Dividindo a Rede com VLAN

Boa Noite Galera td bem?

Minha rede é toda em bridge 70% dos clientes já estão em pppoe, 25% em ip estatico e 5% em dhcp.

O objetivo é deixa-la totalmente em pppoe, porém é a tal da coisa que não é do dia pra noite.

Na minha rb principal (pppoe e dhcp), quando clica em torch, aparece ips da rede estatica. 192.168.10.0/24.

Pensei em fazer uma vlan da rb da torre (onde tudo passa por ela) até a rb da rede estatica. Em tese eu isolaria a rede estatica das outras. Resolvendo grande parte do meu problema.

Não sei se deu pra entender. o QUe acham galera?

Em poko tempo vou ativar meu bgp.

Att

Mais qual seria o seu "problema" ? se usa PPPOE/Ip Estatico em 95% da rede esta "bem protegido" que usar somente Dhcp, Você pode fazer as Vlans da sua primeira a ultima rb o ideal mesmo seria reservar cada porta para um tronco da rede e usar port Isolate...
Sua rede é cabeada ou 100% Wireless ? Lembrando que sua vlan tem que ser encaminhada e pra isso precisa de Hardware para tal.
Estou no mesmo cenario que ti 70% PPPOE os outros 30% Dhcp (Apenas Pc), ainda não migrei pois to aguardando um discador personalizado para tal migração.

O meu problema é que quero eliminar o dhcp (já estou quase...) e como ta tudo ligado em um switch, quero isolar a rede estatica das outras rbs. (de fato quando escanear a rb do pppoe nao aparece ips estaticos).

Então eu criando uma vlan na rede (adress) 192.168.10.0/24 entre rb da torre principal e rb da rede 10, resolverá meu problema?

Minha rede é 95% wireless e 5% fibra. Tenho impressão que minha rede as vezes se perde. Ai quero isolar as redes até deixar 100% pppoe.

Obrigado pela contribuição amigo

Aew é bem fácil, só usar Port Isolate, lembrando que sua rede ppoe já não "ver" a sua rede de Ip Estático.
Se você usa adress diferente pra cada uma acabou o problema mesmo sem usar Vlan.
Ou Então criar um pppoe server né uma porta e rode o dhcp/ip Estático em outra usando address diferente exemplo 192.x/10.x...
Veja um pouco sobre o recurso.
https://under-linux.org/showthread.php?t=141962
Lembrando que só a linha de "Switchs" da Mikrotik tem o recurso.

Lembrando que diferentes faixas de IP em um mesmo domínio de broadcast somente separa a rede na L3, em L2 todos se batem da mesma forma.

Port Isolation é uma técnica que isola o tráfego entre portas, mais todas passam se batendo por uma porta de uplink e vão parar em algum lugar em comum lá na outra ponta. É muito bom na minha opinião quando utilizado no switch de acesso de clientes.

Da uma estudada em VLAN, se nas 2 pontas vc tiver dispositivos que suportem o padrão 802.1Q vc pode passar isoladamente mesmo em L2 multiplas redes em uma mesma interface usando tagging.

Quanto ao uso do wireless, vc pode passar tranquilamente sem nenhum ajuste pacotes tagged de qualquer VLAN por um enlace de rádio. A única ressalva é que se vc quiser configurar a interface de gerenciamento destes rádios em uma VLAN diferente de 1 (e tagged claro) vc precisa configurar o radio para aceitar a gerencia desta forma. (usando como exemplos rádios da Ubiquiti).

Difícil explicar sem visualizar o seu cenário, mais é um conceito muito simples de entender.

Citação:

---

Postado originalmente por marcioelias

A única ressalva é que se vc quiser configurar a interface de gerenciamento destes rádios em uma VLAN diferente de 1 (e tagged claro) vc precisa configurar o radio para aceitar a gerencia desta forma. (usando como exemplos rádios da Ubiquiti).

---

O melhor de usar Vlan é justamente usar a gerencia na vlan 1 (ou em outra se o equipamento permitir) e bloquear (via firewall) o acesso a ela a partir da rede dos clientes. Isso evita vários problemas.

Citação:

---

Postado originalmente por alexrock

O melhor de usar Vlan é justamente usar a gerencia na vlan 1 (ou em outra se o equipamento permitir) e bloquear (via firewall) o acesso a ela a partir da rede dos clientes. Isso evita vários problemas.

---

É isso que faço aqui, porém, a gerencia é uma rede privada isolada tanto em L2 (VLAN) quanto em L3 (subnetting), ou seja, mesmo sem firewall meus switches são naturalmente inacessíveis estando fora da minha rede de gerência (exceção de alguns equipamentos com IPs Públicos, para estes sim eu uso o firewall).

E para acesso externo sem exceções ou direcionamentos de portas, somente conectando a uma VPN que me coloca "dentro" dessa rede de gerência.

Citação:

---

Postado originalmente por marcioelias

É isso que faço aqui, porém, a gerencia é uma rede privada isolada tanto em L2 (VLAN) quanto em L3 (subnetting), ou seja, mesmo sem firewall meus switches são naturalmente inacessíveis estando fora da minha rede de gerência (exceção de alguns equipamentos com IPs Públicos, para estes sim eu uso o firewall).

E para acesso externo sem exceções ou direcionamentos de portas, somente conectando a uma VPN que me coloca "dentro" dessa rede de gerência.

---

Muito bom marcioelias! Sua rede está muito bem segmentada. Está no mesmo padrão utilizando pelas Operadoras aí a fora.
Um ótimo exemplo para os demais provedores adotarem na rede. Mas pena que uma grande parte de empresas e redes de provedores de serviço não acabam não adotando essas melhores práticas. Otimiza é muito a segurança da rede e o aproveitamento do tráfego uma vez que o tráfego desnecessário originado por diversas fontes será contido e isolado em cada VLAN e não será propagado mais nos links de transporte entre os Pops ou nos links de acesso dos clientes. Por curiosidade alguém já fez a conta de quanto de em volume de tráfego isso economiza seja nos fluxos de comunicação AP<->Estação(CPE), Rb<->AP(PE) e nos PtPs?

Boa Noite Pessoal td bem? estava na correria e não consegui responder antes, Vou fazer o mapa da minha rede, creio que minha rede esteja perdendo bastante performance por estar em bridge, recomendam algun switch em especial ? Obrigado a todos

Citação:

---

Postado originalmente por benerofonte

Se sair da Bridge e ir para PPPoE com autenticacao na central e VLAN vai dar no mesmo. O certo é rotear.


O DHCP tem melhor perfomance que o PPPoE - pelo menos o dobro. É claro em rede roteada. PPPoE traz mais problemas que solucoes.

---

Não sei de onde você retirou essas informações, e não concordo com elas.

Sair de bridge e fazer PPPoE já isola o cliente por si em um túnel até seu concentrador.
Fazer uma VLAN para que o PPPoE do cliente tenha um caminho até o concentrador isola tanto o cliente pelo seu túnel PPPoE como faz com que ele seja separado do núcleo (core) da sua rede.

Eu reforço a tese de que o cliente NÃO deve ficar com seu equipamento misturado no núcleo da rede.
Se rotear todos os pontos da rede, OK..
Mas dizer que o "certo" é rotear.. isso não existe.
O certo é encontrar uma solução que resolva seu problema e atenda sua demanda.
Existem formas com boas práticas de se fazer uma rede.

300 clientes em bridge ou roteado? Cara... pouca diferença.
Mas um dia você terá 3000 clientes, vai esperar chegar nesse patamar para mudar?

Seja roteado, seja por VLAN, seja por VPLS, EoIP.... ISOLE os clientes.

E tem mais, DHCP é bom? Cara.. se tiver 1 cliente largando DHCP na rede já vai ferrar tudo.

Citação:

---

Postado originalmente por ManoDW

Boa Noite Pessoal td bem? estava na correria e não consegui responder antes, Vou fazer o mapa da minha rede, creio que minha rede esteja perdendo bastante performance por estar em bridge, recomendam algun switch em especial ? Obrigado a todos

---

Olá @ManoDW !
Recomendo o seguinte:

1-Use vlan em toda sua rede independente de métodos de autenticação que utilizar(pppoe, ipxmac, estático, dhcp e etc);

2-separe sua rede em duas. Uma sendo a rede de tráfego dos clientes e a outra sendo a rede de gerência;

3-Dentro do CIDR da rede de tráfego e da rede de gerência, faça o subnetting e atribua cada sub-rede para um pop/localidade geográfica da sua rede(bairro, torre, cidade e etc...). O prefixo de cada sub-rede pode variar da quantidade de clientes, equipamentos ou tamanho da cidade. Mas para provedores pequenos /23, /24, /25 em diante deve ser suficiente. Deixe sempre sub-redes periféricas reservadas para suportar expansão futura;

4-Atribua uma Vlan de gerência p/ cada localidade(ex: Vid 302, sorocaba rede de gerência O&M);

5-Atribua para cada cliente de internet um prefixo /30 e use autenticação PPPoE. Não use DHCP;

6-Para roteamento dos clientes use as melhores práticas para projetos de rede stub. Rota default quadri-zero no cliente apontando o default-gateway e rota estática no roteador ASBR conectado ao cliente. Para propagação das rotas para o núcleo da rede, use um IGP como OSPF multi ou single área com a redistribuição de rotas estáticas ativada. Isso será suficiente para o roteador de núcleo conectado a internet receber as rotas dos /30 dos seus clientes e rotear o tráfego para ele através da rede;

7-Para os links de transporte operando como backhaul na sua rede(rádios ubiquiti ou licenciados ou links entre switchs) ative o modo trunk utilizando o protocolo 802.1q para permitir o transporte de tráfego marcados com os VID de Vlans.

8-Portas de clientes o terminação de rede provendo serviços ativos sempre em modo acesso(sem marcação de tag de vLan );

9-Ativar o prunning mode(modo de corte) nas interfaces trunks. Isso irá evitar que o tráfego de vlans onde essas são desnecessárias;

10-Garanta que a rede de tráfego dos clientes não enxerguem via L2 as interfaces de gerenciamento dos seus dispositivos e equipamentos de rede;


11- Analise e decida seu sua rede de distribuição e núcleo irá trabalhar em L2(comutação) ou usando L3(roteamento). Minha opinião e que a inteligência L3 deve permanecer nas extremidades da rede(CPE) e core da rede. Nunca na camada de distribuição. Isso dá mais flexibilidade em ativar outros tipos de serviços e tecnologias como transporte TDM, CSOP, TDMoE, SDH, tributários E1, ISDN e etc.Coisas do tipo rede legada mas ainda em uso. DSL inclusive usando transporte metro ethernet seria uma possibilida(somente um exemplo);

12- Para BGP ativo, seja peering ou trânsito. Algumas regrinhas mudam. Mas nada demais.

Acho que é isso.
Essas são minhas considerações, mas claro, não refletem uma solução única e sim uma das opções. Outras soluções existem e também são corretas.

Espero ter ajudado.

regards

Rafael
Telmetrics Soluções em Ti & Telecomunicações

Que aula em @telmetrics kk.
Bom se PPPOE, fosse ruim ou Inviável a maioria das grandes teles não estaria usando, isso não significa que não exista algo melhor...
Vou contar minha experiencia de campo.
Rede 100% Bridge, So no Dhcp, Não conhecia vlan...
Todo santo dia tinha um "maluco" que não pegava o ip, seja por virus ou roteador fornecendo Dhcp na rede, vi o sistema de usar Vlans, comprei ate um Switch para tal, mais não acertei usar...
Resultado, fui migrando minha rede pra pppoe, Hoje 80% da minha rede tem roteador, o usuário não precisa discar e continuo com o PPPOE na wan do roteador e dhcp na lan do client, não tenho problemas de broadcast e Problemas em relação a cliente não pega ip (Ainda não uso Vlan, mais tenho equipamento para tal)...
Então é indispensável hoje né uma rede que ta sem Vlan, usar PPPOE, como os amigos citaram, o garoto prodígio tunela a conexão entre o Cliente e o Core, já é algo viável.
É bene, você pode não ter tido boas experiencia com PPPOE, mais ele não é lento e muito menos tem la isso de o dhcp ter o "dobro" de performance...
Outra coisa a analisar é que poucos programas de gerenciamento suporta o Dhcp "puro" como autenticação, no minimo um Hotspot...
Ja é outra dificuldade, o roteamento da minha rede e o uso de vlan ainda não começou pelo fato de não ter um link dedicado ainda e fazer uso de um balance por rotas (Adsl aqui é muito instável pra pcc), então preciso que o concentrador não teja mascarado para meu balance analisa os ips e dizer quem usa x conexão...
Mais meu dedicado chegando já vou partir para o roteamento :0

Citação:

---

Postado originalmente por stevefox

Que aula em @telmetrics kk.
Bom se PPPOE, fosse ruim ou Inviável a maioria das grandes teles não estaria usando, isso não significa que não exista algo melhor...
Vou contar minha experiencia de campo.
Rede 100% Bridge, So no Dhcp, Não conhecia vlan...
Todo santo dia tinha um "maluco" que não pegava o ip, seja por virus ou roteador fornecendo Dhcp na rede, vi o sistema de usar Vlans, comprei ate um Switch para tal, mais não acertei usar...
Resultado, fui migrando minha rede pra pppoe, Hoje 80% da minha rede tem roteador, o usuário não precisa discar e continuo com o PPPOE na wan do roteador e dhcp na lan do client, não tenho problemas de broadcast e Problemas em relação a cliente não pega ip (Ainda não uso Vlan, mais tenho equipamento para tal)...
Então é indispensável hoje né uma rede que ta sem Vlan, usar PPPOE, como os amigos citaram, o garoto prodígio tunela a conexão entre o Cliente e o Core, já é algo viável.
É bene, você pode não ter tido boas experiencia com PPPOE, mais ele não é lento e muito menos tem la isso de o dhcp ter o "dobro" de performance...
Outra coisa a analisar é que poucos programas de gerenciamento suporta o Dhcp "puro" como autenticação, no minimo um Hotspot...
Ja é outra dificuldade, o roteamento da minha rede e o uso de vlan ainda não começou pelo fato de não ter um link dedicado ainda e fazer uso de um balance por rotas (Adsl aqui é muito instável pra pcc), então preciso que o concentrador não teja mascarado para meu balance analisa os ips e dizer quem usa x conexão...
Mais meu dedicado chegando já vou partir para o roteamento :0

---

Vlew @stevefox
Apesar de ser novo aqui no fórum quero contribuir com minha experiência profissional em engenharia e projetos de redes para o pessoal que precisa. Já perdi as contas de quantas vezes precisei de ajuda e não aparecia ninguém pra dar uma mãozinha.

Mas entao o que achou do cenário da explicação? Sua rede poderia implantar algo assim? Bora arrumar sua rede stevefox

E espero que o cenário tenha sido útil pra galera. Bora ver quem vai implantar!

Regards

Rafael

Poder poderia, mais ficaria bem complicado, aqui o adsl é bem lixo, Não tem como usar pcc, então tenho 8 Gateways, Um concentrador sem Nat e por aew vai, Aguardo chega meu dedicado (15 dias), que aew fica melhor de trabalhar... Mais precisamos nos falar mais no Skype.
E o Cenário é show de bola, digno de uma grande Tele.

Citação:

---

Postado originalmente por stevefox

Poder poderia, mais ficaria bem complicado, aqui o adsl é bem lixo, Não tem como usar pcc, então tenho 8 Gateways, Um concentrador sem Nat e por aew vai, Aguardo chega meu dedicado (15 dias), que aew fica melhor de trabalhar... Mais precisamos nos falar mais no Skype.
E o Cenário é show de bola, digno de uma grande Tele.

---

Blz Steve. Então na sexta-feira a noite nos falamos no Skype. Te mando o horário por lá depois.