Разделить один коммутатор на несколько виртуальных (каждый со своим набором портов)
Добавлено: 04 мар 2021 04:38
Исходные данные:
- типичная многовквартирная многоподъездная многоэтажка;
- в подъезде 4 провайдера;
- множество кабель-каналов и немаркированных (неизвестного происхождения) кабелей внутри подъезда.
Задача:
- организованно подключить все квартиры кабелями Cat5e на патч-панель на техэтаже;
- соединить все квартирные кабеля в единый подъездный коммутатор;
- в тот же самый подъездный коммутатор (или сразу в домовой коммутатор) завести аплинки провайдеров и внутридомовой системы видеонаблюдения;
- распределить порты между провайдерами программно;
- запретить провайдерам хозяйничать в подъезде;
- устранить кабельное безобразие из подъездов.
Решение 1: разделить клиентов каждого провайдера по отдельным физическим коммутаторам.
Недостатки:
- в случае смены провайдера необходимо физически перекоммутировать кабеля, а задача не только в устранении кабельного безобразия в подъезде, но и в полном отстранении представителей провайдера от возможности хозяйничать в подъезде;
- если коммутатор заполнен лишь частично - ресурсы коммутатора будут простаивать.
Решение 2: распределить клиентов при помощи PVLAN/QinQ/прочее.
Недостатки:
- каждому провайдеру "обязательно" понадобится root доступ под каким-либо предлогом. А root-доступ позволит подсматривать всякие там коммерческие тайны, настройки и статистики по трафику других провайдеров. Так что врядли провайдеры согласятся подключать клиентов через активное устройство, которое они не контроллируют или контроллируют, но не только они (речь о конкурентах). И это может стать непреодолимым препятствием;
- для переназначения порта от одного провайдера к другому необходим root-доступ и некая доверенная треться сторона (штатный сотрудник от жильцов или от ЖЕКа, в ответственности которого окажется сетевое хозяйство), а хочется один раз настроить и забыть, чтобы представитель техподдержки со стороны жильцов только накатывал типовый конфиг и устанавливал начальные пароли.
В общем, необходимо как-то разделить один коммутатор на несколько непересекающихся частей с одинаковым набором функций. Пусть даже это будут урезанные функции: например - один коммутатор L3 разделить на несколько виртуальных коммутаторов L2 или L2+.
Вопрос:
Есть ли у Eltex решение, которое позволит предоставить каждому провайдеру не просто порты, а именно часть коммутатора с конкретным набором портов, чтобы провайдеры не могли видеть настройки и/или статистику друг-друга?
Я себе представляю это так:
- каждому порту коммутатора присваивается псевдоним (kvartira_5, kvartira_18, camera_2, domofon_1 и т.п.);
- на коммутаторе создаётся необходимое количество "виртуальных устройств";
- на коммутаторе создаётся пул "перемещаемых портов";
- к каждому "виртуальному устройству" привязывается конкретный набор портов из пула "перемещаемых портов";
- каждое "виртуальное устройство" функционирует как отдельный экземпляр устройства, на котором создано (включая базу паролей, таблицы коммутации/маршрутизации, экземпляры RTP/OSFP/..., настройки RADIUS и пр.);
- каждое "виртуальное устройство" не имеет доступа к портам другого "виртуального устройства";
- внутри каждого "виртуального устройства" доступны команды "освободить порт №", "занять порт № из списка свободных в пуле перемещаемых портов";
- отдельно формируется список "неперемещаемые порты", которые недоступны для команд "занять порт" и "освободить порт" изнутри "виртуальных устройств";
- в каждом "виртуальном устройстве" порты именуются по псевдониму (чтобы исключить возможность определения номера физического порта изнутри виртуального устройства);
- внутри "виртуального коммутатора" порты команды "освободить порт №" и "занять порт №" оперируют не физическим наименованием порта, а логическим названием/псевдонимом ("занять порт kvartira_5", "освободить порт kvartira_18");
- на главном устройстве присутствует функция запрета на просматр списка "свободных портов" изнутри "виртуальных устройств", чтобы провайдеры не могли подсматривать список не подключённых к интернету квартир, которых следует заспамить предложениями их услуг интернета.
- типичная многовквартирная многоподъездная многоэтажка;
- в подъезде 4 провайдера;
- множество кабель-каналов и немаркированных (неизвестного происхождения) кабелей внутри подъезда.
Задача:
- организованно подключить все квартиры кабелями Cat5e на патч-панель на техэтаже;
- соединить все квартирные кабеля в единый подъездный коммутатор;
- в тот же самый подъездный коммутатор (или сразу в домовой коммутатор) завести аплинки провайдеров и внутридомовой системы видеонаблюдения;
- распределить порты между провайдерами программно;
- запретить провайдерам хозяйничать в подъезде;
- устранить кабельное безобразие из подъездов.
Решение 1: разделить клиентов каждого провайдера по отдельным физическим коммутаторам.
Недостатки:
- в случае смены провайдера необходимо физически перекоммутировать кабеля, а задача не только в устранении кабельного безобразия в подъезде, но и в полном отстранении представителей провайдера от возможности хозяйничать в подъезде;
- если коммутатор заполнен лишь частично - ресурсы коммутатора будут простаивать.
Решение 2: распределить клиентов при помощи PVLAN/QinQ/прочее.
Недостатки:
- каждому провайдеру "обязательно" понадобится root доступ под каким-либо предлогом. А root-доступ позволит подсматривать всякие там коммерческие тайны, настройки и статистики по трафику других провайдеров. Так что врядли провайдеры согласятся подключать клиентов через активное устройство, которое они не контроллируют или контроллируют, но не только они (речь о конкурентах). И это может стать непреодолимым препятствием;
- для переназначения порта от одного провайдера к другому необходим root-доступ и некая доверенная треться сторона (штатный сотрудник от жильцов или от ЖЕКа, в ответственности которого окажется сетевое хозяйство), а хочется один раз настроить и забыть, чтобы представитель техподдержки со стороны жильцов только накатывал типовый конфиг и устанавливал начальные пароли.
В общем, необходимо как-то разделить один коммутатор на несколько непересекающихся частей с одинаковым набором функций. Пусть даже это будут урезанные функции: например - один коммутатор L3 разделить на несколько виртуальных коммутаторов L2 или L2+.
Вопрос:
Есть ли у Eltex решение, которое позволит предоставить каждому провайдеру не просто порты, а именно часть коммутатора с конкретным набором портов, чтобы провайдеры не могли видеть настройки и/или статистику друг-друга?
Я себе представляю это так:
- каждому порту коммутатора присваивается псевдоним (kvartira_5, kvartira_18, camera_2, domofon_1 и т.п.);
- на коммутаторе создаётся необходимое количество "виртуальных устройств";
- на коммутаторе создаётся пул "перемещаемых портов";
- к каждому "виртуальному устройству" привязывается конкретный набор портов из пула "перемещаемых портов";
- каждое "виртуальное устройство" функционирует как отдельный экземпляр устройства, на котором создано (включая базу паролей, таблицы коммутации/маршрутизации, экземпляры RTP/OSFP/..., настройки RADIUS и пр.);
- каждое "виртуальное устройство" не имеет доступа к портам другого "виртуального устройства";
- внутри каждого "виртуального устройства" доступны команды "освободить порт №", "занять порт № из списка свободных в пуле перемещаемых портов";
- отдельно формируется список "неперемещаемые порты", которые недоступны для команд "занять порт" и "освободить порт" изнутри "виртуальных устройств";
- в каждом "виртуальном устройстве" порты именуются по псевдониму (чтобы исключить возможность определения номера физического порта изнутри виртуального устройства);
- внутри "виртуального коммутатора" порты команды "освободить порт №" и "занять порт №" оперируют не физическим наименованием порта, а логическим названием/псевдонимом ("занять порт kvartira_5", "освободить порт kvartira_18");
- на главном устройстве присутствует функция запрета на просматр списка "свободных портов" изнутри "виртуальных устройств", чтобы провайдеры не могли подсматривать список не подключённых к интернету квартир, которых следует заспамить предложениями их услуг интернета.