[alibek]

Ну я малость глумился.

Но я и в самом деле не могу придумать ситуации в современном телекоме, когда бы без proxy-arp не обойтись.

Домовые локальные сети и межабонентский трафик (на L2) ушли в прошлое, во всяком случае в ISP.

[rdntw]

Домовые локальные сети и межабонентский трафик ушли в прошлое, во всяком случае в ISP.

торрент не будет подтягивать с "соседей"?

[rdc]

Но я и в самом деле не могу придумать ситуации в современном телекоме, когда бы без proxy-arp не обойтись.

Домовые локальные сети и межабонентский трафик ушли в прошлое, во всяком случае в ISP.

Значительный межабонентский трафик в прошлом, но вот связность никто не отменял.

В какой-нибудь момент сеть достигает таких масштабов, когда один из абонентов вдруг попытается зайти на сайт, который хостит другой абонент.

[tehmeh]

Надо не забывать, что подтягивать не будет в рамках одной подсети и разных VLAN. Если это /24 - вероятность крайне мала. Тоже самое для сайта, который хостит другой абонент.

У нас за все время работы unnumbered without proxy-arp было может пару звонков. Включили proxy-arp и все.

Изменено 19 июля, 2015 пользователем tehmeh

[alibek]

Я забыл уточнить, межабонентский трафик на L2.

Для связности на L3 proxy-arp не требуется.

Но у меня не те масштабы, чтобы от этого какой-то заметный эффект был.

[Diman_xxxx]

а как выглядит SVI? ОН создается на аср?

[s.lobanov]

Diman_xxxx

если речь идёт про asr1000, то там аналог классического interface vlan-а делается через bridge-domain и связанные с ним фичи

[Diman_xxxx]

Diman_xxxx

если речь идёт про asr1000, то там аналог классического interface vlan-а делается через bridge-domain и связанные с ним фичи

Спасибо, просто глядя на кусок конфига батчера, вижу интерфейс-влан и роут. Но непонимаю как на него навешивается скорость ?

пс: успели научить делать так, как уже сделано, но хочеться больше:-)

[linx]

На микротике у оператора можно сделать так:

 

/ip address

add address=10.1.3.1/32 interface=vlan_2 network=10.1.3.2

add address=10.1.3.1/32 interface=vlan_3 network=10.1.3.3

add address=10.1.3.1/32 interface=vlan_4 network=10.1.3.4

 

При этом у абонента из влана 2 будут настройки:

Адрес - 10.1.3.2

Маска - 255.255.255.0

Шлюз - 10.1.3.1

 

При этом у абонента из влана 3 будут настройки:

Адрес - 10.1.3.3

Маска - 255.255.255.0

Шлюз - 10.1.3.1

 

При этом у абонента из влана 4 будут настройки:

Адрес - 10.1.3.4

Маска - 255.255.255.0

Шлюз - 10.1.3.1

 

Если нужно все эти 4 адреса выдать в одном влане, тогда указываете:

 

/ip address

add address=10.1.3.1/32 interface=vlan_2 network=10.1.3.2

add address=10.1.3.1/32 interface=vlan_2 network=10.1.3.3

add address=10.1.3.1/32 interface=vlan_2 network=10.1.3.4

 

Клиент сможет подключить через коммутатор 3 компьютера и на каждом ввести выше указанные настройки. При этом никаких дополнительных роутов и т.п. не потребуется прописывать. Широковещательный адрес это и есть адрес абонента.

 

 

Был на тесте RB-1100, я навешивал такую конструкцию для ip unnumbered

 

/ip address add address=10.151.4.254/24 interface=vlan100 network=10.151.4.0/ip route add dst-address=10.151.4.11    gateway=vlan3 pref-src=10.151.4.254/ip route add dst-address=10.151.4.14    gateway=vlan3 pref-src=10.151.4.254/interface vlan set vlan3    arp=proxy-arp

 

 

Будет возможность проверю с широковещательным адресом, насколько такая реализация удобнее

[Saab95]

Был на тесте RB-1100, я навешивал такую конструкцию для ip unnumbered

/ip address add address=10.151.4.254/24 interface=vlan100 network=10.151.4.0
/ip route add dst-address=10.151.4.11    gateway=vlan3 pref-src=10.151.4.254
/ip route add dst-address=10.151.4.14    gateway=vlan3 pref-src=10.151.4.254
/interface vlan set vlan3    arp=proxy-arp

 

Будет возможность проверю с широковещательным адресом, насколько такая реализация удобнее

 

Смотря с какой стороны посмотреть. В моей схеме при указании 1 адреса абоненту создается только одна запись в настройках - все в IP адресе. В вашем примере требуется 2 записи - сначала повесить адрес, потом маршрут. При этом надо отслеживать соответствие маршрутов.

Оба способа работоспособны, для работы на распределенной транспортной сети на уровне L3 вариант с IP лучше, чем с маршрутами.

[linx]

ну по сути также для абонента только одна запись (роут), т.к. на vlan100 который нигде не участвует в L2 и есть только на микротике (аналогия лупбека), достаточно один раз навесить шлюзы /24 для абонентов, далее вешаются роуты для абонентов на соответсвующий вилан.

 

Меня вот интересует все-таки поднятый выше вопрос, возможно ли при одном вилане на /24 сетку (клиенту отдается маска /24) направлять межабонентский трафик от абонентов этой сети через ядро (шлюз с ip unnumbered) а не напрямую? traffic_segmentation и port-isolate настроеный на хождение трафика от абонентов только к порту аплинку вплоть до шлюза не решает проблему

[furai]

Возможно через proxy arp.

[linx]

хотелось бы чтобы было возможно а на практике пока все наоборот

cat /proc/sys/net/ipv4/conf/vlan3/proxy_arp 
1

клиент смотрит на маску и игнорит обращение к шлюзу, делает рывок к соседу напрямую и тут его рубит коммутатор, пакет не уходит к соседу

C:\Users\mundus>tracert 10.10.10.16

Трассировка маршрута к 10.10.10.16 с максимальным числом прыжков 30

 1  T-100.yadrin [10.10.10.15]  сообщает: Заданный узел недоступен.

Трассировка завершена.

на шлюзе. глобально включен traffic_segmentation/port isolate, хождение трафика только на аплинк, потому арп добегает до шлюза, но между клиентами пакеты не бегают

tcpdump -i vlan3 host 10.10.10.15 -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan3, link-type EN10MB (Ethernet), capture size 65535 bytes
04:18:57.315103 ARP, Request who-has 10.10.10.16 tell 10.10.10.15, length 46
04:18:58.317274 ARP, Request who-has 10.10.10.16 tell 10.10.10.15, length 46
04:18:59.320623 ARP, Request who-has 10.10.10.16 tell 10.10.10.15, length 46

 

traffic_segmentation/port isolate отключен, пакет сразу убежал к соседу минуя шлюз. видно что на шлюз ничего не пришло

tcpdump -i vlan3 host 10.10.10.15 -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan3, link-type EN10MB (Ethernet), capture size 65535 bytes
^C
0 packets captured
149 packets received by filter
0 packets dropped by kernel

 

Вот у меня в шаред вилане не получается полноценно раздать /32 на абонента отдавая маску /24. Нарушается межабонентский обмен, для некоторых клиентов это критично (например тем кто являясь нашим абонентом по удаленке vnc/rdp обслуживает подключенного к нам же юрика и оба попали в одну /24 сеть). На микротике уже не помню как было. Просто делать вилан на абонента пока не возможно из-за логики билинга. Потому сделано довольно топорно вилан на /24 сетку, по аналогии с микротиком шлюзы для абонентов висят на lo + blackhole 10.10.10.0/24, для абонентов ток создается роут 10.10.10.15 dev vlan3 src 10.10.10.254, dhcp отдает клиентам маску /24. Интересно как будет работать такая схема если использовать cisco, cisco-like устройства

Изменено 21 июля, 2015 пользователем linx

[Saab95]

А что на циске или других, отличных от микротика устройствах, нельзя повесить много много IP адресов с нужным нетворком на один интерфейс? Это все проблемы снимает.

[alibek]

Можно. Но не нужно.

Если все клиенты будут на одном интерфейсе с множеством secondary ip, отличаясь только используемым ip-адресом, то как их индивидуально ограничивать и резать скорость, кучей ACL?

И кто помешает клиенту указать чужой ip?

[Saab95]

Если все клиенты будут на одном интерфейсе с множеством secondary ip, отличаясь только используемым ip-адресом, то как их индивидуально ограничивать и резать скорость, кучей ACL?

И кто помешает клиенту указать чужой ip?

 

В таком случае задача не имеет решения, т.к. при схеме влан на клиента, есть интерфейс, можно повесить на него один адрес и включить выдачу АРП по запросам DHCP сервера.

Если интерфейс один, то резать скорость можно по IP, и делать привязку по маку, но это прошлый век уже.

[GrandPr1de]

ip unnumbered + route на нужный влан как уже говорили, а на самом лупбеке хоть сто адресов secondary