vavi Posted August 3, 2015 Добрый вечер! Имеется сеть из управляющих коммутаторов DLink DGS и Mikrotik для раздачи интернет и как DHCP Server. Подскажите или пример настройки Mikrotika для option 82. Нужно что бы микротик выдавал ip адреса из соответствующего пула в зависимости от свича или порта. На DLink enable dhcp_local_relay config dhcp_local_relay vlan vlanid 1 state enable на микротик видны Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted August 4, 2015 Имеется сеть из управляющих коммутаторов DLink DGS и Mikrotik для раздачи интернет и как DHCP Server. Как то не очень согласуется сеть на нормальных управляемых коммутаторах, поддерживающих в полном объеме влан на абонента и влан транкинг и Подскажите или пример настройки Mikrotika для option 82. Желание использовать устаревшие технологии. Делайте схему влан на абонента, на микротике на каждом влане создавайте свой DHCP сервер, далее /interface vlan add arp=reply-only interface=bridge_vlan name=vlan_35 vlan-id=35 /ip address add address=10.10.20.1/32 network=10.10.20.35 interface=vlan_35 /ip pool add name=dhcp_pool_35 ranges=10.10.20.35 /ip dhcp-server add add-arp=yes address-pool=dhcp_pool_35 disabled=no interface=vlan_35 lease-time=5m name=dhcp_35 Все будет отлично работать с раздачей IP поштучно. Естественно вместо серых, можно использовать белые IP. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
OK-2004 Posted August 4, 2015 1.Мелкотик может работать тока как dhcp-relay а не как dhcp-сервер с поддержкой опции 82 2.Идея "в каждый влан по своему dhcp-серверу " весьма забавна, особенно если микротик терминирует 256+ вланов.... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rmika Posted August 5, 2015 >Все будет отлично работать с раздачей IP поштучно. Естественно вместо серых, можно использовать белые IP. А какие можно траблы получить если не заморачиваться с реальными адресами на пользовательский влан, а просто сделать нат 1:1 в серый адрес абонента? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted August 5, 2015 2.Идея "в каждый влан по своему dhcp-серверу " весьма забавна, особенно если микротик терминирует 256+ вланов.... Есть места где и 1000 вланов - никаких проблем. А какие можно траблы получить если не заморачиваться с реальными адресами на пользовательский влан, а просто сделать нат 1:1 в серый адрес абонента? Для работы НАТ нужно включать Connection Tracking, который отъедает половину производительности устройства, вот вам и траблы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rmika Posted August 5, 2015 А какие можно траблы получить если не заморачиваться с реальными адресами на пользовательский влан, а просто сделать нат 1:1 в серый адрес абонента? Для работы НАТ нужно включать Connection Tracking, который отъедает половину производительности устройства, вот вам и траблы. Как тогда лучше из 1000 вланов, в 10-100-300 отдать реальные адреса? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted August 6, 2015 Как тогда лучше из 1000 вланов, в 10-100-300 отдать реальные адреса? Я же приводил выше пример конфига, вот как там написано, так и раздавайте. Для каждого абонента должен быть уникальный влан. Микротик по запросам через радиус выдает имя интерфейса, биллинг по нему может определять кому какие адреса выдавать. DHCP сервер микротика может выполнять присвоение IP на интерфейс и создание маршрута в автоматическом режиме. Сейчас тут могут нарисоваться критики микротика и сказать, что мол это будет глючить и виснуть, т.к. при перезагрузке микротика установленные IP адреса останутся присвоенными на интерфейсах, но ничего не мешает при загрузке самого устройства удалять все привязки IP адресов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rmika Posted August 7, 2015 Как тогда лучше из 1000 вланов, в 10-100-300 отдать реальные адреса? Я же приводил выше пример конфига, вот как там написано, так и раздавайте. Для каждого абонента должен быть уникальный влан. Микротик по запросам через радиус выдает имя интерфейса, биллинг по нему может определять кому какие адреса выдавать. DHCP сервер микротика может выполнять присвоение IP на интерфейс и создание маршрута в автоматическом режиме. Сейчас тут могут нарисоваться критики микротика и сказать, что мол это будет глючить и виснуть, т.к. при перезагрузке микротика установленные IP адреса останутся присвоенными на интерфейсах, но ничего не мешает при загрузке самого устройства удалять все привязки IP адресов. Как мне реальные Ip сэкономить? Нат 1:1 позволяет спокойно расширять пул реальных адресов... А в влане на юзера надо вланы в бридж объединить? Т.е. как расходовать только /32 при влане на юзера? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted August 8, 2015 Как мне реальные Ip сэкономить? Смотрите приведенный конфиг выше. Нат 1:1 позволяет спокойно расширять пул реальных адресов... Нат 1:1 позволяет спокойно проблемы на пустом месте придумать. А в влане на юзера надо вланы в бридж объединить? Нет. Смотрите приведенный конфиг выше. Т.е. как расходовать только /32 при влане на юзера? Смотрите приведенный конфиг выше. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vavi Posted August 11, 2015 (edited) Всем большое спасибо за потраченное время! Идеи конечно интересные, но я пытался как раз таки настроить на Mikrotikе DHCP server c использованием option 82. Как я понял Mikrotik это не умеет. Edited August 11, 2015 by vavi Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
agach Posted August 13, 2015 Вам же показали как. надо сделать схему vlan-per-user и на каждом влане поднимать dhcp сервер, который будет кушать опцию 82. Если вланов не больше 500, то проблем особо нет. раньше были проблемы с шейпингом из-за большого кол-ва очередей, сейчас они решены. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
OK-2004 Posted August 13, 2015 ....влане поднимать dhcp сервер, который будет кушать опцию 82. ..... Не-Не-Не! Это как раз так и пытался донести Saab, что раздача по opt82 ип-ов по номеру {свича,влана, порта} - "устаревшая" технология. Если в каждый "вланистый" интерфейс микротика засунуть свой dhcp-сервер, то opt-82 ваще не надо будет и dhcp-релей можно будет снести со всех свитчей. Если (как Вы сказали ) Микротику плохеется при кол-ве вланов около 500 ( возьмем для ровного счёта 512 ) то чтобы окучить все 4096 вланов надо всего-то поставить полку из 8 микротиков , на которых будут крутиться 4096 дхцп-серверов, что идеально согласуется с успешной маркетинговой политикой "чем больше микротиков- тем лучше для сети". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted August 13, 2015 Это как раз так и пытался донести Saab, что раздача по opt82 ип-ов по номеру {свича,влана, порта} - "устаревшая" технология. Если в каждый "вланистый" интерфейс микротика засунуть свой dhcp-сервер, то opt-82 ваще не надо будет и dhcp-релей можно будет снести со всех свитчей. Если (как Вы сказали ) Микротику плохеется при кол-ве вланов около 500 ( возьмем для ровного счёта 512 ) то чтобы окучить все 4096 вланов надо всего-то поставить полку из 8 микротиков , на которых будут крутиться 4096 дхцп-серверов, что идеально согласуется с успешной маркетинговой политикой "чем больше микротиков- тем лучше для сети". Можно поставить везде L3 устройства вида Mikrotik CRS и DHCP сервера и IP адреса абонентов указывать прямо на их портах, тогда в центре потребуется только один микротик, т.к. он будет только скорость ограничивать и блокировать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
AlexTN Posted August 13, 2015 Saab95 Садись - "пять". :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted August 13, 2015 будут крутиться 4096 дхцп-серверов, ***ься. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
OK-2004 Posted August 14, 2015 (edited) Можно поставить везде L3 устройства вида Mikrotik CRS и DHCP сервера и IP адреса абонентов указывать прямо на их портах Ну так всё равно эти 4096 серверов остануться, только с уровня ядра/агрегации опустятся на уровень доступа. Можно конечно на МТ-иках , терминирующих по L3 на доступе включить dhcp-релей, и отсылать запросы на центральный isc-dhcp. Можно конечно. И на заре доисторического материализма начала внедрения в нашей сети ipoe мы тоже соблазнялись переносом L3-терминирования поближе к клиентскому порту, потом посчитали и отказались от этой идеи. Например на стандартный российский 5-этажный 4-подъездный дом с 4 квартирами на лест.-клетке надо 80 портов ( это 8 10-типортовых МТ-ика, если конечно не резервировать клиентские порты). на 4096 хомяков ( число потенциальных влан/юзер ) - это 51 стопка из 8-и 10 портовых микротиков.Это тока деньги.... А потом начнётся бадяга по пробросу статик/динамик маршрутов на подьездные сетки в стороны этих МТ-иков, igmp-snooping заставит ночевать в этой теме: http://forum.mikrotik.com/viewtopic.php?f=1&t=62073. В итоге закупили железнодорожный состав дешёвых свитчей которые понимают только вланы и ничего не знают про dhcp-релей. Соеденили их звездой/"паравозиком"/гирляндой, ( как позволяло кабельное хозяйство на тот момент ) и прогнали от них 4000 вланов в ядро( 96 оставив под свои нужды ). Нашли под забором 10-портовый des-3200 у которого был тока один живой порт ( 9 были сгоревшими ) воткнули его в сбоку в ядерный свитч , в котором чудным образом оказались эти 4000 вланов и два свободных порта. ( 23 и 24 ) 23-порту этого свитча сказали так: config vlan vlanid 1-4000 add tagged 23 config vlan vlanid 4091 add untagged 23 24-порту этого свитча сказали так: config vlan vlanid 4091 add untagged 24 Воткнули в 23 порт этот полуздохший des-3200 10-ым портом, которому сказали так: create vlan vlanid 2-4091 config vlan vlanid 1-4000 add tagged 10 config vlan vlanid 4091 add untagged 10 config dhcp_relay option_82 state enable config dhcp_relay option_82 check disable config dhcp_relay option_82 policy replace config dhcp_relay option_82 remote_id user_define "192.168.22.159" config dhcp_relay add vlanid 1-4000 192.168.22.254 enable dhcp_relay а в 24-ый порт воткнули isc-dhcpd c ипом 192.168.22.254 и конфигом ( который нагенерили детским скрипотом на баше ): ........ class "192_168_22_159_1" {match if binary-to-ascii(10, 16, "", substring( option agent.circuit-id, 2, 2)) = "1" and binary-to-ascii(10, 8, ".", packet(24, 4)) = "192.168.22.159";} class "192_168_22_159_2" {match if binary-to-ascii(10, 16, "", substring( option agent.circuit-id, 2, 2)) = "2" and binary-to-ascii(10, 8, ".", packet(24, 4)) = "192.168.22.159";} class "192_168_22_159_2259" ........ class "192_168_22_159_3900" {match if binary-to-ascii(10, 16, "", substring( option agent.circuit-id, 2, 2)) = "3999" and binary-to-ascii(10, 8, ".", packet(24, 4)) = "192.168.22.159";} class "192_168_22_159_4000" {match if binary-to-ascii(10, 16, "", substring( option agent.circuit-id, 2, 2)) = "4000" and binary-to-ascii(10, 8, ".", packet(24, 4)) = "192.168.22.159";} ....... subnet 10.129.56.0 netmask 255.255.255.248 { option routers 10.129.56.1; option domain-name-servers 192.168.22.1, 192.168.22.254; option broadcast-address 10.129.56.7; option subnet-mask 255.255.255.248; pool {range 10.129.56.2 10.129.56.6; allow members of "192_168_22_159_1"; }} subnet 10.129.56.8 netmask 255.255.255.248 { option routers 10.129.56.9; option domain-name-servers 192.168.22.1, 192.168.22.254; option broadcast-address 10.129.56.15; option subnet-mask 255.255.255.248; pool {range 10.129.56.10 10.129.56.14; allow members of "192_168_22_159_2"; }} ............ ............ subnet 10.129.56.16 netmask 255.255.255.248 { option routers 10.129.56.17; option domain-name-servers 192.168.22.1, 192.168.22.254; option broadcast-address 10.129.56.23; option subnet-mask 255.255.255.248; pool {range 10.129.56.18 10.129.56.22; allow members of "192_168_22_159_3999"; }} subnet 10.129.56.24 netmask 255.255.255.248 { option routers 10.129.56.25; option domain-name-servers 192.168.22.1, 192.168.22.254; option broadcast-address 10.129.56.31; option subnet-mask 255.255.255.248; pool {range 10.129.56.26 10.129.56.30; allow members of "192_168_22_159_4000"; }} Запустили всё это хозяйство , пропили оставшиеся от покупки свитчей деньги и забыли. Ща на компе с isc-dhcpd крутятся 6 dhcpd-процессов, каждый работает на свой район, в каждом районе живут 4000 юзеров, каждому юзеру отсыпаем в его влан /29 сетку левых статиков и больше не заморачиваемся идеей спуска L3 к юзеру в порт. Edited August 14, 2015 by OK-2004 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted August 14, 2015 Ща на компе с isc-dhcpd крутятся 6 dhcpd-процессов, каждый работает на свой район, в каждом районе живут 4000 юзеров, каждому юзеру отсыпаем в его влан /29 сетку левых статиков и больше не заморачиваемся идеей спуска L3 к юзеру в порт. Да, но при некотором объеме абонентской базы уже без L3 магистралей никуда не деться. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serejka Posted August 14, 2015 Ща на компе с isc-dhcpd крутятся 6 dhcpd-процессов, каждый работает на свой район, в каждом районе живут 4000 юзеров, каждому юзеру отсыпаем в его влан /29 сетку левых статиков и больше не заморачиваемся идеей спуска L3 к юзеру в порт. Да, но при некотором объеме абонентской базы уже без L3 магистралей никуда не деться. А 802.1ad сможет очень долго помогать. Сааб, вы определитесь, как вы продвигаете железку. Либо это продвинутый кухонный роутер с винбоксом вместо вэба, либо сертифицированный лоукост конкурент тазикам, с урезанным функционалом. Кстати, Винбокс это шляпа, обещающая счастливым обладателям самого дешёвого МТ, и MPLS, и BGP и геморой(бесплатное дополнение к любой платформе) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted August 14, 2015 А 802.1ad сможет очень долго помогать. Каким образом? Протянете все кабели в серверную? Вместо того что бы ввести парочку и гонять по ним 100Г. Сааб, вы определитесь, как вы продвигаете железку. Либо это продвинутый кухонный роутер с винбоксом вместо вэба, либо сертифицированный лоукост конкурент тазикам, с урезанным функционалом. Микротик может использоваться и в малых, и больших сетях, при этом его очень легко масштабировать - если не справляется младшая модель, всегда можно поставить микротик помощнее. Кстати, Винбокс это шляпа, обещающая счастливым обладателям самого дешёвого МТ, и MPLS, и BGP и геморой(бесплатное дополнение к любой платформе) Винбокс очень удобная система управления, никакие другие системы не реализуют и малой части его функционала. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted August 14, 2015 Винбокс очень удобная система управления, никакие другие системы не реализуют и малой части его функционала. Угу, конфигуряние 4096 dhcp серваков в винбоксе - ни одна система такой долбоебизм не реализует. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted August 15, 2015 Угу, конфигуряние 4096 dhcp серваков в винбоксе - ни одна система такой долбоебизм не реализует. Ну так кто использует микротик, знает, что можно через консоль залить нужные команды и сервера будут созданы без множества щелчков мышки. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted August 16, 2015 Угу, конфигуряние 4096 dhcp серваков в винбоксе - ни одна система такой долбоебизм не реализует. Ну так кто использует микротик, знает, что можно через консоль залить нужные команды и сервера будут созданы без множества щелчков мышки. Не ты ли говорил что консоль это убожество, а два щелчка мыши наше всё? Значит ты либо нагло врёшь что ты всё делаешь с помощью 2-3 щелчков мыши, либо нагло врёшь что не надо писать кучу команд в консоль. В любом случае, ты врёшь, и редактируешь свои посты извращая первоначальный смысл, что показывает что ты нагло врёшь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted August 17, 2015 Не ты ли говорил что консоль это убожество, а два щелчка мыши наше всё? Значит ты либо нагло врёшь что ты всё делаешь с помощью 2-3 щелчков мыши, либо нагло врёшь что не надо писать кучу команд в консоль. В любом случае, ты врёшь, и редактируешь свои посты извращая первоначальный смысл, что показывает что ты нагло врёшь. Это где я редактировал? Винбокс позволяет настраивать как угодно, а ваши любимые сервера на линуксе и другие дорогие железки, кроме консоли ничего не умеют. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted August 17, 2015 Винбокс позволяет настраивать как угодно, а ваши любимые сервера на линуксе и другие дорогие железки, кроме консоли ничего не умеют. Ваш любимый винбокс это устаревшая технология сохо сегмента Это где я редактировал? Вот здесь. http://forum.nag.ru/forum/index.php?showtopic=106633&view=findpost&p=1156454 Мало того что редактировал, раньше еще и удалял неугодные посты. Ты у нас известный враль. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted August 17, 2015 Вот здесь. http://forum.nag.ru/...dpost&p=1156454 Мало того что редактировал, раньше еще и удалял неугодные посты. Ты у нас известный враль. Да, но там флуд развели. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...