+ Responder ao Tópico



  1. #1

    Padrão Rede 100% bridge, como sair dela ?

    tenho 300 clientes ja a 2 anos, em uma rede 100% bridge, rb110ah x2 mandando net via cabo e nanos m5
    tenho nanos com 20 clientes uso ip fixo por isso tenho aguentado tanto tempo,mas agora chega quero colocar rbs onde tenho nanos com 20 clientes ex: rb1100ah x2...nano...rb450g...clientes
    mas nao sei que protocolos usar...
    alguém tem uma luz ?

  2. #2
    tecnico chefe Avatar de naldo864
    Ingresso
    May 2010
    Localização
    Carapicuíba, Brazil, Brazil
    Posts
    3.131
    Posts de Blog
    1

    Padrão Re: Rede 100% bridge, como sair dela ?

    estude ospf e bgp para implantar com segurança

  3. #3

    Padrão Re: Rede 100% bridge, como sair dela ?

    -obrigado Naldo
    vi que 54 pessoas virão ate agora mas só um respondeu então já sei que os 53 também estão 100% bridge...
    não sou só eu kkk...

  4. #4

    Padrão Re: Rede 100% bridge, como sair dela ?

    para aproveitar a transparencia... pode usar vlan..

    cada nano ap vc configurar ela como ROUTER, cria uma vlan na porta ethernet... cria uma bridge entre a WI-FI + a vlan que vc criou..

    e cria a vlan na sua rb1100ahx2 ... e autentica em cima da vlan.. fica tudo encapsulado na vlan...

  5. #5

    Padrão Re: Rede 100% bridge, como sair dela ?

    Estou estudando sobre isso também, MPLS+VLNS+OSPF, porém o eBGP acho que não vou usar.

    Naldo, qual seria a vantagem da implantação do BPG meu querido

  6. #6
    tecnico chefe Avatar de naldo864
    Ingresso
    May 2010
    Localização
    Carapicuíba, Brazil, Brazil
    Posts
    3.131
    Posts de Blog
    1

    Padrão Re: Rede 100% bridge, como sair dela ?

    Ebgp e externo, ibgp e para rede interna.

  7. #7
    Patrocinador Avatar de edcomrocha
    Ingresso
    Aug 2007
    Localização
    São Paulo, Brazil, Brazil
    Posts
    834

    Padrão Re: Rede 100% bridge, como sair dela ?

    Entregamos para clientes corporativo aqui igual o Alexandre mencionou.

    Fica joia.

    Temos boa parte da rede em bridge tambem, mais ja estou estudando mudar da mesma forma que o Alexandre disse.

  8. #8

    Padrão Re: Rede 100% bridge, como sair dela ?

    Acredito que para vc entender melhor o OSPF, seria bom vc estudar sobre roteamento estático, depois partir para o dinamico(OSPF). De qualquer forma se quiser ir direto ao OSPF de uma olhadinhas nesse video.

  9. #9

    Padrão Re: Rede 100% bridge, como sair dela ?

    Tudo que vou falar abaixo, está focado nos princípios básicos de Segurança, Redundância e Escalabilidade.

    Sei que quer investir na rede e é bom, mas pela minha experiencia, não acredito que deveria começar dessa forma, pois no seu setup atual, a RB 1100x2 te dá poder de processamento mais que suficiente para aguentar mais de 3 vezes a quantidade de clientes que tem em pppoe, IMHO o mais prudente agora seria uma outra RB na qual pode implementar o pppoe primeiramente de forma separada, e migrar os clientes de forma gradativa, quando estiver tudo pronto, ative a outra em loadbalance, e com isso você ganha redundância no gateway de borda.

    Falei em PPPOE acima pois embora esteja funcionando bem com controle por mac, essa forma de trabalhar é bastante vulnerável a ataques e problemas, além de deixar sua rede de acesso e gerencia aberta, para vários tipos de ataque.

    Para trabalhar com pppoe, você precisa de um autenticador, que é o lugar que você vai colocar seus clientes e os planos deles. Ele pode ser um radius em separado com alguem desses sistemas que vendem por ai, ou para facilitar o autenticador pode ser o próprio Mikrotik se a licença for lvl6.

    Se decidir seguir por esse caminho, migre os clientes para o serviço de pppoe por AP, e em seguida crie filtro nos rádios clientes se forem mikrotik, ubiquiti ou canopy(desconheço o procedimento em outros modelos), para permitir somente trafego pppoe(session e discovery), e se tiver outros modelos de rádios que não suportem a filtragem no radio cliente, pode fazer a filtragem só nos APs, não esquecendo do ativar o isolamento de cliente no AP também. Já no AP você permite pppoe, o protocolo ip e arp para a rede de gerência. Ao final desse ponto sua rede já vai está trabalhando sem os efeitos nocivos do broadcast L3, eles já vão estar no minimo, pois o que vai existir será permitido somente para a rede de gerência, também, não vai mais sofrer com problemas de dhcp na rede, ficará imune a ataques de dhcp estarvation, clonagem de mac, sniffer da rede dentre outras coisas, nessa parte estamos de olho na segurança, mantendo a redundância no que é o mais importante na rede que é o concentrador centralizado.


    Os próximos passos seriam...

    Escolher um protocolo de isolamento em L2, MPLS + VPLS ou vlan para isolar as ERBs, se não for oferecer serviços de interconexão L2 para clientes finais, vá de VLAN.

    Depois de uns 1000 clientes, ative o OSPF, mova os concentradores para ERBs, e com o OSPF ativo crie links redundantes entre as ERBS mais populosas, de forma a minimizar a quantidade de clientes afetados em caso de queima de rádios ligados a essas ERBs, isso também bem te dá flexibilidade para manutenção desses mesmos radios.

    A intenção agora deve ser liberar cada vez mais o core para o encaminhamento de pacotes, concentrando o processamento e a segurança do centro para o final da rede, ao invés das bordas, que devem estar cada vez mais livres para encaminhar os pacotes de forma rápida. Se já trabalha com ip real as bordas vão somente realizar a função de roteamento e redundância de gateways, todo o resto será feito nos concentradores das ERBs.

    Ps: Para não acharem que é só teoria, falo isso baseado na administração de uma rede de pouco mais de 3000 clientes.

    Peço desculpas pelo longo texto, sucesso e abraço a todos.


    Anderson Araújo
    Última edição por snkbrz; 26-09-2012 às 17:57.

  10. #10
    tecnico chefe Avatar de naldo864
    Ingresso
    May 2010
    Localização
    Carapicuíba, Brazil, Brazil
    Posts
    3.131
    Posts de Blog
    1

    Padrão Re: Rede 100% bridge, como sair dela ?

    a melhor opção na minha humilde opinião ja que estudei com o grande maia e o sergio e :

    *ospf para a rede interna da empresa
    *bgp para comunicação com a rede de internet (claro com todas as precauções do mundo)

    se um tecnico da rede de uma empresa de internet não dominar isto e melhor parar com ele ,ponto final.

  11. #11

    Padrão Re: Rede 100% bridge, como sair dela ?

    Tenho minha rede toda em bridge e os PTP todos em bridge WDS em todas as torres tenho switchs Gerenciaveis com Vlan e na central tudo encaminhado por vlan e não tenho problemas nenhum.. tenho trafego via tunel de dados de redes internas de varias empresas Matriz x Filial, links dedicados, server PPPoE, Hotspot e server para Ip Publico para Clientes como Lojas e Comercio e tudo rodando 100% em horas de pico da media de 800 clientes trafego total media de 50Mb e tudo ok.

  12. #12

    Padrão Re: Rede 100% bridge, como sair dela ?

    Naldo, concordo com você, mas isso só para redes grandes, com no minimo de 1000 clientes. Ninguém anda alocando bloco no NIC, para 300 clientes somente, se fosse assim o Brasil teria muito mais de 3000 provedores com SCM e ASN.

  13. #13

    Padrão Re: Rede 100% bridge, como sair dela ?

    Citação Postado originalmente por infoservwireless Ver Post
    Tenho minha rede toda em bridge e os PTP todos em bridge WDS em todas as torres tenho switchs Gerenciaveis com Vlan e na central tudo encaminhado por vlan e não tenho problemas nenhum.. tenho trafego via tunel de dados de redes internas de varias empresas Matriz x Filial, links dedicados, server PPPoE, Hotspot e server para Ip Publico para Clientes como Lojas e Comercio e tudo rodando 100% em horas de pico da media de 800 clientes trafego total media de 50Mb e tudo ok.
    Seu exemplo, só serve pra comprovar o que falei, da pra escalar uma rede em bridge sem problemas, desde que se atente aos detalhes de segmentação de trafego, MPLS e VLAN são protocolos de segmentação camada 2, assim como uma bridge é também, o problema que acontece na bridge aconteceria se o povo utilizasse mpls + vpls como se fosse uma só rede, ou implementasse vlan com uma só vlan, a questão central é a segmentação do trafego, e no caso o pppoe já faz isso de forma dinâmica e simples, e de bônus, suporta criptografia e compressão também, coisas que os outros dois citados não suportam.

    Já li muito por aqui, que tem gente que reclama que pppoe é mais sensível a problemas na rede, por padrão se tiver interrupção na conexão por mais de 10 segundos senão me engano, a sessão é terminada, mas isso é configurável, caso alguém se incomode com isso, é só aumentar o timeout da conexão, ou em casos extremos até desativa-lo e ele vai funcionar igual o seu hotspot, mas sem todas as vulnerabilidades do mesmo. De qualquer forma eu não vejo isso como um problema, pois se um cliente começar a reclamar por que está reconectando sempre, para mim já é um indicativo de problema e o melhor é saber e resolver o mais rápido possível.

  14. #14

    Padrão Re: Rede 100% bridge, como sair dela ?

    Citação Postado originalmente por snkbrz Ver Post
    Ps: Para não acharem que é só teoria, falo isso baseado na administração de uma rede de pouco mais de 3000 clientes.
    Peço desculpas pelo longo texto, sucesso e abraço a todos.
    Anderson Araújo

    Olá amigos tudo bem, tenho a gerência de uma rede com 6 mil cliente em 15 cidades, concordo com a afirmação que foi feita acima pelo snkbrz, com mil clientes a melhor visão será migrar os equipamentos de autenticação para as bordas da rede, porem ao meu ver com 6 mil clientes já começamos a ter maiores dificuldades que irei listar abaixo as mais evidentes.

    * Gerenciamento dos servidores de autenticação "quando se tem que alterar alguma configuração no autenticador temos que modificar vários servidores para aplicar a rede toda, tornado passivo de erro humano".

    * O backbone da rede precisa de grandes investimentos em equipamento capazes de processar OSPF, já tenho limitação em RB1000X2, com redundância/balance entre os autenticadores e backbone porem se uma rb1000x2 parar a outra irá sofrer muito para segurar a rede pois roteamento em ospf exige mais processamento do equipamento. Solução que consigo visualizar seria migrar o core da rede para CISCO.

    * Venda de links acima de 30 mb/s necessita de planejamento e alteração muitas vezes físicas para atender um cliente com 100% de qualidade.

    Estou seriamente pensando em concentração de autenticação, a minha ideia principal é substituir os autenticadores por switch gerenciaveis nos pop, e switch de maior porte no backbone da rede.

    Assim utilizaria uma Vlan para cada AP (com isolamento de clientes ativo) e para clientes maiores vlan dedicada, levaria essas vlan até minha central, onde teria 2 servidores Dell para autenticar toda a rede. Assim ganho em capacidade de pacotes por segundo em meu backbone consequentemente em banda, baixo muito o custo da ativação de clientes acima de 30 mb/s e de abertura de novos pop's. Alem de Centralizar a administração em apenas 2 servidores de autenticação.

    Gostaria da opiniões dos amigos sobre esta alteração de infraestrutura.

    Obrigado a todos pela atenção, T+

  15. #15

    Padrão Re: Rede 100% bridge, como sair dela ?

    Uma duvida é melhor eu usar o reteamento ospf ou fragmentar a rede em vlans ? quero isolar os clientes, principalmente os comerciais e dedicados, pois empresas jogado arquivo na rede não da né, hoje tenho um único autenticador e trabalho com pppoe e radius, quero oferecer serviços a empresas mas quero organizar minha rede enquanto ainda é pequena ... Um abraço ... Rodrigo

  16. #16

    Padrão Re: Rede 100% bridge, como sair dela ?

    Citação Postado originalmente por infoservwireless Ver Post
    Tenho minha rede toda em bridge e os PTP todos em bridge WDS em todas as torres tenho switchs Gerenciaveis com Vlan e na central tudo encaminhado por vlan e não tenho problemas nenhum.. tenho trafego via tunel de dados de redes internas de varias empresas Matriz x Filial, links dedicados, server PPPoE, Hotspot e server para Ip Publico para Clientes como Lojas e Comercio e tudo rodando 100% em horas de pico da media de 800 clientes trafego total media de 50Mb e tudo ok.

    Cara Sou leigo em vlans como é feito para distribuir o sinal para clientes residenciais e corporativos na mesma torre, você disse que usa switch gerenciável nas torres, mais e a antena usa uma exclusiva para o cliente corporativo?

  17. #17

    Padrão Re: Rede 100% bridge, como sair dela ?

    Nunca vai existir uma receita de bolo que vá resolver todos os cenários.
    Quando você deseja autenticar um cliente usando um túnel PPPoE, você vai encarar muitos cenários.

    1°: Para você fechar um tunel PPPoE entre PROVEDOR - CLIENTE, a mídia entre eles deve estar 100%. Isto é, se você tem uma rede com perda de pacote, sinal fraco, algo do gênero, você terá problemas. A autenticação é feita tudo na camada 2, e nao tem um algorítmo que verifica se os pacotes PADI/PADO chegaram ou nao.
    Se você tem uma fibra optica do seu provedor até todos os seus POPs você pode concentrar o servidor PPPoE no provedor, caso contrario, recomendo colocar um concentrador em cada POP.

    2°: É muito interessante trabalhar com VLAN dentro de sua rede para interligar seus roteadores, assim também como MPLS/VPLS, OSPF, IBGP. A Vai depender de gosto. Eu por exemplo, gosto de fazer a rede inteira com IBGP usando vlan, como já disse é questão de gosto.

    3°: Quanto maior é o provedor, maior é o custo dele.

    Saudações,
    Thiago

  18. #18

    Padrão Re: Rede 100% bridge, como sair dela ?

    Citação Postado originalmente por GrayFox Ver Post
    Nunca vai existir uma receita de bolo que vá resolver todos os cenários.
    Quando você deseja autenticar um cliente usando um túnel PPPoE, você vai encarar muitos cenários.

    1°: Para você fechar um tunel PPPoE entre PROVEDOR - CLIENTE, a mídia entre eles deve estar 100%. Isto é, se você tem uma rede com perda de pacote, sinal fraco, algo do gênero, você terá problemas. A autenticação é feita tudo na camada 2, e nao tem um algorítmo que verifica se os pacotes PADI/PADO chegaram ou nao.
    Se você tem uma fibra optica do seu provedor até todos os seus POPs você pode concentrar o servidor PPPoE no provedor, caso contrario, recomendo colocar um concentrador em cada POP.

    2°: É muito interessante trabalhar com VLAN dentro de sua rede para interligar seus roteadores, assim também como MPLS/VPLS, OSPF, IBGP. A Vai depender de gosto. Eu por exemplo, gosto de fazer a rede inteira com IBGP usando vlan, como já disse é questão de gosto.

    3°: Quanto maior é o provedor, maior é o custo dele.

    Saudações,
    Thiago
    Thiago,

    Me desculpe mas não entendi quando você afirma que não existe algoritmo de controle no pppoe? Existe toda uma negociação baseada em um protocolo preestabelecido. Quem quiser informações detalhadas de como o protocolo funciona procure pela RFC 2516. Vou listar de forma resumida os passos necessários para se estabelecer uma sessão PPPoE.

    1. Cliente envia PADI que uma solicitação de conexão PPPoE
    2. Servidor pega as informações do PADI e responde com o PADO a solicitação.
    3. O Cliente responde o PADO em caso de aceite com o PADR.
    4. O Servidor instancia a sessão pppoe e responde o cliente com o PADS, com as informações do tunel.

    Em relação a redes com problemas de quedas na sessão, pode ser resolvido aumentado o timeout da conexão.


    Att,

    Anderson Araújo

  19. #19

    Padrão Re: Rede 100% bridge, como sair dela ?

    Quando me refiro a algoritmo de controle quis fazer referencia a forma como o protocolo tcp funciona, já que a retransmissao de um pacote não recebido é feito pelo proprio protocolo, coisa que nao acontece com o PPPoE, já que a rede tem que estar funcionando para que funcione a transmissoes dos PADI/PADO e etc. Se você perde pacotes nessa transmissao de um PADI / PADO, você nao conclui a conversa.

    Aumentar o timeout dos pacotes LCP melhora a qualidade da sessão, mas nao resolve o problema de uma autenticação em ambiente com perdas.
    Saudações,

  20. #20

    Padrão Re: Rede 100% bridge, como sair dela ?

    China principal fornecedor de equipamentos de rede e serviço de internet

    Estamos especializado nesta área há mais de 10 anos e temos os nossos próprios bases.A nossa empresa fornece principalmente equipamentos de fibra óptica como olt sistema epon , eoc , onu , conversor e todos os tipos de cabos de fibra , que são produtos de solução da fibra para o plano de casa (FTTH ) , nós somos um fornecedor de equipamentos profissionais e também um fornecedor de soluções atras Internet. Com boa qualidade e preço competitivo e serviço pós-venda , que tinha ganhado boa reputação no mercado externo.
    Se você tiver qualquer comentário , por favor fique à vontade para entrar em contato comigo .

    Nós vendemos os seguintes produtos


    Network Equipment
    EPON
    EPON-OLT (1,2,4,8,16,32,40,48 portas)
    EPON-ONU
    EOC
    POE Switch
    Ethernet Switch
    Media Converter


    Fier Accesories
    Fiber optic patch cable
    Fiber optic adapters
    Fiber optic Attenuators
    Fiber optic cables
    Fiber optic splitters
    Termination box
    Accesories box
    Connecting box
    Optical solder box
    Splitter chassis

    In addition, our products are compatible with CE,ROHS,UL,OHSAS18001, ISO9001 Standars.


    China Shenzhen XDK equipamentos de comunicações Co., LTD.
    ENDEREÇO​​: XDK Building, A3, Shuidoukeng, Dafapu, Bantian, Longgang District, Shenzhen 518129
    TEL: +86 755 89743882
    Fax: +86 755 8419 2844
    email: [email protected]
    Skype:jasonxdkcn
    CELULAR: (0086)13510747715
    WEBSITE: www.xdkgroup.com