Jump to content
Калькуляторы

Статика (выделенная линия) /32 на клиента Не подскажите, как такое сделать?

Подскажите, как можно такое сделать?

Организации мы подключаем статикой — выделенный VLAN до маршрутизатора, подсеть /30 (или больше), младший IP на PE, остальные отдаются клиенту (CE).

Соответственно клиент на своем оборудовании прописывает свой IP-адрес, маску, указывает в качестве шлюзе PE и пользуется интернетом. И занимает 4 адреса в подсети.

Хотелось бы сократить расход IP-адресов.

Некоторые используют маску /31, но на моем оборудовании (Cisco 7201) это по-моему не заработает, да и на клиентском могут быть сюрпризы.

Но есть и другой подход - использование ip unnumbered с одним общим шлюзом на всех клиентов и выделением одного IP-адреса на клиента. Когда-то давно я пытался это запустить, но не удалось — тогда это был ADSL и тарифы с оплатой за трафик, и у меня не получилось считать трафик каждого клиента. Кроме того, насколько я помню, были определенные проблемы с изоляцией клиентов друг от друга и с управлением сервиса (отключение по неоплате, управление скоростью).

Но было это лет семь назад, считать трафик более не требуется и железо стало более умным, может быть с тех пор что-то изменилось?

Share this post


Link to post
Share on other sites

Создаете уникальный интерфейс до абонента. Включаете на нем прокси арп.

Вешаете на него первый адрес подсети, в качестве широковещательного адреса указываете IP выданный абоненту.

Все работает.

Share this post


Link to post
Share on other sites

Некоторые используют маску /31, но на моем оборудовании (Cisco 7201) это по-моему не заработает

 

offtop

 

disk2:c7200p-spservicesk9-mz.124-24.T7.bin

Cisco 7206VXR (NPE-G2)

XXXXXXXXXXX#sh run int g0/3
Building configuration...

Current configuration : 273 bytes
!
interface GigabitEthernet0/3
mtu 8978
ip address 185.13.115.95 255.255.255.254
no ip unreachables
ip nat outside
no ip virtual-reassembly
ip ospf 1 area 0
duplex auto
speed auto
negotiation auto
mpls traffic-eng tunnels
ip rsvp bandwidth
end

7206-NPE-G2-MP5#

 

Создаете уникальный интерфейс до абонента. Включаете на нем прокси арп.

Вешаете на него первый адрес подсети, в качестве широковещательного адреса указываете IP выданный абоненту.

Все работает.

 

тут чего-то не хватает...не похоже на Вас.

Share this post


Link to post
Share on other sites

Вешаете на него первый адрес подсети, в качестве широковещательного адреса указываете IP выданный абоненту.

Например подсеть 1.2.3.0/24. Шлюз 1.2.3.250, клиенты с 1.2.3.1 по 1.2.3.200.

На интерфейс вешаю 1.2.3.0/24, широковещательным адресом указываю какой адрес?

 

disk2:c7200p-spservicesk9-mz.124-24.T7.bin

Любопытно.

У меня c7200p-ik91s-mz.122-31.SB17.bin (работал ISG-шлюзом), сейчас уже точно не помню, но какие-то проблемы были.

Попробую накатить ipservices.

Share this post


Link to post
Share on other sites

ip unnumbered то что доктор прописал. У самих на 72ых он самый для юл.

Share this post


Link to post
Share on other sites

ip unnumbered то что доктор прописал. У самих на 72ых он самый для юл.

там можно динамически менять скорость/блокировать?

Share this post


Link to post
Share on other sites

Например подсеть 1.2.3.0/24. Шлюз 1.2.3.250, клиенты с 1.2.3.1 по 1.2.3.200.

На интерфейс вешаю 1.2.3.0/24, широковещательным адресом указываю какой адрес?

 

Адрес абонента. Эта штука работает только на интерфейсе. Если вы выделили влан абоненту, то подсеть вешаете 1.2.3.1/24, нетворк 1.2.3.100 - это адрес абонента. Если нужно выдать 2 и более адресов, просто вешаете еще один и более адресов, изменяя нетворк.

Share this post


Link to post
Share on other sites

ip unnumbered то что доктор прописал. У самих на 72ых он самый для юл.

там можно динамически менять скорость/блокировать?

Там есть ISG, в некотором роде можно.

Share this post


Link to post
Share on other sites

У нас это делает скрипт. Скорость режем на интерфейсе, так как vlan-per-user

Share this post


Link to post
Share on other sites

alibek, у меня BRAS-ы для vlan-per-user+ip-unnumbered на каталистах, конфиг ниже, но вам для вашего 72-го придётся его немного видоизменить. Но думюа что с этим проблем не будет.

 

interface Loopback0

description BGP and IP UNNUMBERED IFACE (DO NOT SHUTDOWN)

ip address 195.208.163.2 255.255.255.224

ip address 195.208.160.1 255.255.254.0 secondary

ip address 31.211.44.1 255.255.255.0 secondary

ip helper-address 10.3.0.3

end

 

 

!из descr убрал ФИО абонентов дабы не смущать их если вдруг забредут на этот форум.

 

interface Vlan801

ip unnumbered Loopback0

ip helper-address 10.3.0.3

no ip redirects

!

interface Vlan802

ip unnumbered Loopback0

ip helper-address 10.3.0.3

no ip redirects

!

interface Vlan803

description ABON-1,ZNAMENSKIY-4

ip unnumbered Loopback0

ip helper-address 10.3.0.3

no ip redirects

!

interface Vlan804

description ABON-3,-NIKOLSKY-17

ip unnumbered Loopback0

ip helper-address 10.3.0.3

no ip redirects

!

interface Vlan805

description ABON-3,RUSAKOVSKY-11

ip unnumbered Loopback0

ip helper-address 10.3.0.3

no ip redirects

!

interface Vlan806

description ABON-4,YAMSKOI-6

ip unnumbered Loopback0

ip helper-address 10.3.0.3

no ip redirects

shutdown

!

interface Vlan807

description ABON-5,YAMSKOY-2B

ip unnumbered Loopback0

ip helper-address 10.3.0.3

no ip redirects

!

interface Vlan808

description ABON-6,SEVERYANKA-3

ip unnumbered Loopback0

ip helper-address 10.3.0.3

no ip redirects

!

interface Vlan809

description ABON-7,PETRA-VELIKOGO-1

ip unnumbered Loopback0

ip helper-address 10.3.0.3

no ip redirects

!

interface Vlan2701

ip unnumbered Loopback0

ip helper-address 10.3.0.3

no ip redirects

!

interface Vlan2702

ip unnumbered Loopback0

ip helper-address 10.3.0.3

no ip redirects

!

interface Vlan2703

ip unnumbered Loopback0

ip helper-address 10.3.0.3

no ip redirects

!

interface Vlan2704

ip unnumbered Loopback0

ip helper-address 10.3.0.3

no ip redirects

!

interface Vlan2705

ip unnumbered Loopback0

ip helper-address 10.3.0.3

no ip redirects

!

interface Vlan2706

ip unnumbered Loopback0

ip helper-address 10.3.0.3

no ip redirects

!

 

ip route 195.208.160.96 255.255.255.255 Vlan801

ip route 195.208.160.97 255.255.255.255 Vlan802

ip route 195.208.160.98 255.255.255.255 Vlan803

ip route 195.208.160.100 255.255.255.255 Vlan805

ip route 195.208.160.101 255.255.255.255 Vlan807

ip route 195.208.160.102 255.255.255.255 Vlan808

ip route 195.208.160.103 255.255.255.255 Vlan358

ip route 195.208.160.104 255.255.255.255 Vlan358

ip route 195.208.160.105 255.255.255.255 Vlan809

ip route 195.208.160.106 255.255.255.255 Vlan810

ip route 195.208.160.107 255.255.255.255 Vlan811

ip route 195.208.160.108 255.255.255.255 Vlan812

 

 

ip route 31.211.44.128 255.255.255.255 Vlan2701

ip route 31.211.44.129 255.255.255.255 Vlan2702

ip route 31.211.44.130 255.255.255.255 Vlan2703

ip route 31.211.44.131 255.255.255.255 Vlan2704

ip route 31.211.44.132 255.255.255.255 Vlan2705

ip route 31.211.44.133 255.255.255.255 Vlan2706

ip route 31.211.44.134 255.255.255.255 Vlan2707

ip route 31.211.44.135 255.255.255.255 Vlan2708

ip route 31.211.44.136 255.255.255.255 Vlan2709

ip route 31.211.44.137 255.255.255.255 Vlan2710

ip route 31.211.44.138 255.255.255.255 Vlan2711

ip route 31.211.44.139 255.255.255.255 Vlan2712

ip route 31.211.44.140 255.255.255.255 Vlan2713

ip route 31.211.44.141 255.255.255.255 Vlan2714

ip route 31.211.44.142 255.255.255.255 Vlan2715

ip route 31.211.44.144 255.255.255.255 Vlan2717

ip route 31.211.44.145 255.255.255.255 Vlan2718

 

 

 

interface GigabitEthernet0/6

description LINK-TO-RAYON-1

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 2,2701-2715,2717,2718,2720,2721,2739

switchport mode trunk

switchport nonegotiate

srr-queue bandwidth share 1 50 43 7

srr-queue bandwidth shape 3 0 0 0

priority-queue out

no cdp enable

spanning-tree portfast trunk

spanning-tree bpdufilter enable

service-policy input QOS-CUSTOMERS

end

 

 

interface GigabitEthernet0/16

description LINK-TO-RAYON-2

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 2,801-808,815,816,820

switchport trunk allowed vlan add 822-826,828-831,835,845,848,998,1383,3254

switchport mode trunk

switchport nonegotiate

srr-queue bandwidth share 1 50 43 7

srr-queue bandwidth shape 3 0 0 0

priority-queue out

no cdp enable

spanning-tree portfast trunk

spanning-tree bpdufilter enable

service-policy input QOS-CUSTOMERS

end

Share this post


Link to post
Share on other sites

а напомните-ка кто из железных брасов умеет брасить статик сабскрайбер?

se вроде может говорили, в соседней ветке про элтекс упомянули, если будет норм решение почему бы не поставить одну такую в центр и дотягивать всех до туда

Share this post


Link to post
Share on other sites

А разве это не самое примитивное и не умеют ли это делать абсолютно все? Думаю что asr 100% умеет

Share this post


Link to post
Share on other sites

Думаю что asr 100% умеет

в том числе и ASR1002? или только 9к?

Share this post


Link to post
Share on other sites

думаю что в том числе и ASR1002.

"Проблема" статик сабскрайбера в том что при vlan-per-user мы имеем ограничение в 4К-VLAN.

А если вычеркнуть немного для нужд сети, для транзита QINQ. то под абонентов и того меньше.

В итоге без использования qinq мы можем водрузить ~3500 абонов на одну железку. А дальше надо QINQ.

Но, все ASR-ы его уже умеют "из коробки" так что для больших сетей проблем быть не должно.

Share this post


Link to post
Share on other sites

думаю что в том числе и ASR1002.

"Проблема" статик сабскрайбера в том что при vlan-per-user мы имеем ограничение в 4К-VLAN.

А если вычеркнуть немного для нужд сети, для транзита QINQ. то под абонентов и того меньше.

В итоге без использования qinq мы можем водрузить ~3500 абонов на одну железку. А дальше надо QINQ.

Но, все ASR-ы его уже умеют "из коробки" так что для больших сетей проблем быть не должно.

 

присмотрюсь, спасибо.

 

еще Eltex пишет что умеет..надо спросить цену))

 

Управление IP-адресацией

 

Статические адреса

DHCP клиент

PPPoE клиент1

Встроенный DHCP сервер

DHCP Relay1

 

http://eltex.nsk.ru/catalog/esr-1000.php

Share this post


Link to post
Share on other sites

У Eltex ни слова нету про ip-unnumbered. Есть упоминание про IPoe но это может быть самый обычный shared-vlan (влан на район)

Вообщем с ними повнимательнее ;)

 

p.s. Повнимательно посмотрев ещё раз улыбнулся.

Функции BRAS с пометкой 1

 

и в самом низу:

пометка "1" - Не поддерживается в текущей версии ПО 1.0.3

 

 

Так ещё внимательнее с ними :-D

Share this post


Link to post
Share on other sites

Думаю что asr 100% умеет

в том числе и ASR1002? или только 9к?

1002 умеет

Share this post


Link to post
Share on other sites

Если вы выделили влан абоненту, то подсеть вешаете 1.2.3.1/24, нетворк 1.2.3.100 - это адрес абонента.

Откуда взялся .100?

У абонента ведь .1, шлюз .250.

Если у абонента несколько IP-адресов, то несколько широковещательных IP я навесить явно не смогу, нужно будет прописывать маршрут /32 через линковый адрес (а такое не всякое клиентское оборудование понимает).

 

ip unnumbered то что доктор прописал

А как именно сделано?

С шаблоном и виртуальными интерфейсами?

Допустим клиенту был выдан IP-адрес 1.2.3.1/24 со шлюзом 1.2.3.250 и скоростью 10 Мбит/с.

А он взял и указал IP-адрес 1.2.3.2/24, у которого скорость 50 Мбит/с.

Как такие ситуации исключить?

 

alibek, у меня BRAS-ы для vlan-per-user+ip-unnumbered на каталистах, конфиг ниже, но вам для вашего 72-го придётся его немного видоизменить

Спасибо, изучу.

Share this post


Link to post
Share on other sites

Допустим клиенту был выдан IP-адрес 1.2.3.1/24 со шлюзом 1.2.3.250 и скоростью 10 Мбит/с.

А он взял и указал IP-адрес 1.2.3.2/24, у которого скорость 50 Мбит/с.

Как такие ситуации исключить?

Если vlan-per-user то прописав себе левый IP ничего не произойдет.

У нас интерфейсы висят прям на порту:

int port 1.111
ip unnum loop0
desc Abon1
enc dot1q 111
exit
ip route 1.2.3.2 255.255.255.255 port-c 1.111

Скорость 10мбит повешана прям на этот интерфейс

Share this post


Link to post
Share on other sites

Откуда взялся .100?

У абонента ведь .1, шлюз .250.

Если у абонента несколько IP-адресов, то несколько широковещательных IP я навесить явно не смогу, нужно будет прописывать маршрут /32 через линковый адрес (а такое не всякое клиентское оборудование понимает).

 

На микротике у оператора можно сделать так:

 

/ip address

add address=10.1.3.1/32 interface=vlan_2 network=10.1.3.2

add address=10.1.3.1/32 interface=vlan_3 network=10.1.3.3

add address=10.1.3.1/32 interface=vlan_4 network=10.1.3.4

 

При этом у абонента из влана 2 будут настройки:

Адрес - 10.1.3.2

Маска - 255.255.255.0

Шлюз - 10.1.3.1

 

При этом у абонента из влана 3 будут настройки:

Адрес - 10.1.3.3

Маска - 255.255.255.0

Шлюз - 10.1.3.1

 

При этом у абонента из влана 4 будут настройки:

Адрес - 10.1.3.4

Маска - 255.255.255.0

Шлюз - 10.1.3.1

 

Если нужно все эти 4 адреса выдать в одном влане, тогда указываете:

 

/ip address

add address=10.1.3.1/32 interface=vlan_2 network=10.1.3.2

add address=10.1.3.1/32 interface=vlan_2 network=10.1.3.3

add address=10.1.3.1/32 interface=vlan_2 network=10.1.3.4

 

Клиент сможет подключить через коммутатор 3 компьютера и на каждом ввести выше указанные настройки. При этом никаких дополнительных роутов и т.п. не потребуется прописывать. Широковещательный адрес это и есть адрес абонента.

Share this post


Link to post
Share on other sites

Если vlan-per-user то прописав себе левый IP ничего не произойдет.

Насколько я понял, основные моменты это:

- создается SVI без IP-адреса (ip unnumbered)

- этот SVI - это выделенная линия абонента и управление услугами (скорость, доступ) управляется на SVI — применяется шейпер, ACL, shutdown.

- клиентский IP-адрес на интерфейс вообще не вешается, он задается маршрутом /32 на интерфейс

 

Выглядит вполне работоспособно, попробую такое развернуть.

Единственное что смущает — это маршрут на интерфейс без IP-адреса.

Насколько я помню, обычно это очень плохо и чревато arp-флудом.

Мне кажется, что маршрут вполне можно завернуть через IP петлевого интерфейса.

 

 

add address=10.1.3.1/32

Маска - 255.255.255.0

Широковещательный адрес это и есть адрес абонента.

Насколько я понял идею, смысл в том, что на маршрутизаторе создается подсеть с маской /32 (с IP-адресом шлюза), а клиент в настройках указывает маску /24.

И все работает только потому, что маршрутизатор пакеты, назначенные клиенту, обрабатывает как широковещательные, поэтому они уходят в интерфейс.

Как-то коряво выглядит. И наверняка можно ожидать проблем, если на стороне абонента не мыльница, а энтерпрайз-оборудование.

И кроме того, 10.1.3.2 и 10.1.3.3 не смогут обмениваться данными друг с другом, поскольку при маске /24 они будут считать, что находятся в одной подсети, и не будут слать пакеты через шлюз.

Share this post


Link to post
Share on other sites

насчет /24 если не ошибаюсь есть proxy arp

Share this post


Link to post
Share on other sites

Насколько я понял идею, смысл в том, что на маршрутизаторе создается подсеть с маской /32 (с IP-адресом шлюза), а клиент в настройках указывает маску /24.

 

Клиент в настройках может указать вообще любую маску, хоть /8.

 

И все работает только потому, что маршрутизатор пакеты, назначенные клиенту, обрабатывает как широковещательные, поэтому они уходят в интерфейс.

 

Вы можете повесить несколько IP на интерфейс.

 

Как-то коряво выглядит. И наверняка можно ожидать проблем, если на стороне абонента не мыльница, а энтерпрайз-оборудование.

 

Нет. С такой схемой каждый адрес абонента автоматически появляется в роутах и анонсится через OSPF, то есть в большой сети из роутеров все про друг друга знают. Никаких проблем ни с каким абонентским оборудованием нет, т.к. на нем все работает по штатной типовой схеме.

 

И кроме того, 10.1.3.2 и 10.1.3.3 не смогут обмениваться данными друг с другом, поскольку при маске /24 они будут считать, что находятся в одной подсети, и не будут слать пакеты через шлюз.

 

Включаете везде proxy-arp и всего делов.

Share this post


Link to post
Share on other sites

С такой схемой каждый адрес абонента автоматически появляется в роутах и анонсится через OSPF

Причем тут OSPF?

В заголовке черным по белому указано слово «статика».

 

Включаете везде proxy-arp и всего делов.

Поэтому и говорю, что реализация корявая.

В нормальной сети proxy-arp не нужен.

Это устаревшая технология.

Share this post


Link to post
Share on other sites

alibek

Крайне странно слышать такие слова не от Сааба, а от вполне адекватного человека :)

IP unnumbered+proxy arp очень удобная и вполне современная технология. Нужен межабонентский трафик - включаете proxy arp, не нужен - не включаете.

А "выделенная линия с /32 на клиента" работает в любом случае замечательно, тут и тестировать нечего.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this