typ enda spoofing -skyddet som behövs. Det vackra är att IP-adresserna endast kan finnas på en kund-port, så ingen DHCP-loggning behövs. Kunden behöver inte helst använda DHCP om denne inte av någon anledning vill. Om nätet har CGN och någon vil ha en publik IP så brukar jag rekommendera att exkludera en adress från subnätets DHCP-pool istället för att be kunden anmäla en MAC-adress.

IPv6-scenariot kräver mycket mera av routern för att göra det användbart, Prefix Delegation är mer specifikt det som krävs. IPTV kräver också lite mera features, man vill ju inte ha alla kunders IPTV-lådor igen på samma L2. Så därför behövs en egenskap som bland annat kallas till MVR. Poängen är alltså att access-apparaten ska agera proxy mellan kundens VLAN och Multicast-VLAN:et. Multicast routing skulle ju vara bästa alternativet men det kostar en liiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiten aning. Multicast IPTV är kämpigt, kör Unicast istället, det finns bandbredd.

Dynamiska ruttningprotokoll kan vara bra att ha, OSPF mer specifikt, men man klarar sig helt bra utan. Det kan bli en del att knacka in, beroende på topologin. Oftast gör man det bara en gång och med små inkrement varefter nätet växer.

Jag tycker detta är mycket mera logiskt och enklare att kunna begripa än all magi som krävs för att göra ett stycke delat broadcast-domän "säkert". Tietoturva, på finska, går inte endast ut på att spärra utan att också göra lösningen användbar.

Edit:
- Behävs -> Behövs i IPTV-stycket

Guje
Medlem
# Skrivet: 24 Feb 2015 17:11
Svara 


Du säger att det kan bli en del att knacka in, beroende på topologin.

Arbetskraft är dyrt, liksom timmar för underhåll. Hur klarar man av att ta hem affären om konkurrenterna kör förbi på slutrakan? Priset brukar vara viktat till 80%. Resten av poängen går till teknik, betalningsarrangemang, möjlighet till serviceavtal, beredskapstider mm.mm. Jag vill lite påstå att två tekniker som båda uppfyller grundfunktionerna i nätet inte kan ges olika poäng. Man kan eventuellt poängsätta säkerhetenstekniken, men någon avgörande roll tror jag den inte kan få. Betalnigstiden kan t.ex. vara lika viktig eftersom kassaflödet är A&O i ett nystartat byanät.

Hur kommer man alltså till skott med den bästa tekniska lösningen när andra faktorer har större betydelse?
Och, följande steg - vad gör man när man INTE får den teknik man själv tycker att skulle vara de bästa. Kastar in handskarna?

Installationspriset är alltid en engångssatsning. Säger man att man "satsar ordentligt" på att få det rätt på en gång blir det dyrare (=mindre poäng) än för dem som presenterar en snabbkonfigurerad lösning.

Guje
Medlem
# Skrivet: 24 Feb 2015 18:48 - Editerad av: Guje
Svara 


På tal om IPv6. Vad tycker ni om att det ökända ARP-hålet inte täpptes till trots att dom nu hade haft chansen. Samma ARP-spoofing som i IPv4 finns kvar i IPv6. Jag antar det finns nån som behöver en bakdörr...

MarkusI
Medlem
# Skrivet: 24 Feb 2015 18:49
Svara 


Det beror somsagt på topologin. Har man ruttrar med många hierarkiskt likvärdiga grannar så får man knacka in mera. Om man offrar lite av "kortaste vägen" -tankesättet så får man mindre att knappra in men då belastar man nätet på ett helt annat sätt också. Allt beror på belastningens natur. Det går också oftast att ta en config ur en annan switch och ändra innehållet, så efter att man har ett fungerande templat, som med alla lösningnar, så går det rätt kvickt. Stor risk för learning by doing.

Här kommer dock dynamiska ruttningsprotokollen in, speciellt OSPF. I sin enkelhet så slår man på det med ett kommando och sen med några till så berättar man vart och vad switchen ska göra reklam om. På enklare svenska så funkar det alltså så att switcharna berättar åt varandra vilka nät dom känner till. Man kan också bygga ring eller mesh-nät med hjälp av OSPF, mycket behändigt då OSPF is sig självt fixar route-loop scenarion och räknar ut kortaste vägen med basis på varifrån och vart paket är påväg. OSPF kostar men likaså kostar arbetstrimmar. Uppehållet är minimalt, typ köra in firmware när det kommer nytt, går alltså under klausulen 'Har du en apparat ska du hålla den uppdaterad'.

Billigaste alternativet jag kommit på hittills, med en liten nackdel, är valfri L2-fiberswitch med en Ubiquiti EdgeRouter Lite. Nackdelen är den att loopar t.ex. går genom switchen upp till routern, det är en potentiell risk att någon spinner loss och sänker hela switchen. Risken för att hela switchen vinkar är mindre ifall ruttningen sker i switchen. Jag har hittills inte konfigurerat flera än tre subnät på en ERLite-3:a men dom ska nog klara av typ 24 stycken, det finns i alla fall ingen artificiell begränsning och minne har dom rätt bra med.

Någon av stora pojkarna i någon större sandlåda sade en gång att HP-switchar är lika bra på nät som en tvättmaskin. I min egna erfarenhet så är det inget fel på HP. Däremot, i min erfarenhet, om man vill undvika uppehållstimmar så skall man undvika D-Link som pesten... Inte roligt att se en hel större miljö stanna upp ett tag tack vare att man gör konfigurationsändringar.

Som jag nångång sagt så är det enklast ifall man har byyssbooar som kan något eller är villiga att lära sig. För mig exempelvis så är det skåpmat:

tholm kan kanske berätta mera om hans upplevelse, om hur det var att konfigurera subnätena och lära sig ruttning...

MarkusI
Medlem
# Skrivet: 24 Feb 2015 19:16
Svara 


På tal om IPv6. Vad tycker ni om att det ökända ARP-hålet inte täpptes till trots att dom nu hade haft chansen. Samma ARP-spoofing som i IPv4 finns kvar i IPv6. Jag antar det finns nån som behöver en bakdörr...

Gå du Guje och fråga IETF varför det gick så, så fixar jag popcorn under tiden.

Tur nog så finns det så mycket IPv6-adresser att fås så man inte behöver spara på dem, PVLAN (och tillverkar-specifika varianter) behövs alltså inte. Jag har för mig att sannolikheten att IP ersätts är större än att adresserna tar slut.

tholm
Medlem
# Skrivet: 24 Feb 2015 22:08
Svara 


Guie undrar:
Det måste väl ha varit nåt unikt och suveränt?

Unikt: Av de fibernät jag tittat på har ingen gått in för denna lösning. De är ju inte så många förstås...
Suveränt: Har inte haft stött på något problem, med själva nätverket.

Vid ibruktagning av ipsec vpn kom jag fram till att man måste skapa kontakten inifrån vårt nät ut till en officiell ip (pga 1:1 NAT på den officiella ip:n i vårt nät som ipsec inte tyckte om, och kanske pga mina vaga kunskaper att konfigurera ipsec via nat) Enklare då med pptp vpn där är det inget problem...

Sen att konfigurera nät med skilda subnät åt varje kund.
Skall man göra det effektivt behöver man hjälpmedel. Antingen ett för ändamålet skrivet program, eller det näst bästa, Excel/Calc.Då är det ingen stor sak att fixa 24 subnät+VLan i en switch, med tillhörande dhcp konfig för routern.

Nu har vi ju inte så många apparater i nätet, så underhållet av rutter går relativt enkelt.
Lite fick jag fråga och fundera i början innan jag fick ruttningen på klart. Då min erfarenhet av nätverkstopologi mest bestod av att datorn behöver en ip och en gateway för att få igång nätet...
Trodde i början det skulle vara mera invecklat än det sist och slutligen är.
Mest frågetecken kom, och kommer, kring ACL, som är specifikt för varje tillverkare av nätverksutrustning.

Guje
Medlem
# Skrivet: 24 Feb 2015 22:33
Svara 


Jo, Markus, int för att jag menar någo, säger nu bara...

Jag har många vänner som tycker om både hp d-link. Jag har aldrig hört dem tala om varken sina "HP tvättmaskiner" eller "håltimmarna med D-Link". Och har dom hört om eller själva haft sådana erfarenheter så förstår dom åtminstone att lämna bort halmgubbarna och tomteluvorna i sin kritik. Folkvett som dom har.

Du talar nedlåtande om mina vänner och deras älsklingsvärldar. Sånt tar ont i själen att höra. ...kan du sila snacket själv, eller behöver du hjälp?

Guje
Medlem
# Skrivet: 24 Feb 2015 23:01
Svara 


tholm, ni är lyckans ostar som har fått ihop ett sånt fint nät. Tur att ni har folk som både är kunniga och hjälpsamma. Markus och Johans insatser är guld värda!

Vi siktade också lite på samma lösningar men upphandlingen stökade förstås till det lite. Ficoras stödregler ökade onödigt mycket på antal centraler så vi kör idag med hela 6 stycken på bara 250 anslutningar.

Vår tur var att få tillräckligt med offentliga IP:n av vår nära samarbetspartner Karis Telefon, så vi slipper NAT:en och eventuella problem med den. Vi är på samma våglängd, vilket jag förstått att andra byanät inte alltid är med lokalbolaget.

Största problemet har varit de långa elavbrotten och åskan som tog 3 upsar i somras. Men, vi har 6 timmars upsar på kommande. 3 timmar var för lite.

Eftersom andra också märkt av vårt snabba nät har fildelningen blivit populär. Å andra sidan, spelar ingen roll då flaskhalarna ligger nån annan stans.

Oroande är PC:n inne i vårt nät som blivit kapade och DOS:ar bl.a. maskiner i Ryssland. Spoofade SYN-attacker är knepiga att stoppa då man inte alltid kan vara säker på vilken IP som egentligen stör.

MarkusI
Medlem
# Skrivet: 24 Feb 2015 23:25
Svara 


Läs min post pånytt Guje... Eller ska jag vara rädd att kontot ryker (säger nu bara...) ?

Som jag sade, i min erfarenhet. Jag köper inte D-Link, nån annan kan dock ha bättre tur med dem. HP har jag tyckt om, fastän stora pojkarna var av den åsikten att de inte är värda något alls.

HP har varit helt trevlig tillverkare förutom inköpta 3COM-släktingarna som är knepigare än allt annat jag sett på marknaden (delad första plats i knepighet med Dell-rebranded D-Link). E-serien har jag mycket goda erfarenheter av (stackbara och chassis, jämn kvalitet) medans jag inte hunnit använda A-serien knappt alls. H3C-baserade A-serien är lite rolig, nånting mellan E-serien och Cisco, svårt att blanda de två dialekterna för att komma till rätt. Synd bara att det inte finns förmånliga HP-fiberswitchar...

Det är svårt att rekommendera alternativ man sett skita ner en passligt stor miljö, sådär på tal om uppehållstimmarna. Det som hände var att lådorna mitt i allt inte orkade räkna STP-topologin mera och så gjorde dom just det som STP ska göra, jo dom stängde av alla portar en stund. Ouch. Vi bytte switchar ett tag senare i den miljön för att kunna göra vårt jobb på dagtid, som vi var vana med.

Så, det löns nog att satsa lite mera pengar än minsta möjliga summan. Vettja D-Link:s nya chassis-apparater har tillräckligt med CPU-kraft, men jag kommer inte att köpa för att reda ut det.

Guje
Medlem
# Skrivet: 24 Feb 2015 23:35
Svara 


Nåja MarkusI, jag visste att du kan!

Guje
Medlem
# Skrivet: 28 Feb 2015 12:40
Svara 


MarkusI: "Så, det löns nog att satsa lite mera pengar än minsta möjliga summan."

Däri ligger det största hindret för det tekniskt bästa Ultima Byanätet. Den som bygger med offentliga stödpengar, som man i regel gör på glesbygden, så kan helt enkelt inte köpa en lösning "som kostar lite mer men som samtidigt är tekniskt bättre". I praktiken funkar det inte så. Det är den lösning som ger den bästa POÄNGSUMMAN som måste väljas. I annat fall hamnar man i maknadsdomstolen.

Nån här som har synpunker på den saken också? Kan t.ex. MarkusI motivera var lönsamheten att köpa dyrt ligger? Man kan väl inte betala för Nice-To-Have-grejer heller.

Själv är jag definitivt för en nätlösning som ger den bästa HELHETEN för byborna, vilket inte alltid måste vara den tekniskt bästa lösningen. Eller, som man förr i tiden sa: "Mersun är bäst men en Lada för också från punkt A till punkt B". För oss nördar har detta alltid varit en svår bit att svälja.

<< . 1 . 2 . 3 . 4 .
Ditt svar
Bold Style  Italic Style  Underlined Style  Image Link  URL Link     :) ;) :-p :-( :up: :down: :talk: :confused :cool: :sealed: :noway: ... Använd inte smilies

Kill your darlings


» Namn  » Lösenord 
Only registered users can post here. Enter your login/password correctly before posting a message, or register first.