Boa tarde, Amigos.
O que é mais performático, usar um servidor central (Xeon 3.2 Hp) ou ter várias RouterBoards em cada torre, autenticando as conexões por setor?
Boa tarde, Amigos.
O que é mais performático, usar um servidor central (Xeon 3.2 Hp) ou ter várias RouterBoards em cada torre, autenticando as conexões por setor?
Aqui estamos usando também um servidor central e uma RB como concentrador em cada torre, porém estou com algumas ressalvas, como eu uso um MyAuth pra autenticação e as RBS como concentrador Radius, algumas coisas estão sem funcionar no sistema, por isso estou pensando em colocar as RBs em Bridge e por todos os clientes para simplesmente conectar no Servidor.
Começamos mal aqui. deixando tudo para o servidor central. E hoje mudar isso não está sendo fácil.
Ficando toda a rede em bridge o tráfego de broadcasting é muito alto, mesmo deixando todos os clientes com CPE roteada.
O ideal é deixar em cada torre.
Se o teu sistema não está trabalhando bem assim, solicita ajuda ao suporte dele. Você só tem a ganhar em não deixar em bridge.
Ja li algo sobre vlans, e no caso de autenticar tudo em um único servidor para evitar o broadcast, teria que cada cliente, usasse uma vlan, assim não teríamos broadcast e facilitaria em tudo, estou estudando isso para mudar aqui minha rede, que hoje autentica os clientes em cada torre, assim ficaria mais barato e diminuiria os custos também com equipamentos.
Desde que tenha um datacenter confiável com gerador e equipamentos que suportem a pressão pode usar um único concentrador sem nenhum problema, as novas CCR da Mikrotik suportam tranquilamente mais de 2mil conexões PPPoE desde que estejam num ambiente propicio para que não travem e falte alimentação...
Como o amigo Everton disse, se você tiver um ambiente que proporciona a centralização da maneira correta ok, porém na grande maioria dos casos rotear a rede e colocar a autenticação nas torres e usando RADIUS no seu datacenter seria a melhor opção.
Everton, não estou questionando seu ponto de vista, pelo contrário, quero chegar a um denominador comum.
Tenho lido e sinto na prática a respeito de uma rede com as RBs em bridge, mesmo utilizando CPEs roteadas nos clientes.
Em Bridge-> host de qualquer RB aparecem todas as CPEs dos clientes.
Isto não é prejudicial, independente da capacidade de processamento do servidor?
Nosso planejamento está indo na direção oposta do que está sendo proposto, ou seja vamos fazer o roteamento em cada torre.
Ou vamos perder tempo nesta alteração?
Olá.
Tanto utilizar um bom concentrador ou concentrar os clientes na torre são boas opções, não existe uma receita de bolo, a rede deve se adequar as suas necessidades.
O problema é a forma como o cliente chega até seu concentrador.
Utilizando concentrador na torre você faz com que o cliente se autentique bem próximo de se equipamento, provavelmente ele pegaria sinal de uma antena em bridge (Rocket M5) e iria para uma RB750. Seria então autenticado ali.
Boa solução? Boa. Funciona? Funciona!
Problemas? A RB750 de longe é uma RB parruda, não espere muito dela, ainda mais se usar NAT, ela então funcionará muito bem sabendo dos seus limites. Se crescer muito o POP terá que trocar por algo com maior capacidade de processamento (RB800, 1000, 1100, 1200). Se utilizar OSPF entregando IP real via radius e sua torre ficar sem energia ou então o link cair aqueles clientes que receberam IP real vão relogar e obter novos IPs, porém o radius não recebeu a indicação de que aqueles IPs foram liberados pela falta de comunicação com a RB e eles ficarão travados até o timeout.
Utilizando um único concentrador na empresa, ou mais de um.
Vai funcionar bem? Sim ou não.
Se você tiver uma rede toda em bridge, esquece. Não é legal, não funciona a contento.
Então qual a solução?
VLAN ou então VPLS.
Funciona bem com VLAN ou VPLS? Muito bem.
Dessa forma você cria túneis isolando seus clientes dos outros e trata dessa forma seus clientes separados em cada um desses túneis.
Tem uma palestra do último MUM Brasil que fala sobre MPLS/VPLS e ensina a fazer os túneis.
http://mum.mikrotik.com/presentations/BR13/braum.pdf
Se você tiver 10 torres e quiser ter 10 RB750 dentro do escritório através de VPLS, tranquilo.
Tem 10 torres e 2 RB1100Ahx2, tranquilo.
Tem 15 torres e tem uma CCR1036, tranquilo.
Fica maleável os clientes.
Utilizo aqui todas as torres com VPLS e vários concentradores na empresa.
Se um queimar eu só viro os clientes pra outro e sai funcionando.
Se chegar a capacidade máxima que eu estipulei para esse concentrador eu coloco mais um e redistribuo as torres entre eles.
Faz 1 VPLS para cada POP e leva até o servidor que você quer..
O MPLS/VPLS não consome quase nada de processamento então qualquer RB faz o serviço.
Se você usa só PPPoE pode ainda criar uma regra que somente aceite forward de pppoe-discovery e pppoe-session, e o resto, dropa.
Se cair a energia da cidade provavelmente seu datacenter vai ter mais carga para segurar o tempo necessário, e evita assim problemas com radius.
O que eu digo: Cliente não pode ficar no core de rede.
Seja concentrando na torre ou no datacenter, não deixe cliente por mais que seja PPPoE no core.
Att.
Klabundee, muito boa suas explicações.... vamos analisar...
Troque de sistema, esse myauth é uma bomba, todos os clientes que prestei consultoria viram que atraso de vida é esse sistema. O problema é o custo, mais se fosse vc usaria o vigo, ou IXC. Deixe a rede roteada, aqui uso OSPF, tenho mais de 20 concentradores 7 cidades. Posso garantir, nunca uma rede em bridge tera a performance de uma rede roteada!!
Outra possibilidade seria concentrador central e implantar ospf com rotas estáticas.
Sim, é possível.
Não entendi a parte do "nada volta".
Cache eu vejo 2 formas de usar.
Supondo que você tenha um Mikrotik de borda, uma CCR, uma 1100.. enfim...
1- Ligar ela em uma porta da borda e redirecionar tráfego. (Funciona com IPs reais, inválidos, com ou sem OSPF.. porque ele vai devolver o pacote para a borda e ela se encarrega de encaminhar de volta ao cliente, e ela sabe certo a rota até o cliente)
2- Ligar em bridge pura..
Ai tem um problema, quando eu usei dessa forma eu usava NAT e tinha a estrutura da seguinte forma:
Borda -> Cache -> Servidores (VPLS) -> Torres -> Clientes
Então o IP que navegava era o IP do servidor e o cache sabia a rota até ele porque pertencia a mesma faixa de IP.
Mas.. usando IP real com OSPF.. não sei como ele vai se comportar, se ele não souber a rota pro IP ou vai mandar errado ou vai pedir pra borda.. gerando tráfego desnecessário. Não sei dizer se ele entende esse cenário.
Solução: montar da seguinte forma:
Borda -> Cache -> Roteador -> Servidores (VPLS) -> Torres -> Clientes
Vai dar um salto a mais, só que dai tudo que vier de requisição vai ser entregue ao roteador.. e ele sabe onde fica.
so para botar lenha na fogueira o patrik lançou o plugin pppoe para o myauth 3 e diz que não precisa de concentradores que um bom servidor e o myauth com plugin ja resolve tudo e ai ?
pra que o mikrotik se o server faz tudo ?
www.tmsoft.com.br
Cada caso precisa ser analisado com cuidado para poder indicar a melhor solução, o que indico é não usar a rede em bridge vai logo de um negocio profissional e certo se optar por autenticar em cada pop é uma boa solução mais também pode autenticar tudo em um único concentrador eu particularmente prefiro centralizar tudo em um único servidor pois tenho melhor controle da rede e fácil monitoramento e fácil manutenção eu como já foi dito vai de OSPF,MPLS,VPLS.
Boa tarde, hoje em dia atendo muitos provedores, como se diz por ai: "Peguei o bonde adando"! Os provedores que atendo usam por enquanto a rede dos clientes em uma gigantesca bridge, por conta do suporte técnico anterior, mas posso afirmar que o povo aqui do fórum tem um medo de bridge que eu nunca vi. Bridges são boas caras, desde que bem configuradas e com uma administração centralizada funciona, mas como a maioria, eu tenho meus medos quanto a crescimento em bridges e por isso acabei desenvolvendo um modelo que usa concentrador PPPoE central com Vlan's preconfiguradas (em Linux) e Vlans nas bordas dos clientes, comecei a implementar em dois clientes e tem funcionado tão bem quanto a bridge. É claro, antes de sentarem o verbo aqui, bridge tem contras bem ruins, como por exemplo, condomínios (digo Prédios), onde pode ter espertinhos/leigos que fechem um loop, ai complica tudo, mas a gente esta ai pra isso, não é ? Meu esquema conta com um ou mais concentradores pppoe em linux (debian), bem passivos, recebem tudo do radius, como uso tudo opensource, o meu radius (freeradius) alimenta tudo que o cliente usará, tive que mexer no mysql (digo nas querys do freeradius) para que o pool de ips fosse bem distribuido e mais alguns probleminhas que os gringos não conhecem, e que só acontencem com a gente aqui (eu acho), meu esquema também tem todo um monitoramento (desenvolvi com o rrdtool) de clientes em um host especifico que coleta informações dos cliente e gera um página Web para que o suporte do provedor possa acompanhar na hora de lidar com os problema dos pagantes. Enfim gosto de deixar o mais simples possivel.
Abraços!