[LostSoul]

29 минут назад, s.lobanov сказал:

что приводит к эпическим фейлам при всяческом dhcp-флуде).

на некоторых прошивках приводит. а так у cpu есть возможность указать для asic предельную частоту пакетов по разным маскам, копируемых в cpu , остальное будет дропать

 

 

30 минут назад, s.lobanov сказал:

Любой отвод трафика на CPU свитча

правильно, надо притащить его со всей сети на ядро, чтоб оно точно крякнуло :-)

 

[maxkst]

5 минут назад, s.lobanov сказал:

Терминация ipoe vlan-per-user на брасах идеалогически похожа на ip unnumbered, но за счёт сущности 'сессия' и процессов вокруг неё

Я так понимаю, на микротиках такое не сделать?

[s.lobanov]

Только что, LostSoul сказал:

на некоторых прошивках приводит. а так у cpu есть возможность указать для asic предельную частоту пакетов по разным маскам, копируемых в cpu , остальное будет дропать

 

Ага, только обычно это не пер-порт и из-за одного ***а флудящего dhcp-пакетами, dhcp- запросы от соседей дропаются

 

Завтра ещё накидаю почему я категорически против  dhcp snooping и всё что его окружает (ipmb, arp-insp и т.д.). Пока пойду посплю.

[LostSoul]

37 минут назад, s.lobanov сказал:

dhcp-snooping придуман для сетей предприятий, где ради терминирования vlan-per-user ставить bras слишком дорого

вы совсем с дуба рухнули что-ли?

для сетей предприятий придуман EEE 802.1X  c его EAPOL  и ключами через радиус.

IP Mac Binding был придуман специально для домовых сетей.

Вы бы хоть первичную презентацию конца 90х от циско посмотрели бы.

 

 

15 минут назад, s.lobanov сказал:

@maxkst да. Без ip unnumbered на l3 ситчах.

 

Терминация ipoe vlan-per-user на брасах идеалогически похожа на ip unnumbered, но за счёт сущности 'сессия' и процессов вокруг неё, решает те самые тысячи проблем ip unnumbered на свитчах

 

 

Вопрос немножко про другое.  Какую маску получает клиентское оборудование по dhcp и как оно с этим живет?

 

 

10 минут назад, maxkst сказал:

Я так понимаю, на микротиках такое не сделать?

делается vlan-per-user на микротиках. достоинство этой технологии в том что она делается вообще на всем, хоть на телефонах или утюгах. И даже на неуправляемых мыльницах делается , за что так любима нищими пионерами.

bras из списанного компа с помойки  и дешевые неуправляемые мыльницы по 5 баксов перепаянные под vlan per user.

С этим победим.

 

 

вы неверно понимаете проблематику IP unnumbered  .

Она касается абонента и brass а не промежуточного тупого мультиплексора vlan

 

 

9 минут назад, s.lobanov сказал:

Ага, только обычно это не пер-порт и из-за одного ***а флудящего dhcp-пакетами, dhcp- запросы от соседей дропаются

Ну так дежурный , управляющий сетью не должен спать.

 

Он должен увидеть alert в NMS на свитче таком-то превышение нагрузки CPU , придти, разобраться и наказать кого попало.

Но в целом это весьма редкие ситуации. 

Проблемы из-за гроз или рукожопых монтажников намного актуальнее.

 

[maxkst]

7 минут назад, LostSoul сказал:

делается vlan-per-user на микротиках.

Это понятно, но дальше два варианта:

либо IP unnumbered, для раздачи /32 адресов абоненту,

либо объединение абонентских вланов в общий бридж, с раздачей к примеру адресов с маской /24

[LostSoul]

5 минут назад, maxkst сказал:

но дальше два варианта

давайте послушаем "начальника транспортного цеха" (Райкин )

так как по сути что там в середине влан миксует в этом случае уже вторично

 

[maxkst]

Удивляет, что до сих пор нет единого мнения насчет VLAN-per-USER  топологии, и использования IP unnumbered в ISP

[LostSoul]

57 минут назад, maxkst сказал:

Удивляет, что до сих пор нет единого мнения насчет VLAN-per-USER  топологии, и использования IP unnumbered в ISP

Все строят по разному, по разным стратегиям развития в разных условиях и с разными людьми.

в том числе и услуги и планы на услуги разные.

 

в схеме vlan-per-user  ядро все равно по мере роста становится узким местом, поэтому те у кого рост до этих размеров запланирован изначально так не строят.

а если и строят, то хотя бы vlan-per-user не до ядра, а до уровня аггрегации.

И тут уже возникает вопрос а что-же туда поставить ( ну кроме тазика на линуксе с рядом недостатков )

и выясняется что нормальный свитч на доступе с IPMB функционалом совсем не настолько дороже,  насколько выходят дороже эти центры агрегации , способные роутить по vlan десятки тысяч абонентов.

 

То есть когда есть единая стратегия развития на каком-нибудь  моно-вендорном решение  ( типа доступ на SNR , ядро на циско или джунипер ,  аггрегация на каком-нибудь хуавее или типа того ) , то никто vlan-per-user не делает.

 

Так чаще делают когда без серьёзного плана купили сначала одно, потом метнулись в другое а дальше этот зоопарк надо как то заставить работать.

 

Ну или как GPON вариант.  Купили самый дешевый BDCOM , там 82 опция работала плохо, ну что делать перевели его тупо в бридж, поставили микротик с PPPoE , профит.

 

Строить vlan-per-user  на новом оборудовании и с чистого листа -- это примерно тоже самое, что тянуть сейчас до зданий медные многопарники и ставить ADSL DSLAM.

 

[iraklizh]

Всетаки проблемма не только с левыми dhcp серверами и кстати это кратковременные проблеммы, если юзер воткнул свой роут неправильно, инета у него все равно нету,  он связывается с техподдержкой и там ему все быстро прояснят, конечно лутше иметь возможность с самого начала делать все правильно, чтоб потом переделками не заниматя. Сейчас в продаже появились всякие новые tplink-и с которых почемуто в сеть уходят (как будто с бриджа) мобильные телефоны и от dhcp микротика они получают ip адреса как будто независимые хосты...

 

Изменено 1 марта, 2019 пользователем iraklizh

[Saab95]

В 28.02.2019 в 14:57, LostSoul сказал:

и как он тогда видит соседей по этой сети /24 ? через 254 proxyarp записей что ли?

Порт, куда подключен абонент, отвечает на все ARP запросы. Никаких проблем это не создает.

 

15 часов назад, maxkst сказал:

либо IP unnumbered, для раздачи /32 адресов абоненту,

либо объединение абонентских вланов в общий бридж, с раздачей к примеру адресов с маской /24

Абонентам раздается каждому один IP адрес поштучно с маской /24, на микротике в таблице маршрутов появляется по маршруту на каждый порт абонента. А как вы этих абонентов сведете - затянете пачку вланов, или подключите абонентов каждого в свой порт микротика - не важно.

 

В этом случае IP адрес у всех указывается один, например 10.10.10.1, а в поле network указывается уже адрес абонента, например 10.10.10.2. и т.п.

 

13 часов назад, LostSoul сказал:

Строить vlan-per-user  на новом оборудовании и с чистого листа -- это примерно тоже самое, что тянуть сейчас до зданий медные многопарники и ставить ADSL DSLAM.

Сейчас все телевидение идет юникастом, т.к. везде уже "видео по запросу", поэтому в сетях в многоквартирных домах, тянут влан до точки агрегации, в эту точку подключают магистральный канал с очень большой скоростью, в котором ходят и данные, и телевидение, его пропускной способности хватает. И никакого мультикаста уже нет. И головной боли, с ним взятой.

[LostSoul]

9 минут назад, Saab95 сказал:

Абонентам раздается каждому один IP адрес поштучно с маской /24, на микротике в таблице маршрутов появляется по маршруту на каждый порт абонента. А как вы этих абонентов сведете - затянете пачку вланов, или подключите абонентов каждого в свой порт микротика - не важно.

 

В этом случае IP адрес у всех указывается один, например 10.10.10.1, а в поле network указывается уже адрес абонента, например 10.10.10.2. и т.п.

Теперь перевожу то что вы написали на русский язык.

Вы фактически строите обычный L2 vlan на сетку /24 как и других.  Но микротик при этом обманываете что это никакой не L2 , а типа L3.

А затем делаете кучу костылей, чтоб обманутый микротик все таки работал с этим L2 правильно.

Все тоже самое можно сделать и более прямо, прописав L2 нормально и зафильтровав лишнее.

Но если вам удобнее так - это дело вкуса.

 

[Saab95]

5 минут назад, LostSoul сказал:

Вы фактически строите обычный L2 vlan на сетку /24 как и других.  Но микротик при этом обманываете что это никакой не L2 , а типа L3.

А затем делаете кучу костылей, чтоб обманутый микротик все таки работал с этим L2 правильно.

/interface vlan
add arp=reply-only interface=bridge_vlan name=vlan_2 vlan-id=2
add arp=reply-only interface=bridge_vlan name=vlan_3 vlan-id=3
/ip pool
add name=dhcp_pool_2 ranges=10.10.20.2
add name=dhcp_pool_3 ranges=10.10.20.3
/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool_2 interface=vlan_2 lease-time=5m name=dhcp_2
add add-arp=yes address-pool=dhcp_pool_3 interface=vlan_3 lease-time=5m name=dhcp_3
/ip address
add address=10.10.20.1 interface=vlan_2 network=10.10.20.2
add address=10.10.20.1 interface=vlan_3 network=10.10.20.3

Вот пример двух абонентов без прокси арп, покажите, где тут костыли.

[LostSoul]

2 минуты назад, Saab95 сказал:

Вот пример двух абонентов без прокси арп, покажите, где тут костыли.

как у вас в этой схеме 10.10.20.2 видит 10.10.20.3  , если маска им выдана 24 и proxyarp выключен?

 

[Saab95]

3 минуты назад, LostSoul сказал:

как у вас в этой схеме 10.10.20.2 видит 10.10.20.3  , если маска им выдана 24 и proxyarp выключен?

Этот пример для того случая, когда абонентам не предоставлен доступ к локалке. При этом ARP запись на стороне микротика создается только, если абонент получил адрес через DHCP, а не установил его руками. Если нужно, что бы они общались, тогда надо включить прокси-арп на интерфейсе, но в этом случае у них будет работать и при получении адреса автоматически, и при ручной установке своего адреса. Никакие другие адреса использовать не получится.

[LostSoul]

4 минуты назад, Saab95 сказал:

тогда надо включить прокси-арп на интерфейсе,

ну вот я и говорю - вы фактически построили L2 ,  но вместо того чтоб зафильтровать запрешенное , развешиваете костыли чтоб как-то заработало разрешенное.

 

 

[Saab95]

И чем плохо это решение? Это одно из самых простых и надежных, которое позволит полностью уйти от всех проблем, которые возникают на абонентских сетях. Если транспорт на L3, то все будет работать как часы.

[LostSoul]

Только что, Saab95 сказал:

И чем плохо это решение? Это одно из самых простых и надежных, которое позволит полностью уйти от всех проблем, которые возникают на абонентских сетях. Если транспорт на L3, то все будет работать как часы.

оно плохо тем , что через cpu гоняется 100% трафика. ( а не редкие отдельные пакеты, как в схеме L2 + фильтрация )

И когда я вам пишу что мой микротик crs106-1c-5s не вытягивает в таком режиме больше 30Мбит , а нужен гигабит, вы мне говорите что надо купить CRS305-1G-4S+IN  всего-то лишь в 5-6 раз дороже.   а мне это в 5-6 раз дороже ради реализации вашей замечательной схемы не нравится.

 

[Saab95]

Так в вашем случае. А в нашем поставим CRS305 и он справится с нагрузкой. Либо оставляете коммутаторы, делаете влан на порт, и все вланы стягиваете на CCR или комп с микротиком, либо на микротик попроще чем CCR, но с достаточной производительностью для задачи.

 

Тут же не стоит вопрос стоимости решения, а обсуждаются технологии. Вот и создатель темы спросил, что можно сделать, в центре у него микротик. Если он справляется с нагрузкой, то при заведении сотни или тысячи вланов на нем, все станет работать точно так же, только без непонятных проблем. То есть один раз настроить и забыть.

[LostSoul]

1 минуту назад, Saab95 сказал:

Тут же не стоит вопрос стоимости решения, а обсуждаются технологии.

ну так вот технология L3 фильтрации на L2 коммутаторе ( с всякими этими 82 функциями, dhcp snooping и.т.п.  ) были придуманы чтоб осуществлять полноценную фильтрацию абонентского доступа на ДЕШЕВОМ абонентском коммутаторе с дохленьким  CPU.

Вы же предлагаете ставить везде дорогие L3 железки на доступ с гораздо более мощным CPU ( чтоб все гонять через него ) , либо выносить всю фильтрацию и обмен между абонентами на уровнь ядра сети/агрегации.

Первый путь неоправданно и бессмысленно дорог. И в реальности не прокачает серьёзной нагрузки.  Так как ни один mikrotik в принципе не прокачает через CPU wire speed , как это делает коммутатор.  ( ну кроме может 36/72 ядерных монстров, но кто  же понесет их на доступ )

Второй путь архаичен и ущербен. По мере роста скоростей доступа все производители двигают авторизацию поближе к абоненту чтоб разгрузить ( и удешивить/ повысить надежность ) ядра и агрегации , а вы опять предлагаете "выкачать весь интернет на свой жесткий диск"

 

 

 

 

[Saab95]

6 часов назад, LostSoul сказал:

Второй путь архаичен и ущербен. По мере роста скоростей доступа все производители двигают авторизацию поближе к абоненту чтоб разгрузить ( и удешивить/ повысить надежность ) ядра и агрегации , а вы опять предлагаете "выкачать весь интернет на свой жесткий диск"

И чем вариант поставить один 36 ядерный микротик на группу домов и свести на него 500 абонентов не вариант в этом случае? Не обязательно же тянуть все вланы именно в центр. Просто если на сети стоят, как раз, дешевые управляемые коммутаторы (вебсмарты) то запаковать порт во влан они умеют. А вот всякие там спуфинги их слабый процессор плохо отрабатывает.

[LostSoul]

46 минут назад, Saab95 сказал:

И чем вариант поставить один 36 ядерный микротик на группу домов и свести на него 500 абонентов не вариант в этом случае? Не обязательно же тянуть все вланы именно в центр. Просто если на сети стоят, как раз, дешевые управляемые коммутаторы (вебсмарты) то запаковать порт во влан они умеют. А вот всякие там спуфинги их слабый процессор плохо отрабатывает.

да потому что просто непонятно зачем это нужно когда за 6000-8000р ( или сколько он там стоит ) можно купить DES-3200-28 и получить нормально работающую технологию без таких костылей.

 

[vurd]

В 28.02.2019 в 23:35, s.lobanov сказал:

@LostSoul

 

Vlan-per-user просто решает все проблемы относительно L2-взаимодействия абонетов (левые dhcp-сервера, ipv6 ra и т.д.)

 

ip unnumbered на l3-свитчах это ещё более уродливый костыль. правильное решение это терминирование vlan-per-user на bras'ах (для нищебродов есть и софт-версии брасов - тот же accel-pppd и что-то ещё было)

 

через точку терминирования, в пределах свитча трафик в ISP гонять не нужно, тупо всё через bras

 

 

Резервировать брасы как? Ну и вообще в схеме vpu какие видите пути резервирования всех уровней?

[alibek]

Разве что виртуализация. Или костыли.

[LostSoul]

2 часа назад, alibek сказал:

Разве что виртуализация. Или костыли.

есть куча вариантов резервирования L3 шлюза и без виртуализации.  всякие vrrp и аналогичные.

 

[Saab95]

15 часов назад, LostSoul сказал:

да потому что просто непонятно зачем это нужно когда за 6000-8000р ( или сколько он там стоит ) можно купить DES-3200-28 и получить нормально работающую технологию без таких костылей.

Ну купили вы этот коммутатор, а дальше то что? Все равно нужно некое устройство, которое соберет каналы от абонентов и даст им интернет. И тут без разницы что там, один влан на коммутатор + костыли, влан на порт коммутатора, если в качестве центрального шлюза или сервера стоит микротик. Наоборот, вариант свести все вланы на него выгоднее и проще.

 

Просто многие провайдеры привыкли оперировать сетями /24, пихать все в общий L2 сегмент и т.п. То есть живут по технологиям 20 летней давности. Пора уже переходить на новый уровень.

 

Вот пройдет еще пара лет, микротик выпустит еще линейку устройств с еще более быстрыми процессорами, и настанет такой день, когда производительность на CPU не будет медленнее, чем железные решения.