Строю сеть из 3000+ CPE, буду рад советам.

Я согласен по поводу PPPoE. Настраивал много сетей с ним. Это снижает риск сетевых циклов, более эффективно использует IP-адреса, легче сдерживать трафик вирусов и троянов, с использованием RADIUS легко управлять, предлагает хороший механизм аутентификации пользователей, можно легко назначать публичные IP-адреса статически или динамически из пулов публичных или приватных через RADIUS, и его легко настроить на стороне клиента. Конечно, есть и другие способы, и когда-нибудь появятся лучшие, но на данный момент я вижу это как лучший способ обработки такой сети, не теряя функциональности. Удачи.

Создается мост от CPE к AP, AP может мостить другой интерфейс, например, порт Ethernet. CPE затем создает PPPoE-туннель через этот мост к PPPoE Access Concentrator — который, если AP — это MikroTik, может быть сам AP или более мощная машина, подключенная по Ethernet. Вы можете создать любые правила брандмауэра, которые вам нравятся, и если вы выключите "Default Forward" на AP, клиенты не смогут обойти ваши правила брандмауэра.

И больше мы никаких постов не видели?? Прошло уже почти 4 года с тех пор, как в этой теме был последний пост. Как теперь устроена эта сеть? Как можно научиться на примере новых ROS пакетов? Было бы неплохо узнать, какая "лучшая практика" настройки для больших сетей.

Ну, интересно. Из-за накладных расходов я PPPoe особо не люблю. То есть вы его не используете? Но… как вы управляете своими клиентами? Ваше замечание "В некоторых ситуациях нам нужно точно настроить и привязать CPE к выделенному сектору, не знаю, как это сделать с центральным PPPoe Server" — я не понимаю. Это потому, что ваш сервер аутентификации находится в той же башне, где и AP? Можете объяснить чуть подробнее, пожалуйста?

Раз уж эта тема снова всплыла… после выхода и стабилизации v3 мы практически полностью убрали WDS-связи из сети и перевели все CPE в режим station-pseudobridge. Это улучшило производительность, снизило задержки и позволило обслуживать больше клиентов на каждой точке доступа с лучшей производительностью, чем с WDS. Мы всё ещё оставили клиентов с PPPoE на собственных устройствах, так что нам не приходилось ими управлять — это была ответственность клиентов. IP-адреса всегда назначались динамически через PPPoE-сессию, при этом каждому торцу выделялись статические блоки (обычно /25 или /26), но фактическое назначение клиенту производилось динамически (или статически через RADIUS, если они запрашивали/оплачивали статику). Все учётные записи клиентов были настроены в RADIUS, и RADIUS-сервер выдавал пакет пропускной способности PPPoE-серверу в момент подключения. Каждый торнец маршрутизировался через OSPF.

Ну ладно, интересно. Но зачем этот WDS/station-псевдомост? Чтобы клиент сам разбирался с аутентификацией PPPoE? Я не вижу в этом никакого смысла. Некоторые клиенты едва ли знают, как включить свой ПК (действительно!), не говоря уже о том, как настроить интерфейс PPPoE и логин. Так что в итоге нам все равно приходится многим из них помогать в этом. А как управлять CPE клиентам? Отдельная сетевая структура для этого? Или просто IP-адрес в той же сети, что и устройство клиента? Мне кажется, что IP-адреса у меня заканчиваются вдвое быстрее. И что, если у клиента вирусы или трояны? Если весь тауэр соединен через бридж, то локальные сетевые штормы возникают гораздо легче, чем если бы клиент хотя бы находился за NAT-файрволом, а у сетевого оператора было бы больше контроля. В любом случае, какая-то маршрутизация трафика должна уже происходить на CPE клиентам, по моему мнению. И что, если клиенту нужно больше устройств онлайн? Как разделить его аккаунт для большего количества пользовательских устройств? Вы выдаете ему вторую аутентификацию и взимаете плату в два раза? Или вы делите его договорную скорость между двумя аккаунтами? Разве не проще сделать CPE конечным пограничным маршрутизатором для клиента и передать всю аутентификацию и управление сетью в этот CPE оператором? На стороне клиента на маршрутизаторе он может иметь любое и столько устройств, сколько он хочет, они просто делят его договорную скорость. И если ему нужен телефон, я могу проложить туннель от моего основного концентратора в этот конечный маршрутизатор, где нам просто нужно настроить интерфейсное мостирование или переадресацию портов, чтобы достичь его VOIP/SKype-бокса? Я предполагаю, что это более личный выбор, но мне интересно узнать, какие аргументы могут быть в пользу вашего выбранного пути настройки сети. Если посмотреть, как клиенты подключены «большими» провайдерами в моей предыдущей стране (Нидерланды): они получают предварительно настроенный маршрутизатор, подключают его либо к кабелю, либо к телефонной линии и с другой стороны у них есть четыре порта (плюс Wi-Fi) с DHCP, к которым можно подключить столько устройств, сколько им нужно, практически без какого-либо взаимодействия со стороны клиента. В некоторых случаях вам, как клиенту, нужно всего лишь войти в маршрутизатор один раз, чтобы указать логин своей учетной записи, но в некоторых случаях даже этого не требуется. Возможно, MAC-адрес устройства зарегистрирован в файле учетной записи клиента и работает только в этом конкретном месте (адрес дома/телефонная линия). Я также думаю о том, как настроить отдельную сеть для людей, которым мы хотим предложить решение VOIP. Даже если это Skype. Но, например, Skype-телефоны не имеют опции PPPoE, только DHCP, так что как я смогу что-то подобное настроить? У меня есть над чем подумать и много работы…

Предложить решение без знания топологии вашей сети непросто, но с таким количеством узлов я бы, если возможно, спроектировал строго маршрутизируемую backbone-сеть. Можете рассказать подробнее о вашей топологии сети? –Том

Я думал, я перечислил несколько других вариантов? Настрой свой AP как WDS динамический (Bridge1 по умолчанию), установи CPE как станцию WDS, на станции bridge E1 и W1, на AP добавь VLAN к твоему Bridge1. Включи NStream + Polling (и с нетерпением жди новый NStream в v3), затем настрой машину как PPPoE концентратор на каждой вышке (P4, приличный объем оперативной памяти и процессор) и создай PPPoE сервер, привязанный к каждому VLAN.

Вещи, которые нужно проверить: используй уникальный VLAN для каждого AP на вышке, это помогает поддерживать некоторую клиентскую изоляцию (не идеально, но неплохо). Создай правила моста на AP, чтобы максимально ограничить связь CPE с CPE, учитывая твои требования. Используй AP с большим количеством вычислительных ресурсов процессора (532 установлен на 330MHz минимум). Используй Radius для определения формовки трафика для каждого PPPoE клиента. Не перегружай AP, время пинга от CPE к AP будет примерно связано с количеством подключенных CPE (побочный эффект Polling, мы ограничиваем наше до примерно 25 на радио).

Это звучит как огромный шаг назад. У нас сейчас 80 клиентов на AP, каждый из которых ограничен до 2 мбит, и это работает очень-очень хорошо. И это на 802.11b. Почему 54 мбит на 802.11a имеет меньшую ёмкость? Наша сеть на 100% маршрутизирована, за исключением CPE. Я сейчас настроил каждый AP для работы с DHCP с 128 IP-адресами.