NAS Linux

Установка, настройка, поддержка
Ответить
denskieva
Сообщения: 10
Зарегистрирован: Ср апр 20, 2011 9:50 am

NAS Linux

Сообщение denskieva »

Добрый день,имеется сеть,примерно на 150 абонентов,нужно уже переходить на линукс,так как сервера стоят на винде и шейпер не справляется с количеством правил,вот поставил я абилс,включил нужные мне модули,но не могу понять,как настроить NAS на линуксе для абилса,нужна авторизация по айпи и маку,не хочу возится с впном,подскажите,как сделать...

sopov
Сообщения: 610
Зарегистрирован: Вс апр 02, 2006 7:13 pm

Re: NAS Linux

Сообщение sopov »

ipn в помощь, только зачем оно вам? Если оборудоапние не поддерживает ip-unnumbered имхо бесполезная затея в плане надежности. Что будет если 2 клиента поставят себе 2 одинаковых ипа? Имхо в зоопарке ppp юзать надо.

denskieva
Сообщения: 10
Зарегистрирован: Ср апр 20, 2011 9:50 am

Re: NAS Linux

Сообщение denskieva »

Сейчас есть только два управляемых комутатора,по мере поступления денег,будем докупать,так что здесь все нормально,а адресса будут выдаватся по дхцп,так что никто ниче не ставит,за несколько лет существования сети еще никого не замечали в сменах маков и айпишек,я то понимаю что ипн юзать надо,я доставил к абилсу его,но вот как нас настроить,так и не разобрался...

sopov
Сообщения: 610
Зарегистрирован: Вс апр 02, 2006 7:13 pm

Re: NAS Linux

Сообщение sopov »

Дело в том, что при использовании такой схемы ваши клиенты находятся в одном физическом бродкаст домене и независимо от наличия dhcp могут с успехом портить друг другу жизнь. Более того, могут легко положить всю вашу сеть. Если этого никогда небыло, это не значит, что никогда не будет. Гораздо лучше работает технология "влан на клиента", но в таком случае будет большой расход ип адресов из-за выделения сетей /30 на клиента. Чтобы этого не происходило нужна поддержка ip unnumbered в ядре - тогда клиенту можно дать только 1 ип. Но это дорого экономически. Поэтому, чтобы добиться стабильности в полу-управляемой среде используют ppp. Все это мое имхо и написано с целью показать вам возможные грабли в развитии вашей сети.
ЗЫ. IPN настраивается пошагово по инструкции.

denskieva
Сообщения: 10
Зарегистрирован: Ср апр 20, 2011 9:50 am

Re: NAS Linux

Сообщение denskieva »

А чем клиенты могут положыть сеть?
Была раз такая фишка что люди не в тот порт роутера ткнули провод интернета и всем абоонентам забитым в свитч этого дома давались не те адресса,хорошо что там стоял управляемый свитч и не пришлось куда-то на крышу лезть,просто задаунили порт и позвонили клиенту,они переставили в другой порт. А вот эта статья не подойдет?
http://habrahabr.ru/blogs/personal/71689/ просто у нас всего 4 дома подключенно,так как 2 коммутатора уже есть,оосталось всего 2 или для ip unnumbered нужно еще что-то кроме поддержки ip unnumbered в ядре?

sopov
Сообщения: 610
Зарегистрирован: Вс апр 02, 2006 7:13 pm

Re: NAS Linux

Сообщение sopov »

Да , статья подходит. Если использовать для раздачи linux/unix роутер, а не l3 ядро, то кроме 802.1q vlan больше ничего не нужно. И даже в ядре поддержка не нужна. Просто включаете абонента в порт на свиче, прибиваете этот порт к влану и пробрасываете этот влан на ваш линукс. В итоге получаем каждого клиента в отдельном влане и пусть там делает что хочет. Но в этом случае межабонентский локальный трафик будет ходить через ваш линкс и нужно хорошее железо чтобы его переварить. Вот по этому и желательна поддержка unnumbered именно в железном ядре. Типа народной cisco 6509. Можно конечно ограничиться вланом на подьезд или дом и выдавать сети с соответствующей маской. Тогда не нужен никакой unnumbered. А положить сеть можно просто - закоротив зеленые и оранжевые пары в кабеле. Или поставив ип соседа лишить его инета.
Вобщем итог такой:
1. vlan на клиента + ip unnumbered на ядре L3 - идеально но дорого. Можно выдать реальники некоторым клиентам.
2. vlan на клиента + ip unnumbered на linux - не дорого, надежно, но локальный трафик плохо едет. Также можно выдать реальники некоторым клиентам.
3. ip статикой или dhcp , без вланов - не дорого, но любой школьник завалит. Невозможно выдать реальники некоторым клиентам - или вся сеть переводить или нат.
4. ip статикой или dhcp, с вланами - не дорого, но любой школьник завалит влан, остальные будут работать. Можно выдать реальник если включить клиента в отдельный влан, но будет большой расход ипов.

На мой взгляд оптимальная схема - vlan на дом\подьезд + PPPoE + ядро L3 - Дешево, можно выдать клиенту "реальный" ip, можно включать клиентов в мыльницы, гибкая авторизция, локальный трафик едет быстро. Интернет у клиентов будет работать даже если кто-то проставит чужой ip. Но всеже возможно завалить влан.

denskieva
Сообщения: 10
Зарегистрирован: Ср апр 20, 2011 9:50 am

Re: NAS Linux

Сообщение denskieva »

Большое спасибо за ответы.
Ну локальный трафик мы не пользуем,думали сделать файловый сервер,чтобы разгрузить канал внешний... В общем устраивает вариант с линуксом,вланами и unnumbered,я так понимаю,если это все сделать,то прийдется абонентов ручками прописывать,без билинга?
Хотел бы еще задать пару вопросов по настройкам ипн,некоторые мне не особо понятны,потому что с айпитейблесами дело имею первый раз,например этот...
$conf{IPN_FW_FIRST_RULE}=20000; за что он отвечает?

sopov
Сообщения: 610
Зарегистрирован: Вс апр 02, 2006 7:13 pm

Re: NAS Linux

Сообщение sopov »

С этого номера будут начинаться правила фаера.

denskieva
Сообщения: 10
Зарегистрирован: Ср апр 20, 2011 9:50 am

Re: NAS Linux

Сообщение denskieva »

Точнее не так вопрос задал,для чего это сделано? Еще понимаю что можно сделать скрипт,который будет прописывать все на сервере и засунуть сюда $conf{IPN_FW_START_RULE}=»« ,для включения и $conf{IPN_FW_STOP_RULE}=»« сюда для отключения доступа абоненту,только вот не могу понять какое на линуксе будет правило для добавления доступа клиенту с шейпером,глянул файл /usr/abills/libexec/linkupdown,так там с tc вроде ничего для линукса нету,хотя нашел одну строчку,но она под ppp,можно ли будет просто подставив допустим eth1 и получить правило для такого типа подключения?

Ответить