LostSoul Опубликовано 28 февраля, 2019 · Жалоба 29 минут назад, s.lobanov сказал: что приводит к эпическим фейлам при всяческом dhcp-флуде). на некоторых прошивках приводит. а так у cpu есть возможность указать для asic предельную частоту пакетов по разным маскам, копируемых в cpu , остальное будет дропать 30 минут назад, s.lobanov сказал: Любой отвод трафика на CPU свитча правильно, надо притащить его со всей сети на ядро, чтоб оно точно крякнуло :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 28 февраля, 2019 · Жалоба 5 минут назад, s.lobanov сказал: Терминация ipoe vlan-per-user на брасах идеалогически похожа на ip unnumbered, но за счёт сущности 'сессия' и процессов вокруг неё Я так понимаю, на микротиках такое не сделать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 28 февраля, 2019 · Жалоба Только что, LostSoul сказал: на некоторых прошивках приводит. а так у cpu есть возможность указать для asic предельную частоту пакетов по разным маскам, копируемых в cpu , остальное будет дропать Ага, только обычно это не пер-порт и из-за одного ***а флудящего dhcp-пакетами, dhcp- запросы от соседей дропаются Завтра ещё накидаю почему я категорически против dhcp snooping и всё что его окружает (ipmb, arp-insp и т.д.). Пока пойду посплю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 28 февраля, 2019 · Жалоба 37 минут назад, s.lobanov сказал: dhcp-snooping придуман для сетей предприятий, где ради терминирования vlan-per-user ставить bras слишком дорого вы совсем с дуба рухнули что-ли? для сетей предприятий придуман EEE 802.1X c его EAPOL и ключами через радиус. IP Mac Binding был придуман специально для домовых сетей. Вы бы хоть первичную презентацию конца 90х от циско посмотрели бы. 15 минут назад, s.lobanov сказал: @maxkst да. Без ip unnumbered на l3 ситчах. Терминация ipoe vlan-per-user на брасах идеалогически похожа на ip unnumbered, но за счёт сущности 'сессия' и процессов вокруг неё, решает те самые тысячи проблем ip unnumbered на свитчах Вопрос немножко про другое. Какую маску получает клиентское оборудование по dhcp и как оно с этим живет? 10 минут назад, maxkst сказал: Я так понимаю, на микротиках такое не сделать? делается vlan-per-user на микротиках. достоинство этой технологии в том что она делается вообще на всем, хоть на телефонах или утюгах. И даже на неуправляемых мыльницах делается , за что так любима нищими пионерами. bras из списанного компа с помойки и дешевые неуправляемые мыльницы по 5 баксов перепаянные под vlan per user. С этим победим. вы неверно понимаете проблематику IP unnumbered . Она касается абонента и brass а не промежуточного тупого мультиплексора vlan 9 минут назад, s.lobanov сказал: Ага, только обычно это не пер-порт и из-за одного ***а флудящего dhcp-пакетами, dhcp- запросы от соседей дропаются Ну так дежурный , управляющий сетью не должен спать. Он должен увидеть alert в NMS на свитче таком-то превышение нагрузки CPU , придти, разобраться и наказать кого попало. Но в целом это весьма редкие ситуации. Проблемы из-за гроз или рукожопых монтажников намного актуальнее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 28 февраля, 2019 · Жалоба 7 минут назад, LostSoul сказал: делается vlan-per-user на микротиках. Это понятно, но дальше два варианта: либо IP unnumbered, для раздачи /32 адресов абоненту, либо объединение абонентских вланов в общий бридж, с раздачей к примеру адресов с маской /24 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 28 февраля, 2019 · Жалоба 5 минут назад, maxkst сказал: но дальше два варианта давайте послушаем "начальника транспортного цеха" (Райкин ) так как по сути что там в середине влан миксует в этом случае уже вторично Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 28 февраля, 2019 · Жалоба Удивляет, что до сих пор нет единого мнения насчет VLAN-per-USER топологии, и использования IP unnumbered в ISP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 28 февраля, 2019 · Жалоба 57 минут назад, maxkst сказал: Удивляет, что до сих пор нет единого мнения насчет VLAN-per-USER топологии, и использования IP unnumbered в ISP Все строят по разному, по разным стратегиям развития в разных условиях и с разными людьми. в том числе и услуги и планы на услуги разные. в схеме vlan-per-user ядро все равно по мере роста становится узким местом, поэтому те у кого рост до этих размеров запланирован изначально так не строят. а если и строят, то хотя бы vlan-per-user не до ядра, а до уровня аггрегации. И тут уже возникает вопрос а что-же туда поставить ( ну кроме тазика на линуксе с рядом недостатков ) и выясняется что нормальный свитч на доступе с IPMB функционалом совсем не настолько дороже, насколько выходят дороже эти центры агрегации , способные роутить по vlan десятки тысяч абонентов. То есть когда есть единая стратегия развития на каком-нибудь моно-вендорном решение ( типа доступ на SNR , ядро на циско или джунипер , аггрегация на каком-нибудь хуавее или типа того ) , то никто vlan-per-user не делает. Так чаще делают когда без серьёзного плана купили сначала одно, потом метнулись в другое а дальше этот зоопарк надо как то заставить работать. Ну или как GPON вариант. Купили самый дешевый BDCOM , там 82 опция работала плохо, ну что делать перевели его тупо в бридж, поставили микротик с PPPoE , профит. Строить vlan-per-user на новом оборудовании и с чистого листа -- это примерно тоже самое, что тянуть сейчас до зданий медные многопарники и ставить ADSL DSLAM. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iraklizh Опубликовано 1 марта, 2019 (изменено) · Жалоба Всетаки проблемма не только с левыми dhcp серверами и кстати это кратковременные проблеммы, если юзер воткнул свой роут неправильно, инета у него все равно нету, он связывается с техподдержкой и там ему все быстро прояснят, конечно лутше иметь возможность с самого начала делать все правильно, чтоб потом переделками не заниматя. Сейчас в продаже появились всякие новые tplink-и с которых почемуто в сеть уходят (как будто с бриджа) мобильные телефоны и от dhcp микротика они получают ip адреса как будто независимые хосты... Изменено 1 марта, 2019 пользователем iraklizh Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 1 марта, 2019 · Жалоба В 28.02.2019 в 14:57, LostSoul сказал: и как он тогда видит соседей по этой сети /24 ? через 254 proxyarp записей что ли? Порт, куда подключен абонент, отвечает на все ARP запросы. Никаких проблем это не создает. 15 часов назад, maxkst сказал: либо IP unnumbered, для раздачи /32 адресов абоненту, либо объединение абонентских вланов в общий бридж, с раздачей к примеру адресов с маской /24 Абонентам раздается каждому один IP адрес поштучно с маской /24, на микротике в таблице маршрутов появляется по маршруту на каждый порт абонента. А как вы этих абонентов сведете - затянете пачку вланов, или подключите абонентов каждого в свой порт микротика - не важно. В этом случае IP адрес у всех указывается один, например 10.10.10.1, а в поле network указывается уже адрес абонента, например 10.10.10.2. и т.п. 13 часов назад, LostSoul сказал: Строить vlan-per-user на новом оборудовании и с чистого листа -- это примерно тоже самое, что тянуть сейчас до зданий медные многопарники и ставить ADSL DSLAM. Сейчас все телевидение идет юникастом, т.к. везде уже "видео по запросу", поэтому в сетях в многоквартирных домах, тянут влан до точки агрегации, в эту точку подключают магистральный канал с очень большой скоростью, в котором ходят и данные, и телевидение, его пропускной способности хватает. И никакого мультикаста уже нет. И головной боли, с ним взятой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 1 марта, 2019 · Жалоба 9 минут назад, Saab95 сказал: Абонентам раздается каждому один IP адрес поштучно с маской /24, на микротике в таблице маршрутов появляется по маршруту на каждый порт абонента. А как вы этих абонентов сведете - затянете пачку вланов, или подключите абонентов каждого в свой порт микротика - не важно. В этом случае IP адрес у всех указывается один, например 10.10.10.1, а в поле network указывается уже адрес абонента, например 10.10.10.2. и т.п. Теперь перевожу то что вы написали на русский язык. Вы фактически строите обычный L2 vlan на сетку /24 как и других. Но микротик при этом обманываете что это никакой не L2 , а типа L3. А затем делаете кучу костылей, чтоб обманутый микротик все таки работал с этим L2 правильно. Все тоже самое можно сделать и более прямо, прописав L2 нормально и зафильтровав лишнее. Но если вам удобнее так - это дело вкуса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 1 марта, 2019 · Жалоба 5 минут назад, LostSoul сказал: Вы фактически строите обычный L2 vlan на сетку /24 как и других. Но микротик при этом обманываете что это никакой не L2 , а типа L3. А затем делаете кучу костылей, чтоб обманутый микротик все таки работал с этим L2 правильно. /interface vlan add arp=reply-only interface=bridge_vlan name=vlan_2 vlan-id=2 add arp=reply-only interface=bridge_vlan name=vlan_3 vlan-id=3 /ip pool add name=dhcp_pool_2 ranges=10.10.20.2 add name=dhcp_pool_3 ranges=10.10.20.3 /ip dhcp-server add add-arp=yes address-pool=dhcp_pool_2 interface=vlan_2 lease-time=5m name=dhcp_2 add add-arp=yes address-pool=dhcp_pool_3 interface=vlan_3 lease-time=5m name=dhcp_3 /ip address add address=10.10.20.1 interface=vlan_2 network=10.10.20.2 add address=10.10.20.1 interface=vlan_3 network=10.10.20.3 Вот пример двух абонентов без прокси арп, покажите, где тут костыли. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 1 марта, 2019 · Жалоба 2 минуты назад, Saab95 сказал: Вот пример двух абонентов без прокси арп, покажите, где тут костыли. как у вас в этой схеме 10.10.20.2 видит 10.10.20.3 , если маска им выдана 24 и proxyarp выключен? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 1 марта, 2019 · Жалоба 3 минуты назад, LostSoul сказал: как у вас в этой схеме 10.10.20.2 видит 10.10.20.3 , если маска им выдана 24 и proxyarp выключен? Этот пример для того случая, когда абонентам не предоставлен доступ к локалке. При этом ARP запись на стороне микротика создается только, если абонент получил адрес через DHCP, а не установил его руками. Если нужно, что бы они общались, тогда надо включить прокси-арп на интерфейсе, но в этом случае у них будет работать и при получении адреса автоматически, и при ручной установке своего адреса. Никакие другие адреса использовать не получится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 1 марта, 2019 · Жалоба 4 минуты назад, Saab95 сказал: тогда надо включить прокси-арп на интерфейсе, ну вот я и говорю - вы фактически построили L2 , но вместо того чтоб зафильтровать запрешенное , развешиваете костыли чтоб как-то заработало разрешенное. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 1 марта, 2019 · Жалоба И чем плохо это решение? Это одно из самых простых и надежных, которое позволит полностью уйти от всех проблем, которые возникают на абонентских сетях. Если транспорт на L3, то все будет работать как часы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 1 марта, 2019 · Жалоба Только что, Saab95 сказал: И чем плохо это решение? Это одно из самых простых и надежных, которое позволит полностью уйти от всех проблем, которые возникают на абонентских сетях. Если транспорт на L3, то все будет работать как часы. оно плохо тем , что через cpu гоняется 100% трафика. ( а не редкие отдельные пакеты, как в схеме L2 + фильтрация ) И когда я вам пишу что мой микротик crs106-1c-5s не вытягивает в таком режиме больше 30Мбит , а нужен гигабит, вы мне говорите что надо купить CRS305-1G-4S+IN всего-то лишь в 5-6 раз дороже. а мне это в 5-6 раз дороже ради реализации вашей замечательной схемы не нравится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 1 марта, 2019 · Жалоба Так в вашем случае. А в нашем поставим CRS305 и он справится с нагрузкой. Либо оставляете коммутаторы, делаете влан на порт, и все вланы стягиваете на CCR или комп с микротиком, либо на микротик попроще чем CCR, но с достаточной производительностью для задачи. Тут же не стоит вопрос стоимости решения, а обсуждаются технологии. Вот и создатель темы спросил, что можно сделать, в центре у него микротик. Если он справляется с нагрузкой, то при заведении сотни или тысячи вланов на нем, все станет работать точно так же, только без непонятных проблем. То есть один раз настроить и забыть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 1 марта, 2019 · Жалоба 1 минуту назад, Saab95 сказал: Тут же не стоит вопрос стоимости решения, а обсуждаются технологии. ну так вот технология L3 фильтрации на L2 коммутаторе ( с всякими этими 82 функциями, dhcp snooping и.т.п. ) были придуманы чтоб осуществлять полноценную фильтрацию абонентского доступа на ДЕШЕВОМ абонентском коммутаторе с дохленьким CPU. Вы же предлагаете ставить везде дорогие L3 железки на доступ с гораздо более мощным CPU ( чтоб все гонять через него ) , либо выносить всю фильтрацию и обмен между абонентами на уровнь ядра сети/агрегации. Первый путь неоправданно и бессмысленно дорог. И в реальности не прокачает серьёзной нагрузки. Так как ни один mikrotik в принципе не прокачает через CPU wire speed , как это делает коммутатор. ( ну кроме может 36/72 ядерных монстров, но кто же понесет их на доступ ) Второй путь архаичен и ущербен. По мере роста скоростей доступа все производители двигают авторизацию поближе к абоненту чтоб разгрузить ( и удешивить/ повысить надежность ) ядра и агрегации , а вы опять предлагаете "выкачать весь интернет на свой жесткий диск" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 1 марта, 2019 · Жалоба 6 часов назад, LostSoul сказал: Второй путь архаичен и ущербен. По мере роста скоростей доступа все производители двигают авторизацию поближе к абоненту чтоб разгрузить ( и удешивить/ повысить надежность ) ядра и агрегации , а вы опять предлагаете "выкачать весь интернет на свой жесткий диск" И чем вариант поставить один 36 ядерный микротик на группу домов и свести на него 500 абонентов не вариант в этом случае? Не обязательно же тянуть все вланы именно в центр. Просто если на сети стоят, как раз, дешевые управляемые коммутаторы (вебсмарты) то запаковать порт во влан они умеют. А вот всякие там спуфинги их слабый процессор плохо отрабатывает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 1 марта, 2019 · Жалоба 46 минут назад, Saab95 сказал: И чем вариант поставить один 36 ядерный микротик на группу домов и свести на него 500 абонентов не вариант в этом случае? Не обязательно же тянуть все вланы именно в центр. Просто если на сети стоят, как раз, дешевые управляемые коммутаторы (вебсмарты) то запаковать порт во влан они умеют. А вот всякие там спуфинги их слабый процессор плохо отрабатывает. да потому что просто непонятно зачем это нужно когда за 6000-8000р ( или сколько он там стоит ) можно купить DES-3200-28 и получить нормально работающую технологию без таких костылей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 2 марта, 2019 · Жалоба В 28.02.2019 в 23:35, s.lobanov сказал: @LostSoul Vlan-per-user просто решает все проблемы относительно L2-взаимодействия абонетов (левые dhcp-сервера, ipv6 ra и т.д.) ip unnumbered на l3-свитчах это ещё более уродливый костыль. правильное решение это терминирование vlan-per-user на bras'ах (для нищебродов есть и софт-версии брасов - тот же accel-pppd и что-то ещё было) через точку терминирования, в пределах свитча трафик в ISP гонять не нужно, тупо всё через bras Резервировать брасы как? Ну и вообще в схеме vpu какие видите пути резервирования всех уровней? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 2 марта, 2019 · Жалоба Разве что виртуализация. Или костыли. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 2 марта, 2019 · Жалоба 2 часа назад, alibek сказал: Разве что виртуализация. Или костыли. есть куча вариантов резервирования L3 шлюза и без виртуализации. всякие vrrp и аналогичные. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 2 марта, 2019 · Жалоба 15 часов назад, LostSoul сказал: да потому что просто непонятно зачем это нужно когда за 6000-8000р ( или сколько он там стоит ) можно купить DES-3200-28 и получить нормально работающую технологию без таких костылей. Ну купили вы этот коммутатор, а дальше то что? Все равно нужно некое устройство, которое соберет каналы от абонентов и даст им интернет. И тут без разницы что там, один влан на коммутатор + костыли, влан на порт коммутатора, если в качестве центрального шлюза или сервера стоит микротик. Наоборот, вариант свести все вланы на него выгоднее и проще. Просто многие провайдеры привыкли оперировать сетями /24, пихать все в общий L2 сегмент и т.п. То есть живут по технологиям 20 летней давности. Пора уже переходить на новый уровень. Вот пройдет еще пара лет, микротик выпустит еще линейку устройств с еще более быстрыми процессорами, и настанет такой день, когда производительность на CPU не будет медленнее, чем железные решения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...