[yKpon]

1 час назад, yazero сказал:

yKpon уффф я думал я один такую схему хочу реализовать.  задам вопрос, а зачем вы так сделали ? :-)

              

                                                 

на узле был старенький сервер и стоял вопрос о покупке нового, решил попробовать авторизовать и шейпить тиками, 1.5 года такая схема в работе, всё отлично!

пока выявил такие плюсы:

1. Стабильность pppoe, не от CPE, а от клиентов с обычными компами, ноутами, клиент авторизуется по проводу, т.к. туннель по радио через кучу мостов сами понимаете как стабильно будет держаться, нервов не хватит =)

2. Распределение нагрузки, не надо мощного железа в центре. В центре у меня стоит CCR1009-7G-1C-1S+, в который всё сводится включая аплинк вышестоящего, и маломощный сервер переделанный на 12 вольт, узел на упсе, который протянет часов 20 без света =)

[yazero]

переведу часть сети на такую схему, но уже есть сомнения в сапорте инженеров. 

[yKpon]

4 часа назад, yazero сказал:

переведу часть сети на такую схему, но уже есть сомнения в сапорте инженеров. 

в чём именно?

[Saab95]

В 20.11.2017 в 11:10, saaremaa сказал:

А что с MTU делаете? 

Ничего не делаем. В EoIP туннеле прозрачно проходит 1500 байт, это на сети оператора данные фрагментируются, поэтому в настройках туннеля указываем транспортный не 1500 байт, а 1400 для простоты, что бы 2 раза пакеты не фрагментировались.

 

В 20.11.2017 в 14:29, yazero сказал:

2) транспортная сеть L2 чем плоха ?  везде мои сети. Там где не моя сеть, сделан EoIP.

Вы ранее : Обычно делают IP транспорт, поверх которого от каждой БС в EoIP туннеле гонят абонентский L2 в центр.

3)До каждой БС нужно создавать свой EOIP тунель, это значит   что нужно дополнительно навесить 2 ip по концам, для чего, в чем профит ?

   в текущей схеме есть 2 vlan .  mgmt и pppoe . pppoe прописан bridge ether-wlan  .  Все CPE прописываются на всех БС одинаково в 375  vlan (цель унифицировать подключение), а потом мепятся в персональный vlan для конкретной БС. 

   Почему так сделано,  если есть проблема на участке сети,  то ее быстрее найти , изолировать , прописать ограничения  на bras-е  и т.п. , проблем пока не было , может потому что сконфигурировано все правильно и просто:-).

L2 плоха тем, что в ней много маков. В L3 в любом сегменте минимальное количество маков. При этом сегменты не растягиваются на весь город.

Ничего навешивать дополнительно не надо. Саму свою внутреннюю сеть можете пока не трогать, просто на IP БС, по которому на нее заходите, поднимаете EoIP туннель в центр, и абонентский влан переводите в EoIP.

 

У нас для унификации подключения все абонентские устройства заранее настроены на некий тестовый логин, который заведен в центре. Монтажники устанавливают антенну и предварительно наводятся на ближайшую БС, имена которых тоже все одинаковые, далее админ корректирует наведение антенны уже по показателям, и после вводит логин с паролем абонента. При этом монтажники доступ в настройки антенн вообще не имеют. Безопасность на первом уровне=)

 

Вы пишите что удобно искать проблемы на сети. Но представьте, будет у вас проблема L2 вида флудящий порт, который положит не только этот сегмент сети, но и всю сеть, куда попадает влан. В случае с EoIP будет сегментирована каждая БС, и искать проблемы еще проще.

 

Так же не забывайте и про расширение сети, с L2 транспортом нельзя гибко делать резервы, распределять трафик. То есть имея 2-3 резерва они отключены через STP, а при использовании L3 можно все задействовать для пропуска трафика. Или там какой-то служебный трафик не гонять через центр.

[yazero]

 

yKpon

не привыкли смотреть дальше регистрации на wireless.

 

 

Изменено 21 ноября, 2017 пользователем yazero

[yKpon]

Saab95 зачем eoip? зачем сегментировать?

у нас вся сетка это 777 влан управления и 100 влан для L3, по 777 все сектора и не сектора которые принимают пппое авторизацию общаются с радиусом, подсеть 100 влана и все диапазоны выдаваемых адресов в backbone, в центре на CCR-е в ospf интерфейсах priority на bridge-vlan100 установлен 5, на тике резервном 4, всё

[Saab95]

У вас же авторизация на антеннах, а обычно делают авторизацию в центре, именно туда и надо прокидывать изолированные каналы.

[yazero]

не все абоненты смогли зарегится на mikrtotik pppoe ,  перевожу обратно на accel-ppp регистрируются . из 200 абонентов  , с 7  -ю разбираюсь.

[Saab95]

Скорее всего у этих абонентов (или на оборудовании перед ними), какая-то проблема с маками, либо устройства не понимают что сервер изменился, и продолжают авторизовываться по старому маку.

Может быть проблема и банальней - вручную указали имя сервиса PPPoE, поэтому абоненты к новому серверу и не подключаются.

[yazero]

По логам , у  некоторых абонентов был указан имя-сервиса.  Убрал  в настройках pppoe на mikrotik service-name.

Одного из абонентов получилось подключить изменив AC-NAME на accel-ppp , меняется через system indintity ,  плохо конечно, поле занято для наименования сектора.

 

---

PPPoE Server Setup (Access Concentrator)

Submenu level: /interface pppoe-server server
Description

The PPPoE server (access concentrator) supports multiple servers for each interface - with differing service names. Currently the throughput of the PPPoE server has been tested to 160 Mb/s on a Celeron 600 CPU. Using higher speed CPUs, throughput should increase proportionately.

The access concentrator name and PPPoE service name are used by clients to identity the access concentrator to register with. The access concentrator name is the same as the identity of the router displayed before the command prompt. The identity may be set within the /system identity submenu.

PPPoE users are created in /ppp secret menu, see the AAA manual for further information.

Note that if no service name is specified in WindowsXP, it will use only service with no name. So if you want to serve WindowsXP clients, leave your service name empty

 

Изменено 27 ноября, 2017 пользователем yazero

[yazero]

Расскажите господа , вы qos прописываете ?  

Сам mikrotik  утверждает что каналы tdma делится между Активными абонентами поровну,  то есть настраивать qos на общую полосу нет смысла (до секторов волс). 

p.s. тут почитал

 

 

 

 

Изменено 27 ноября, 2017 пользователем yazero

[yazero]

сектор проработал около 25 дней   и  подвис,    есть файлик rif.

-  сбросились настройки ppp

- пропал ip address на bras

- 5-6 абонентов из 28  были зарегены на bras  

-  28 CPE были зарегены на wireless

 

животворящий ребут помог, без правки конфигов.

 

Идею с ospf + ppp  похоронил RIP

[yazero]

Не прошло и пол года.  

Вернулся все таки  к своей схеме по ospf + pppoe bras . 

Протестил в eve-ng вариант, что каждый сектор отдельная area stub ptp, главный area total stub ptp ,для того чтобы на сектора не летели маршруты от соседей и с главного роутера только default route.

 

На рабочей сети сделал чуть  не так,  выделил группу радио-секторов территориально и засунул в одну area  1 и уже не ptp , a broadcast.

получилось 9 соседей  с 180 маршрутами. 

 

Текущая нагрузка 15-17 % , а когда было в backbone то  до 80%

 

Ну и так как до этого баловался в том году с Queue  , поменял default-small на pcq , нагрузка была около 20-60 %,  изменил на pfifo стало около 15-17.  

А если без всего (ospf,bras) то нагрузка около 7-8 %.

 

[Saab95]

Как-то странно у вас. На сетях с 5000-10000 маршрутами, где большая часть роутов connected, нормально работают даже RB750 не нагружая CPU. Главное первые router-ID вида 0.0.0.1 и 0.0.0.2 сделать на быстром оборудовании.

[yazero]

Настраивал на   SXT 5HnD / SXT G-6HPnD. 

Вероятно нагрузка большая была из за частой рассылки lsa 5,  постоянного пересчета дерева  при up/down  pppoe абонента и выбора состояния интерфейса dr/bdr/other, а маршрутов сейчас около 2К.

В центре cisco 4948E

 

 

[yazero]

не буду создавать тему отдельно... 

появилась проблема с pppoe сессиями   на микротике. 

 

1 вариант

   - абонент ребутнул роутер ,  сессия ppp  на mikrotik висит. 

  - прилетает запрос на аторизацию,  mikrotik закрывает старую и открывает новую.  

  - для билинга все логично абонент авторизован.

2 вариант

Некоторые роутеры   какого лешего шлют  постоянно запросы на авторизацию,  я снимаю галку  one sessions per host и

абонент авторизуется , а повторная сессия убивается билингом.

 

НО в таком варианте получил другую проблему, абонент ребутнув роутер не может подключиться, сессия не закрылась по keepalive time out(я так понимаю  это както связано с  lcp  ?).

MAC адреса уже нет, хотя bridge pppoe  arp 0:01:00.

 

А Биллинг не пускает так как сессия есть.  Какого х%% mikrotik держит сессию ?

Изменено 28 мая, 2018 пользователем yazero

[yazero]

все раздуплил,  при изменении параметров  на pppoe-server нужно было сделать disable/enable  , на лету параметры не применялись(либо не все применяются). 

сессии по keeepalive закрываются верно.