Det ultimata byanätet

Hej gott folk! Upp till bevis, eller pratar ni bara?

Nu bygger vi det ultimata byanätet!

Skulle behöva materialet till en konkurrensutsättningn på Hilma om någon vecka.


Vilka principer? Vilka grejer? Vilka servrar? Vilka tjänser?

Här hade vi en diskussion för ca. ett år sedan
http://bredband.selfip.net/forum/index.php?action= vthread&forum=25&topic=592

Här en annan för nån dag sedan
http://bredband.selfip.net/forum/index.php?action= vthread&forum=15&topic=658&page=0

Föreslår att vi utgår från Nisses nät, Ett enkelt nät, med NAT och en IP-adress ut mot världen.

Den mer vedertagna modellen kallas CGN

"Carrier-Grade NATs
One possible response is to add a further NAT into the path. In theory the Internet Service Provider (ISP) could add NATs on all upstream and peer connections, and perform an additional NAT operation as traffic enters and leaves the ISP's network. Variations of this approach are possible, placing the ISP NATs at customer aggregation points within the ISP's network, but the principle of operation of the ISP NAT is much the same."

http://www.cisco.com/web/about/ac123/ac147/archive d_issues/ipj_13-2/132_address.html

Beskrivning av CGN konceptet:
http://datatracker.ietf.org/doc/draft-ietf-behave- lsn-requirements/


Till detta koncept sätter vi alltid in IPv4 adresser åt dem som behöver.

IPv6 är ett "borde vara med", men hur?


Hur ser tant Gunhilds anslutning ut och hur ser Propellerhattens anslutning ut? Hurudan anslutning har Läkarstationen och hurudan har verkstaden Remont Ab?


Är det klokt att skippa tjänster via VLAN? Nån som har tankar att dela med sig av?



Goda länkar om standarder mm. finns här: http://datatracker.ietf.org/wg/behave/

Vilka principer?
Djupt begrepp, många leyers... Vi kan börja med det fysiska nätet t.ex Optowests nät. Den svagaste länken måste beaktas: det finns ingen redundans i nätet så det är oerhört viktigt att det finns en back upp plan ifall en kabel grävs av t.ex. att noderna har alla sin trådlösa uppkopplingar så att man kan lokalisera felet och sköta nödsamtalen under tiden felet åtgärdas. Elförsörjningen och hur den skall styras, t.ex. ett fel meddelande till Entrepenör som kör ut med generator ifall UPS-tekniken inte räcker till. slutar idag med...

Har en idé om hur säkerheten och automatiseringen skulle kunna fungera med burkarna från burkautomaten (observera gällande ett ipv6 baserat nät). Anslutaren får köpa en färdig konfigurerad burk av Byanätet (ISP:n) som är färdigt registrerad med mac adressen i ett register kan även också använda serienumret. När man kopplar burken till nätverket får den en ip adress av DHCPv6 servern och man når endast Byanätets hemsida som ligger i det interna nätet (förutom då nödsamtal). På hemsidan kan man logga in som registrerad kund med kundnummer och en kod man fått via snigelposten. Som inloggad kan man registrera burken i sitt eget namn och anslutningsplatsen (porten i byanätverkets switch)*. När man registrerat burken kan man nå ut på Internet med den eller registrera övriga burkar som man behöver ha direkt kopplade till nätet. Problemet är att mac adresserna inte är säkra men det kanske inte gör så mycket i ett litet Byanät när man vet vem som registrerat den?
Burken kan innehålla en färdigt konfigurerad brandmur som beaktat kundens specialbehov och som kunden såklart betalat för vid beställning. Frågan är hur en brandmur som är "färdigt" konfigurerad skall konfigureras för att tillfredsställer 98% av hushållen. Med att nämna hushåll syftar jag på att kunder som är annat än hushåll behöver oftast specialkonfigurerade brandmurar, men de har också oftast råd med att ha en betald person att göra det.

*extra funktion som säkerställer att man lånar burken åt grannen så att han inte behöver betala månadsavgiften.


Guje: Är det klokt att skippa tjänster via VLAN? Nån som har tankar att dela med sig av?
Inte behöver man skippa något protokoll men Byanätet kan alltid sälja en sådan tjänst om det nu är någon som verkligen behöver en sådan. Jag ser personligen ingen nytta med att använda just VLAN p.g.a. att den förutsätter låsning av hårdvara och som nisse påpekat hör sådant till telefonmonopolens era på 1900-talet.

Guje: IPv6 är ett "borde vara med", men hur?
Kolla t.ex dual-stacking finns många modeller, sådana som är OK och sämre.

FYI: Vi har inget nödsamtals krav på oss. Det ansvaret har teleoperatören (Soner hos oss) som enligt lag skall ha tillräckligt stora muskler. Våra biceps är anspråkslösa, om ens det.

Anslutningens On/off funktion är viktig hos oss. Nästa andelsstämma kommer antagligen att bestämma att en anslutning kan kopplas ur för xx € och därefter upphör månadsavgiften. Den börjar igen då anslutningen tas i bruk för 0€.

IPv6 finns på köplistan.


Var går gränsen där byanätets ansvar slutar och där abbonentens börjar?

Guje i tråden Frågor kring IPv4 och IPv6: Det i sin tur kräver nån form av inbyggd intelligens i hemmaroutern. Vilket i sin tur betyder att riktigt vad som helst kan man inte koppla in i hemändan.
Det är det här som är stötestenen... Telebolagen har skött det med SIM-kort och hur skall då Byanätet ordna med de här sakerna?
Förutsättningen för att hålla administrationen låg, kvaliteten hög och nätet öppet så bör det skötas med mjukvara och inte hänga på en burk som kan gå sönder med åskan.

Guje: FYI: Vi har inget nödsamtals krav på oss. Det ansvaret har teleoperatören (Soner hos oss) som enligt lag skall ha tillräckligt stora muskler. Våra biceps är anspråkslösa, om ens det.
Jag är mycket medveten om att Optowest inte har det. Men det är bara en tidfråga innan det sker. Antagligen kommer det ansvaret när kom.verket förstått att fibernätverken är de mest pålitliga infran för kommunikation.

Guje: Anslutningens On/off funktion är viktig hos oss.
Den är mycket viktig för att säkerställa nätets tillgänglighet och säkerhet. Jag anser att den skall skötas i listan på registrerade burkar som jag nämnde tidigare. Då finns finessen att nätet kan tillfälligt stänga av en burk om behovet skulle finnas och alla andra burkar fortsätter fungera som vanligt. Kom poängen fram? Om kunden inte betalat månadsavgiften stängs automatiskt alla burkar som är registrerade på dennes kundnummer. Det är bara vilket protokoll eller kombination av vilka, som skall användas för den här funktionen som är oklar för mej och sedan hur säker den egentligen är!? Så långt har jag det klart för mej som jag skrev tidigare: att adressen delas ut av en kombination av slaac och ipv6. Då vet man exakt var burken finns på nätet och att den använder en av de tillgängliga globala adresserna som Byanätet har till förfogande och vem som användaren är bara genom att Byanätet bara konfigurerar en burk en gång. Sedan kommer det som är lite oklart för mej ännu. De lokala switcharna skall sortera bort paket från alla burkar som inte är registrerade av någon kund eller Byanätet självt (utgående trafik). Det betyder att alla burkar (hemma routern,kan lika gärna vara en pad eller telefon) som är inkopplade direkt i kontakt till Byanätets switchar bör klara av detta protokoll som "signerar" paketen med den signeringen som servern* för "burklistan" givit den burken.

*behöver egentligen inte vara en server utan helst skulle det vara en P2P protokoll som använder sej av just de burkar som är anslutna till nätverket. Så EFTERLYSES om någon vet en färdig programvara för det här?!

Guje: Var går gränsen där byanätets ansvar slutar och där abbonentens börjar?
Min personliga uppfattning är att ansvaret för den fysiska delen (fibern) slutar i fastigheten där man stöppslar in elektroniken. Ansvaret för elektroniken slutar där fibern kopplas in i switchen och för trafiken där man kör in på "privat väg" (alltså på vägen till fastigheten). Förenklat den del som man kan mäta från centralen (dB eller packet loss). Den som sköter Byanätets anläggning skall inte behöva ta sej in i en enskild fastighet (om inte Byanätet äger en central i den) utan att fastighetsägaren eller innehavaren blir ersättningsskyldig för "ändringen", efter det att slutändan installerats och konstaterats fungerande vid den första montering som Byanätet bekostat (hört till anslutningsavgiften). Eller har någon annan en annan uppfattning?

- Intelligenta burkar. Svåra att hitta - ok. Måste fråga säljsidan och se vad som dyker upp.

- Jag tror nödtrafik är en muskelfråga och inte en teknik-grej. Dessutom funderar myndigheterna på saken i Finland eftersom det nuvarande systemet inte funkade i senaste vinterstormen. Vi väntar och ser. Kan inte beaktas nu. (Ok -strömförsörjning och sånt, men inte vilka styrsystem vi måste ha för att sköta nödtrafiken)

- On/off funktionen tror jag inte att vi behöver uppfinna. Bara man vet att fråga efter den så finns den nog.

Men vad skriver du Danno: "De lokala switcharna skall sortera bort paket från alla burkar som inte är registrerade av någon kund eller Byanätet självt (utgående trafik)." !!?

Är inte det ett ganska klokt nät. Var det inte ett dumt nät vi skulle bygga?


- Efterlyser mera förslag på var gränsen egentligen går.


- Ordet "automatiskt" förknippar jag med kostnader. Ordet "helautomatiskt" med enorma kostnader. Det krävs goda motiveringar tilll att automatisera.

Guje: Men vad skriver du Danno: "De lokala switcharna skall sortera bort paket från alla burkar som inte är registrerade av någon kund eller Byanätet självt (utgående trafik)." !!?

Är inte det ett ganska klokt nät. Var det inte ett dumt nät vi skulle bygga?


Ja var går gränsen, jag menar det finns en stor sannolikhet i att Internet linjen blir överbelastad om det finns massor med burkar som börjar skicka "oregistrerade" paket igenom nätet. Och då har Byanätet ett stort problem. För att t.ex. göra som telebolagen och sätta en övre gräns eller balansering på de enskilda anslutningarna till nätet ser jag som komplicerad och tungrodd av flera anledningar. I själva verket syftar jag på att nätet skall vara dumt men att det bör finnas en system vem som har rätten att använda det. Dela upp rätten till burkar i stället för uppkopplings punkter (Byanätets fiberändor). För då bl.a. att eliminera att grannen till den som äger en anslutning inte skall använda Byanätets kunds trådlösa nätverk att surfa på Byanätets Internetlinje. Då ser jag ända möjligheten till det här genom att varje paket som skickas registreras av nätet självt för att kunna eliminera "onödig" trafik. Som jag skrev tidigare skulle den här funktionen helt skötas av anslutaren och på det viset minimera Byanätets ägna administration (som Nisse poängterade).

Så svar på frågorna kvarstår: Är det realistiskt att ha ett inbyggt system för registrerade burkar? På vilket sätt registrera paketen från det registrerade burkarna? Eller upplevs det som en för tungrodd uppgift för Byanäten? Som jag ser det: är det viktigaste att den administrativa lösningarna är teknikneutrala om näten skall vara lätthanterligt och öppet. Med lätthanterligt syftar jag på att det bör vara lätt att ändra strukturerna och byta ut tekniken när det finns behov av det.

Eller är det så att nätet blir intelligent så fort som paketen börjar sållas och då har ju Nisse också ett nät som inte är dumt eftersom han har en brandmur liggande på gränsen till resten av värden. Eller, ja var går gränsen för ett dumt/intelligent nät? Det finns tydligen en skild tråd för det här?

Guje: - Ordet "automatiskt" förknippar jag med kostnader. Ordet "helautomatiskt" med enorma kostnader. Det krävs goda motiveringar tilll att automatisera.
Danno: Om kunden inte betalat månadsavgiften stängs automatiskt alla burkar som är registrerade på dennes kundnummer.
Nå just att få fakturerings systemet och kundregistret att fungera ihop kanske inte är så viktigt för små Byanät men det kan ju nog underlätta om det finns integrerat i samma "platform" som ON/OFF-funktionen.

Principer är en sak och praktiken en annan. Även om jag har vissa principer så bryter jag gärna mot dem då det är nödvändigt.

Enligt min mening är byanätet det som finns mellan nätoperatörens anslutningspunkt och anslutningens Ethernetport. Vi ansvarar bara för att nätet fungerar i konverterns port. Hemmaroutern och allt annat hör till kunden. MEN jag insåg snabbt att tant Gunhild inte klarar sej så vi skaffade en massa routrar (riktigt billiga och enkla trådbundna - skall abonnenten ha något annat så får han fixa det själv) som jag programmerar med fast IP-adress och kopplar in. Men det är fritt fram att ändra och härja med dem hur som helst. Och så har vi som sagt en Gigabits router med one-to-one-NAT och brandmur på linjen till nätoperatören. Vi kräver att alla portar är öppna och att alla protokoll fungerar. Dessutom har vi en massa globala IP-adresser som jag delar ut enbart efter strängt förhör (klarar abonnenten av säkerheten ?).

Inget hindrar byanätet att dela ut färdigt programmerade burkar men de hör strängt taget inte till nätet. Alla sorters underliga tjing-tjong-terminaler är också godkända bara abonnenten OCKSÅ kommer ut på Internet utan stängda portar eller liknande. Och vi har INTE VLAN (eller strängt taget är alla i samma VLAN) så att alla kan kommunicera fritt inom nätet. Säkerheten sköts av hemmaroutern. Den som plockar bort den får skylla sej själv.

Inget hindrar att man flyttar sin burk för vi fakturerar alla lika. Jag uppmanar er ALLVARLIGT att sätta administrationen = noll för ni kommer att ha tillräckligt av att jaga infekterade maskiner och byta åskförstörda burkar. I längden orkar ingen med administration. Nätet skall sköta sej självt. Jag har en hel del övervakningsprogram som jag kör och då det blir problem så vill jag snabbt hitta felet. Jag kör mest ntop, mrtg och nmap. Mera invecklade program bara ger mera arbete.

Allra viktigaste principen är KISS ! (Keep It Simple Stupid för dem som inte känner till den)

Nisse: Enligt min mening är byanätet det som finns mellan nätoperatörens anslutningspunkt och anslutningens Ethernetport. Vi ansvarar bara för att nätet fungerar i konverterns port. Hemmaroutern och allt annat hör till kunden.
Bra, då är vi på samma linje.

Som jag ser utvecklingen, så kommer Byanäten att ha en fördel med att inte ha några hemmaroutrar som behöver administreras utan helst (om det finns en sådan hos anslutaren) skall den vara likgiltig att strömma paket som vilken som helst switch i Byanätet. För bl.a., då kan t.ex en Wlan burk som är kopplad till hemmaroutern och som har 4g kort i sej fungera som wan också för byanätets trafik och avlasta Byanätets Internet linje. Visserligen kanske burken behöver konfigureras och kanske klara av Leyer 3 men det får man se vart utvecklingen går.
Men poängen är i alla fall att inte lägga käppar i hjulet för utvecklingen och då är det bra att hålla Byanätet veldigt simpelt men fortfarande kunna kontrollera vems burk som är ok och vems som inte är ok att belasta nätet. För överbelastning kommer att vara en stor utmaning åtminstone på Byanätens Internet linjer. Då anser jag det extra viktigt att kunna "sålla" bort sådan trafik som inte hör till de betalandes trafik.
Attacker av olika slag som belastar nätet, är det andra som kanske behöver motarbetas på något sett. Men de är i alla fall tillfälliga efter som de kommer från Internet och inte ligger i nätet.
Sedan är det "kapade" burkar som Nisse noterat. De kommer Byanäten inte att kunna göra så mycket åt än att stänga av så fort som möjligt. Men då är det viktigt att övriga burkar fortsätter att fungera fast de ligger hos samma anslutare och samma ingång i Byanätets switch.

Jo, suck, jag har märkt att det alltid finns folk som surfar på jätteskumma nätsidor och då hjälper inga brandmurar alls. Då man öppnar en nätsida så ger man ju rätt åt den att ladda ned allt möjligt (ofta förklätt till bilder eller något liknande). Det kan ingen nätoperatör hindra med mindre än att hela nätet stängs.

Därför ser jag övervakningen som viktig. Det gäller att hitta skum trafik så fort som möjligt. På nätet finns det anvisningar om vad man bör kolla (jag har tyvärr inte adresserna tillgängliga).

Trafiken ut till Internet är inte så farlig. Vi har rent tekniskt Gigabits linje ända till FICIX men har bara betalat för trafik upp till 100 Mbit/s (symmetrisk givetvis). Priserna går ned hela tiden och jag ids inte betala för mer än vi använder (max ca. 60 Mbit/s med fem minuters medeltal). Vi har en router med fyra WAN-portar som kan användas för fail-over eller för att koppla upp nätet via flera operatörer. Vi använder fail-over med trådlös anslutning på ca. 10 Mbit/s ifall fiberkabeln skulle grävas av. Då kan folk åtminstone läsa eposten.

Danno: "Attacker av olika slag som belastar nätet, är det andra som kanske behöver motarbetas på något sett. Men de är i alla fall tillfälliga ..."

Inte bara "kanske" motarbetas utan de måste motarbetas. Attakerna är tillfälligt regelbundna skulle jag säga. Sitter dagarna i ända framför logskärmen på min brandmur och ser på alla röda rader med droppade paket. De gröna raderna är OK-paket. Allt som oftast är skärmen helt röd - inte en enda grön rad syns. Det är mot detta forum attakerna riktar sig. Har även andra globalt synliga IP:n, men de störs inte.

Att ha en Global IP är OK, att hänga ut en server är OK, men att öppna för bruk med Google i spetsen är inte så OK längre. Ett "vanligt" ADSL-modem med "vanlig" brandmur klarade inte trafiken. Jag har prövat fem av de "vanliga" och alla täpptes dom till.

Sen är det förstås fråga om var och av vem den här trafiken skall stoppas.

Är det byanätets sak eller är det hushållens? Allt tyder på att problemen dyker upp först när man sätter en allmän web-server på Internet.

En tvåpipig sak det här. Visst är det serverhållarens sak att övervaka sin egen server. Men, det är andelslaget som betalar för transiten.

Jo, det är forumprogrammen som drar till sej skräp. Därför rekommenderar jag att de läggs på webbhotell utanför byanätet. Det finns riktigt billiga och bra webbhotell. Vi har våra forum i Stockholm. Finland är alldeles för dyrt och man skall akta sej för webbhotell som har servrar i USA (då lyder de under USA-lag ...).

Vi har vår egen interna server också som är viktig ifall förbindelsen till Internet krånglar. Jag ber folk att kolla den interna servern (Hindrik) med direkt IP-nummer 192.168.100.7 ifall de har problem. Då vet man direkt om det är DNS-servern (hos Nebula) som krånglar eller något annat. Det vanligaste problemet är just att Nebulas DNS krånglar. Windows ser ingen skillnad men om folk kan komma in i Hindrik med IP-nummer så är den fysiska förbindelsen hemma hos dem OK.

Hindrik har inget forumprogram och är därför inte intressant för skräpgänget. Jag sätter in meddelanden om driften direkt i HTML.

Det är inte förbjudet med server inom vårt nät men om den genererar Gigabits trafik så blir det nog extra kostnader för den anslutningen. Vi kan inte ha alla andra att betala för den trafiken. Storladdarna är ett liknande problem men så länge de inte stör de andra så får de hållas. Men börjar nån fylla hela linjen med torrentar så ändrar vi betalningssystemet.

Hmmm.... svår princip att ta mer betalt av dem som har stor trafik.

Vad är skräp? En Katt-Server som släpar in allt tusan? Är torrentar skräp? MaxiVisions filmer?

Riktlinjerna från EU-håll har varit att trafik som sätter nätets funktion på knä kan stoppas. Sk. Dyr trafik kan inte stoppas.

Ingenting förbjuder att man tar lite extra betalt för den dyra trafiken. Men då landar man igen på frågeställningen, vad är dyr trafik? Torrent, ja? MaxiVision, nej?

Landar vi på en personlig Internet-anslutning sen också? Var och en betalar för sig.

Vi brukar lösa sådana problem med att komma överens. Här går det i allmänhet att diskutera saken. Men blir det problem så kan jag sätta in en balanserare som ger alla en bit av kakan dvs. storförbrukarna får inte allting. Enda möjligheten är i praktiken att begränsa hastigheten. Nån mätning av trafiken kommer inte på fråga. Då måste storförbrukarna fundera över om de vill ha full fart (och betala mer) eller köra dygnet runt med en lägre fart.

Utgångspunkten är att alla har full fart (100 Mbit/s) tills det blir problem. Sedan fixar vi problemen på något sätt.

Best effort alltså. Med QoS till extrapris om det behövs.

Vi har tänkt i liknande banor. De som tycker att de gemensamma trafikreglerna typ Nisses regler, inte funkar får en egen linje ut på Internet. Till ett facilt pris dessutom.

Jag menar, inte är alternativet med enbart färdigt prissatta QoS baserade Internet-linjer riktigt problemfria de heller.

Hur gör ni andra?