[vavi]

Добрый вечер! Имеется сеть из управляющих коммутаторов DLink DGS и Mikrotik для раздачи интернет и как DHCP Server.

Подскажите или пример настройки Mikrotika для option 82. Нужно что бы микротик выдавал ip адреса из соответствующего пула в зависимости от свича или порта.

На DLink

enable dhcp_local_relay
config dhcp_local_relay vlan vlanid 1 state enable

на микротик видны

[Saab95]

Имеется сеть из управляющих коммутаторов DLink DGS и Mikrotik для раздачи интернет и как DHCP Server.

 

Как то не очень согласуется сеть на нормальных управляемых коммутаторах, поддерживающих в полном объеме влан на абонента и влан транкинг и

 

Подскажите или пример настройки Mikrotika для option 82.

 

Желание использовать устаревшие технологии.

 

Делайте схему влан на абонента, на микротике на каждом влане создавайте свой DHCP сервер, далее

 

/interface vlan
add arp=reply-only interface=bridge_vlan name=vlan_35 vlan-id=35

/ip address
add address=10.10.20.1/32 network=10.10.20.35 interface=vlan_35

/ip pool
add name=dhcp_pool_35 ranges=10.10.20.35

/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool_35 disabled=no interface=vlan_35 lease-time=5m name=dhcp_35

 

Все будет отлично работать с раздачей IP поштучно. Естественно вместо серых, можно использовать белые IP.

[OK-2004]

1.Мелкотик может работать тока как dhcp-relay а не как dhcp-сервер с поддержкой опции 82

2.Идея "в каждый влан по своему dhcp-серверу " весьма забавна, особенно если микротик терминирует 256+ вланов....

[rmika]

>Все будет отлично работать с раздачей IP поштучно. Естественно вместо серых, можно использовать белые IP.

А какие можно траблы получить если не заморачиваться с реальными адресами на пользовательский влан, а просто сделать нат 1:1 в серый адрес абонента?

[Saab95]

2.Идея "в каждый влан по своему dhcp-серверу " весьма забавна, особенно если микротик терминирует 256+ вланов....

 

Есть места где и 1000 вланов - никаких проблем.

 

А какие можно траблы получить если не заморачиваться с реальными адресами на пользовательский влан, а просто сделать нат 1:1 в серый адрес абонента?

 

Для работы НАТ нужно включать Connection Tracking, который отъедает половину производительности устройства, вот вам и траблы.

[rmika]

А какие можно траблы получить если не заморачиваться с реальными адресами на пользовательский влан, а просто сделать нат 1:1 в серый адрес абонента?

Для работы НАТ нужно включать Connection Tracking, который отъедает половину производительности устройства, вот вам и траблы.

Как тогда лучше из 1000 вланов, в 10-100-300 отдать реальные адреса?

[Saab95]

Как тогда лучше из 1000 вланов, в 10-100-300 отдать реальные адреса?

 

Я же приводил выше пример конфига, вот как там написано, так и раздавайте. Для каждого абонента должен быть уникальный влан. Микротик по запросам через радиус выдает имя интерфейса, биллинг по нему может определять кому какие адреса выдавать.

DHCP сервер микротика может выполнять присвоение IP на интерфейс и создание маршрута в автоматическом режиме.

 

Сейчас тут могут нарисоваться критики микротика и сказать, что мол это будет глючить и виснуть, т.к. при перезагрузке микротика установленные IP адреса останутся присвоенными на интерфейсах, но ничего не мешает при загрузке самого устройства удалять все привязки IP адресов.

[rmika]

Как тогда лучше из 1000 вланов, в 10-100-300 отдать реальные адреса?

 

Я же приводил выше пример конфига, вот как там написано, так и раздавайте. Для каждого абонента должен быть уникальный влан. Микротик по запросам через радиус выдает имя интерфейса, биллинг по нему может определять кому какие адреса выдавать.

DHCP сервер микротика может выполнять присвоение IP на интерфейс и создание маршрута в автоматическом режиме.

 

Сейчас тут могут нарисоваться критики микротика и сказать, что мол это будет глючить и виснуть, т.к. при перезагрузке микротика установленные IP адреса останутся присвоенными на интерфейсах, но ничего не мешает при загрузке самого устройства удалять все привязки IP адресов.

Как мне реальные Ip сэкономить?

Нат 1:1 позволяет спокойно расширять пул реальных адресов...

А в влане на юзера надо вланы в бридж объединить?

Т.е. как расходовать только /32 при влане на юзера?

[Saab95]

Как мне реальные Ip сэкономить?

 

Смотрите приведенный конфиг выше.

 

Нат 1:1 позволяет спокойно расширять пул реальных адресов...

 

Нат 1:1 позволяет спокойно проблемы на пустом месте придумать.

 

А в влане на юзера надо вланы в бридж объединить?

 

Нет. Смотрите приведенный конфиг выше.

 

Т.е. как расходовать только /32 при влане на юзера?

 

Смотрите приведенный конфиг выше.

[vavi]

Всем большое спасибо за потраченное время! Идеи конечно интересные, но я пытался как раз таки настроить на Mikrotikе DHCP server c использованием option 82. Как я понял Mikrotik это не умеет.

Edited August 11, 2015 by vavi

[agach]

Вам же показали как. надо сделать схему vlan-per-user и на каждом влане поднимать dhcp сервер, который будет кушать опцию 82. Если вланов не больше 500, то проблем особо нет.

раньше были проблемы с шейпингом из-за большого кол-ва очередей, сейчас они решены.

[OK-2004]

....влане поднимать dhcp сервер, который будет кушать опцию 82. .....

Не-Не-Не!

Это как раз так и пытался донести Saab, что раздача по opt82 ип-ов по номеру {свича,влана, порта} - "устаревшая" технология.

Если в каждый "вланистый" интерфейс микротика засунуть свой dhcp-сервер, то opt-82 ваще не надо будет и dhcp-релей можно будет снести со всех свитчей.

Если (как Вы сказали ) Микротику плохеется при кол-ве вланов около 500 ( возьмем для ровного счёта 512 ) то чтобы окучить все 4096 вланов надо всего-то поставить полку из 8 микротиков , на которых будут крутиться 4096 дхцп-серверов, что идеально согласуется с успешной маркетинговой политикой "чем больше микротиков- тем лучше для сети".

[Saab95]

Это как раз так и пытался донести Saab, что раздача по opt82 ип-ов по номеру {свича,влана, порта} - "устаревшая" технология.

Если в каждый "вланистый" интерфейс микротика засунуть свой dhcp-сервер, то opt-82 ваще не надо будет и dhcp-релей можно будет снести со всех свитчей.

Если (как Вы сказали ) Микротику плохеется при кол-ве вланов около 500 ( возьмем для ровного счёта 512 ) то чтобы окучить все 4096 вланов надо всего-то поставить полку из 8 микротиков , на которых будут крутиться 4096 дхцп-серверов, что идеально согласуется с успешной маркетинговой политикой "чем больше микротиков- тем лучше для сети".

 

Можно поставить везде L3 устройства вида Mikrotik CRS и DHCP сервера и IP адреса абонентов указывать прямо на их портах, тогда в центре потребуется только один микротик, т.к. он будет только скорость ограничивать и блокировать.

[AlexTN]

Saab95

Садись - "пять". :)

[pppoetest]

будут крутиться 4096 дхцп-серверов,

***ься.

[OK-2004]

Можно поставить везде L3 устройства вида Mikrotik CRS и DHCP сервера и IP адреса абонентов указывать прямо на их портах

 

Ну так всё равно эти 4096 серверов остануться, только с уровня ядра/агрегации опустятся на уровень доступа. Можно конечно на МТ-иках , терминирующих по L3 на доступе включить dhcp-релей, и отсылать запросы на центральный isc-dhcp.

Можно конечно. И на заре доисторического материализма начала внедрения в нашей сети ipoe мы тоже соблазнялись переносом L3-терминирования поближе к клиентскому порту, потом посчитали и отказались от этой идеи.

Например на стандартный российский 5-этажный 4-подъездный дом с 4 квартирами на лест.-клетке надо 80 портов ( это 8 10-типортовых МТ-ика, если конечно не резервировать клиентские порты). на 4096 хомяков ( число потенциальных влан/юзер ) - это 51 стопка из 8-и 10 портовых микротиков.Это тока деньги.... А потом начнётся бадяга по пробросу статик/динамик маршрутов на подьездные сетки в стороны этих МТ-иков, igmp-snooping заставит ночевать в этой теме: http://forum.mikrotik.com/viewtopic.php?f=1&t=62073.

В итоге закупили железнодорожный состав дешёвых свитчей которые понимают только вланы и ничего не знают про dhcp-релей. Соеденили их звездой/"паравозиком"/гирляндой, ( как позволяло кабельное хозяйство на тот момент ) и прогнали от них 4000 вланов в ядро( 96 оставив под свои нужды ). Нашли под забором 10-портовый des-3200 у которого был тока один живой порт ( 9 были сгоревшими ) воткнули его в сбоку в ядерный свитч , в котором чудным образом оказались эти 4000 вланов и два свободных порта. ( 23 и 24 )

23-порту этого свитча сказали так:

config vlan vlanid 1-4000 add tagged 23

config vlan vlanid 4091 add untagged 23

24-порту этого свитча сказали так:

config vlan vlanid 4091 add untagged 24

Воткнули в 23 порт этот полуздохший des-3200 10-ым портом, которому сказали так:

create vlan vlanid 2-4091
config vlan vlanid 1-4000 add tagged 10
config vlan vlanid 4091 add untagged 10
config dhcp_relay option_82 state enable
config dhcp_relay option_82 check disable
config dhcp_relay option_82 policy replace
config dhcp_relay option_82 remote_id user_define "192.168.22.159"
config dhcp_relay add vlanid 1-4000 192.168.22.254
enable dhcp_relay

а в 24-ый порт воткнули isc-dhcpd c ипом 192.168.22.254 и конфигом ( который нагенерили детским скрипотом на баше ):

........
class "192_168_22_159_1"
{match if  binary-to-ascii(10, 16, "", substring( option agent.circuit-id, 2, 2)) = "1" and binary-to-ascii(10, 8, ".", packet(24, 4)) = "192.168.22.159";}
class "192_168_22_159_2"
{match if  binary-to-ascii(10, 16, "", substring( option agent.circuit-id, 2, 2)) = "2" and binary-to-ascii(10, 8, ".", packet(24, 4)) = "192.168.22.159";}
class "192_168_22_159_2259"
........
class "192_168_22_159_3900"
{match if  binary-to-ascii(10, 16, "", substring( option agent.circuit-id, 2, 2)) = "3999" and binary-to-ascii(10, 8, ".", packet(24, 4)) = "192.168.22.159";}
class "192_168_22_159_4000"
{match if  binary-to-ascii(10, 16, "", substring( option agent.circuit-id, 2, 2)) = "4000" and binary-to-ascii(10, 8, ".", packet(24, 4)) = "192.168.22.159";}
.......
subnet 10.129.56.0 netmask 255.255.255.248 {
option routers 10.129.56.1;
option domain-name-servers 192.168.22.1, 192.168.22.254;
option broadcast-address 10.129.56.7;
option subnet-mask 255.255.255.248;
pool {range 10.129.56.2 10.129.56.6; allow members of "192_168_22_159_1"; }}
subnet 10.129.56.8 netmask 255.255.255.248 {
option routers 10.129.56.9;
option domain-name-servers 192.168.22.1, 192.168.22.254;
option broadcast-address 10.129.56.15;
option subnet-mask 255.255.255.248;
pool {range 10.129.56.10 10.129.56.14; allow members of "192_168_22_159_2"; }}
............
............
subnet 10.129.56.16 netmask 255.255.255.248 {
option routers 10.129.56.17;
option domain-name-servers 192.168.22.1, 192.168.22.254;
option broadcast-address 10.129.56.23;
option subnet-mask 255.255.255.248;
pool {range 10.129.56.18 10.129.56.22; allow members of "192_168_22_159_3999"; }}
subnet 10.129.56.24 netmask 255.255.255.248 {
option routers 10.129.56.25;
option domain-name-servers 192.168.22.1, 192.168.22.254;
option broadcast-address 10.129.56.31;
option subnet-mask 255.255.255.248;
pool {range 10.129.56.26 10.129.56.30; allow members of "192_168_22_159_4000"; }}

Запустили всё это хозяйство , пропили оставшиеся от покупки свитчей деньги и забыли.

 

Ща на компе с isc-dhcpd крутятся 6 dhcpd-процессов, каждый работает на свой район, в каждом районе живут 4000 юзеров, каждому юзеру отсыпаем в его влан /29 сетку левых статиков и больше не заморачиваемся идеей спуска L3 к юзеру в порт.

Edited August 14, 2015 by OK-2004

[Saab95]

Ща на компе с isc-dhcpd крутятся 6 dhcpd-процессов, каждый работает на свой район, в каждом районе живут 4000 юзеров, каждому юзеру отсыпаем в его влан /29 сетку левых статиков и больше не заморачиваемся идеей спуска L3 к юзеру в порт.

 

Да, но при некотором объеме абонентской базы уже без L3 магистралей никуда не деться.

[Serejka]

Ща на компе с isc-dhcpd крутятся 6 dhcpd-процессов, каждый работает на свой район, в каждом районе живут 4000 юзеров, каждому юзеру отсыпаем в его влан /29 сетку левых статиков и больше не заморачиваемся идеей спуска L3 к юзеру в порт.

 

Да, но при некотором объеме абонентской базы уже без L3 магистралей никуда не деться.

 

А 802.1ad сможет очень долго помогать.

 

Сааб, вы определитесь, как вы продвигаете железку. Либо это продвинутый кухонный роутер с винбоксом вместо вэба, либо сертифицированный лоукост конкурент тазикам, с урезанным функционалом.

 

Кстати, Винбокс это шляпа, обещающая счастливым обладателям самого дешёвого МТ, и MPLS, и BGP и геморой(бесплатное дополнение к любой платформе)

[Saab95]

А 802.1ad сможет очень долго помогать.

 

Каким образом? Протянете все кабели в серверную? Вместо того что бы ввести парочку и гонять по ним 100Г.

 

Сааб, вы определитесь, как вы продвигаете железку. Либо это продвинутый кухонный роутер с винбоксом вместо вэба, либо сертифицированный лоукост конкурент тазикам, с урезанным функционалом.

 

Микротик может использоваться и в малых, и больших сетях, при этом его очень легко масштабировать - если не справляется младшая модель, всегда можно поставить микротик помощнее.

 

Кстати, Винбокс это шляпа, обещающая счастливым обладателям самого дешёвого МТ, и MPLS, и BGP и геморой(бесплатное дополнение к любой платформе)

 

Винбокс очень удобная система управления, никакие другие системы не реализуют и малой части его функционала.

[pppoetest]

Винбокс очень удобная система управления, никакие другие системы не реализуют и малой части его функционала.

Угу, конфигуряние 4096 dhcp серваков в винбоксе - ни одна система такой долбоебизм не реализует.

[Saab95]

Угу, конфигуряние 4096 dhcp серваков в винбоксе - ни одна система такой долбоебизм не реализует.

 

Ну так кто использует микротик, знает, что можно через консоль залить нужные команды и сервера будут созданы без множества щелчков мышки.

[pppoetest]

Угу, конфигуряние 4096 dhcp серваков в винбоксе - ни одна система такой долбоебизм не реализует.

 

Ну так кто использует микротик, знает, что можно через консоль залить нужные команды и сервера будут созданы без множества щелчков мышки.

Не ты ли говорил что консоль это убожество, а два щелчка мыши наше всё? Значит ты либо нагло врёшь что ты всё делаешь с помощью 2-3 щелчков мыши, либо нагло врёшь что не надо писать кучу команд в консоль. В любом случае, ты врёшь, и редактируешь свои посты извращая первоначальный смысл, что показывает что ты нагло врёшь.

[Saab95]

Не ты ли говорил что консоль это убожество, а два щелчка мыши наше всё? Значит ты либо нагло врёшь что ты всё делаешь с помощью 2-3 щелчков мыши, либо нагло врёшь что не надо писать кучу команд в консоль. В любом случае, ты врёшь, и редактируешь свои посты извращая первоначальный смысл, что показывает что ты нагло врёшь.

 

Это где я редактировал?

 

Винбокс позволяет настраивать как угодно, а ваши любимые сервера на линуксе и другие дорогие железки, кроме консоли ничего не умеют.

[pppoetest]

Винбокс позволяет настраивать как угодно, а ваши любимые сервера на линуксе и другие дорогие железки, кроме консоли ничего не умеют.

Ваш любимый винбокс это устаревшая технология сохо сегмента

Это где я редактировал?

Вот здесь.

http://forum.nag.ru/forum/index.php?showtopic=106633&view=findpost&p=1156454

Мало того что редактировал, раньше еще и удалял неугодные посты. Ты у нас известный враль.

[Saab95]

Вот здесь.

http://forum.nag.ru/...dpost&p=1156454

Мало того что редактировал, раньше еще и удалял неугодные посты. Ты у нас известный враль.

 

Да, но там флуд развели.