alibek Опубликовано 19 июля, 2015 · Жалоба Ну я малость глумился. Но я и в самом деле не могу придумать ситуации в современном телекоме, когда бы без proxy-arp не обойтись. Домовые локальные сети и межабонентский трафик (на L2) ушли в прошлое, во всяком случае в ISP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 19 июля, 2015 · Жалоба Домовые локальные сети и межабонентский трафик ушли в прошлое, во всяком случае в ISP. торрент не будет подтягивать с "соседей"? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdc Опубликовано 19 июля, 2015 · Жалоба Но я и в самом деле не могу придумать ситуации в современном телекоме, когда бы без proxy-arp не обойтись.Домовые локальные сети и межабонентский трафик ушли в прошлое, во всяком случае в ISP. Значительный межабонентский трафик в прошлом, но вот связность никто не отменял.В какой-нибудь момент сеть достигает таких масштабов, когда один из абонентов вдруг попытается зайти на сайт, который хостит другой абонент. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehmeh Опубликовано 19 июля, 2015 (изменено) · Жалоба Надо не забывать, что подтягивать не будет в рамках одной подсети и разных VLAN. Если это /24 - вероятность крайне мала. Тоже самое для сайта, который хостит другой абонент. У нас за все время работы unnumbered without proxy-arp было может пару звонков. Включили proxy-arp и все. Изменено 19 июля, 2015 пользователем tehmeh Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 июля, 2015 · Жалоба Я забыл уточнить, межабонентский трафик на L2. Для связности на L3 proxy-arp не требуется. Но у меня не те масштабы, чтобы от этого какой-то заметный эффект был. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diman_xxxx Опубликовано 20 июля, 2015 · Жалоба а как выглядит SVI? ОН создается на аср? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 20 июля, 2015 · Жалоба Diman_xxxx если речь идёт про asr1000, то там аналог классического interface vlan-а делается через bridge-domain и связанные с ним фичи Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diman_xxxx Опубликовано 20 июля, 2015 · Жалоба Diman_xxxx если речь идёт про asr1000, то там аналог классического interface vlan-а делается через bridge-domain и связанные с ним фичи Спасибо, просто глядя на кусок конфига батчера, вижу интерфейс-влан и роут. Но непонимаю как на него навешивается скорость ? пс: успели научить делать так, как уже сделано, но хочеться больше:-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
linx Опубликовано 21 июля, 2015 · Жалоба На микротике у оператора можно сделать так: /ip address add address=10.1.3.1/32 interface=vlan_2 network=10.1.3.2 add address=10.1.3.1/32 interface=vlan_3 network=10.1.3.3 add address=10.1.3.1/32 interface=vlan_4 network=10.1.3.4 При этом у абонента из влана 2 будут настройки: Адрес - 10.1.3.2 Маска - 255.255.255.0 Шлюз - 10.1.3.1 При этом у абонента из влана 3 будут настройки: Адрес - 10.1.3.3 Маска - 255.255.255.0 Шлюз - 10.1.3.1 При этом у абонента из влана 4 будут настройки: Адрес - 10.1.3.4 Маска - 255.255.255.0 Шлюз - 10.1.3.1 Если нужно все эти 4 адреса выдать в одном влане, тогда указываете: /ip address add address=10.1.3.1/32 interface=vlan_2 network=10.1.3.2 add address=10.1.3.1/32 interface=vlan_2 network=10.1.3.3 add address=10.1.3.1/32 interface=vlan_2 network=10.1.3.4 Клиент сможет подключить через коммутатор 3 компьютера и на каждом ввести выше указанные настройки. При этом никаких дополнительных роутов и т.п. не потребуется прописывать. Широковещательный адрес это и есть адрес абонента. Был на тесте RB-1100, я навешивал такую конструкцию для ip unnumbered /ip address add address=10.151.4.254/24 interface=vlan100 network=10.151.4.0/ip route add dst-address=10.151.4.11 gateway=vlan3 pref-src=10.151.4.254/ip route add dst-address=10.151.4.14 gateway=vlan3 pref-src=10.151.4.254/interface vlan set vlan3 arp=proxy-arp Будет возможность проверю с широковещательным адресом, насколько такая реализация удобнее Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 21 июля, 2015 · Жалоба Был на тесте RB-1100, я навешивал такую конструкцию для ip unnumbered /ip address add address=10.151.4.254/24 interface=vlan100 network=10.151.4.0 /ip route add dst-address=10.151.4.11 gateway=vlan3 pref-src=10.151.4.254 /ip route add dst-address=10.151.4.14 gateway=vlan3 pref-src=10.151.4.254 /interface vlan set vlan3 arp=proxy-arp Будет возможность проверю с широковещательным адресом, насколько такая реализация удобнее Смотря с какой стороны посмотреть. В моей схеме при указании 1 адреса абоненту создается только одна запись в настройках - все в IP адресе. В вашем примере требуется 2 записи - сначала повесить адрес, потом маршрут. При этом надо отслеживать соответствие маршрутов. Оба способа работоспособны, для работы на распределенной транспортной сети на уровне L3 вариант с IP лучше, чем с маршрутами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
linx Опубликовано 21 июля, 2015 · Жалоба ну по сути также для абонента только одна запись (роут), т.к. на vlan100 который нигде не участвует в L2 и есть только на микротике (аналогия лупбека), достаточно один раз навесить шлюзы /24 для абонентов, далее вешаются роуты для абонентов на соответсвующий вилан. Меня вот интересует все-таки поднятый выше вопрос, возможно ли при одном вилане на /24 сетку (клиенту отдается маска /24) направлять межабонентский трафик от абонентов этой сети через ядро (шлюз с ip unnumbered) а не напрямую? traffic_segmentation и port-isolate настроеный на хождение трафика от абонентов только к порту аплинку вплоть до шлюза не решает проблему Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
furai Опубликовано 21 июля, 2015 · Жалоба Возможно через proxy arp. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
linx Опубликовано 21 июля, 2015 (изменено) · Жалоба хотелось бы чтобы было возможно а на практике пока все наоборот cat /proc/sys/net/ipv4/conf/vlan3/proxy_arp 1 клиент смотрит на маску и игнорит обращение к шлюзу, делает рывок к соседу напрямую и тут его рубит коммутатор, пакет не уходит к соседу C:\Users\mundus>tracert 10.10.10.16 Трассировка маршрута к 10.10.10.16 с максимальным числом прыжков 30 1 T-100.yadrin [10.10.10.15] сообщает: Заданный узел недоступен. Трассировка завершена. на шлюзе. глобально включен traffic_segmentation/port isolate, хождение трафика только на аплинк, потому арп добегает до шлюза, но между клиентами пакеты не бегают tcpdump -i vlan3 host 10.10.10.15 -n tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on vlan3, link-type EN10MB (Ethernet), capture size 65535 bytes 04:18:57.315103 ARP, Request who-has 10.10.10.16 tell 10.10.10.15, length 46 04:18:58.317274 ARP, Request who-has 10.10.10.16 tell 10.10.10.15, length 46 04:18:59.320623 ARP, Request who-has 10.10.10.16 tell 10.10.10.15, length 46 traffic_segmentation/port isolate отключен, пакет сразу убежал к соседу минуя шлюз. видно что на шлюз ничего не пришло tcpdump -i vlan3 host 10.10.10.15 -n tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on vlan3, link-type EN10MB (Ethernet), capture size 65535 bytes ^C 0 packets captured 149 packets received by filter 0 packets dropped by kernel Вот у меня в шаред вилане не получается полноценно раздать /32 на абонента отдавая маску /24. Нарушается межабонентский обмен, для некоторых клиентов это критично (например тем кто являясь нашим абонентом по удаленке vnc/rdp обслуживает подключенного к нам же юрика и оба попали в одну /24 сеть). На микротике уже не помню как было. Просто делать вилан на абонента пока не возможно из-за логики билинга. Потому сделано довольно топорно вилан на /24 сетку, по аналогии с микротиком шлюзы для абонентов висят на lo + blackhole 10.10.10.0/24, для абонентов ток создается роут 10.10.10.15 dev vlan3 src 10.10.10.254, dhcp отдает клиентам маску /24. Интересно как будет работать такая схема если использовать cisco, cisco-like устройства Изменено 21 июля, 2015 пользователем linx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 22 июля, 2015 · Жалоба А что на циске или других, отличных от микротика устройствах, нельзя повесить много много IP адресов с нужным нетворком на один интерфейс? Это все проблемы снимает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 22 июля, 2015 · Жалоба Можно. Но не нужно. Если все клиенты будут на одном интерфейсе с множеством secondary ip, отличаясь только используемым ip-адресом, то как их индивидуально ограничивать и резать скорость, кучей ACL? И кто помешает клиенту указать чужой ip? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 22 июля, 2015 · Жалоба Если все клиенты будут на одном интерфейсе с множеством secondary ip, отличаясь только используемым ip-адресом, то как их индивидуально ограничивать и резать скорость, кучей ACL? И кто помешает клиенту указать чужой ip? В таком случае задача не имеет решения, т.к. при схеме влан на клиента, есть интерфейс, можно повесить на него один адрес и включить выдачу АРП по запросам DHCP сервера. Если интерфейс один, то резать скорость можно по IP, и делать привязку по маку, но это прошлый век уже. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 22 июля, 2015 · Жалоба ip unnumbered + route на нужный влан как уже говорили, а на самом лупбеке хоть сто адресов secondary Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...