maxkst Опубликовано 22 апреля, 2020 Замечена такая проблема: роутеры у некоторых клиентов перестают слать DHCP запросы. В основном Длинки, Тплинки и прочий шлак. Тоесть клиент получает публичный адрес от нас с таймаутом 20 минут, и периодически подтверждает его, вроде каждые 10 минут. Месяцами работает, и вдруг ни с того ни с сего перестает подтверждать, но продолжает использовать (лечится ребутом этого клиента). DHCP сервер походу живет собственной жизнью, и ваще не в курсе, что этот адрес нифига не освободился, и начинает раздавать его направо и налево, соответственно - конфликт и ниче не работает как минимум у одного из клиентов, как правило у второго. В АРП таблице - два мака на одном адресе, печаль. Есть пара мыслей, как это лечить, но хотелось бы все варианты рассмотреть. Кто как решает такую проблему? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morf Опубликовано 22 апреля, 2020 Conflict Detection поставили у DHCP ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 22 апреля, 2020 38 минут назад, morf сказал: Conflict Detection поставили у DHCP ? Надо нам сначала обновиться, это одна из мыслей. Если других вариантов не придумаем - так и поступим Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morf Опубликовано 22 апреля, 2020 24 минуты назад, maxkst сказал: Надо нам сначала обновиться, это одна из мыслей. Если других вариантов не придумаем - так и поступим Был там такой косяк, но у ПК подключенных напрямую, причем с установленным Avast. Conflict Detection - в итоге решило эту проблему. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 22 апреля, 2020 46 минут назад, morf сказал: Был там такой косяк, но у ПК подключенных напрямую, причем с установленным Avast. Conflict Detection - в итоге решило эту проблему. Видимо потому что DHCP сервер отправлял пинги перед выдачей, а надо было еще и арп, ну или хотя бы следить, чтобы арп тэйбл не флаппал, и за собственным форвард трафиком поглядывать. Интересно, как CONFLICT DETECTION проверяет, используется адрес или нет, если на "кривом" клиенте все закрыто извне Вопрос по клиентам пока остается открытым - сфигали они перестают лизу подтверждать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 22 апреля, 2020 46 минут назад, maxkst сказал: Интересно, как CONFLICT DETECTION проверяет 6.44 *) dhcpv4-server - use ARP for conflict detection; Фэйспалм. А чем они до этого проверяли, пингом чтоли? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 23 апреля, 2020 В 22.04.2020 в 18:14, maxkst сказал: Есть пара мыслей, как это лечить, но хотелось бы все варианты рассмотреть. Кто как решает такую проблему? Влан на пользователя и жесткая привязка IP адреса к этому влану. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 23 апреля, 2020 35 минут назад, Saab95 сказал: Влан на пользователя и жесткая привязка IP адреса к этому влану. Микросегментация руками) прикольно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 23 апреля, 2020 42 минуты назад, Saab95 сказал: жесткая привязка IP адреса к этому влану Любопытно, как это выглядит на микротике? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 23 апреля, 2020 @RN3DCX 1-2к строк конфиг со скриптами перезапуска интерфейсов. Если конфиг большой на микротика ip адреса подымаются раньше чем логический интерфейс приходится использовать скрипт перезапуска. @maxkst вариант для ленивых ipoe + радиус. Cisco или juniper, за лень нужно платить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 24 апреля, 2020 В 23.04.2020 в 19:44, fractal сказал: Микросегментация руками) прикольно Почему руками? На коммутаторах каждый порт абонента добавляется во влан, на микротике заводятся все вланы. В 23.04.2020 в 19:51, RN3DCX сказал: Любопытно, как это выглядит на микротике? /interface vlan add arp=reply-only interface=bridge_vlan name=vlan_222 vlan-id=222 /ip address add address=10.10.3.1/32 network=10.10.3.222 interface=vlan_222 /ip pool add name=dhcp_pool_222 ranges=10.10.3.222 /ip dhcp-server add add-arp=yes address-pool=dhcp_pool_222 disabled=no interface=vlan_222 lease-time=5m name=dhcp_222 Почему вланы на бридже - так проще поменять интерфейс, или перенести конфиг на другое устройство и т.п. По сути все добавляется автоматически из биллинга при подключении абонента. Нужно лишь на коммутаторе или поне нужный влан настроить и все. Кроме всего микротик позволяет агрегировать порты без всяких устаревших технологий. Допустим есть шина или звезда из коммутаторов, на каждом коммутаторе настроены вланы абонентов, и можно дотянуть до микротика начало шины, конец шины, можно из серединки там взять пару каналов, далее подключить все эти каналы в порты микротика, добавить эти порты в бридж, заблокировать пропуск трафика между портами бриджа и вуаля - все каналы используются почти равномерно, никакие там STP вообще не нужны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 24 апреля, 2020 2 минуты назад, Saab95 сказал: Почему руками? На коммутаторах каждый порт абонента добавляется во влан, на микротике заводятся все вланы. а если за портом 200 клиентов? а если таких точек 500? да это убиться можно, тут либо нормальный конфигуратор из дешевых, либо дорогие штуки которые галочкой все это делают Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 24 апреля, 2020 Это как за портом 200 клиентов? Дальше цепочка из тупых хабов что ли? =) Вот вам и коммутаторы. Хорошо что мы давно отказались от всякий длинков и прочей нечести, перейдя на микротики - на них можно что угодно перенастроить парой команд удаленно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 25 апреля, 2020 7 часов назад, Saab95 сказал: Это как за портом 200 клиентов? Дальше цепочка из тупых хабов что ли? =) Вот вам и коммутаторы. Хорошо что мы давно отказались от всякий длинков и прочей нечести, перейдя на микротики - на них можно что угодно перенастроить парой команд удаленно. Микротик, а за ним к примеру 4 по 48 портовых свитча в одном домене, так что не придумывайте, как в этом случае быть? Или вы пачку микротов вешает? Кстати что Вы за провайдер то? И в каком городе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 29 апреля, 2020 И что мешает на этих 48 портовых свичах настроить влан на порт? Потом на микротике заведете 192 влана. Далее на микротике повесите 192 DHCP сервера, а далее уже каждый клиент окажется в своем влане. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 29 апреля, 2020 6 часов назад, Saab95 сказал: Далее на микротике повесите 192 DHCP сервера С одним общим пулом адресов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 29 апреля, 2020 @maxkst я же выше писал 1-2к строк конфига З.ы. все статикой записать. Создать шаблон и это шаблон. Сеть сегментировать и использовать один и тот же шаблон. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 29 апреля, 2020 1 час назад, pingz сказал: З.ы. все статикой записать. Создать шаблон и это шаблон. Сеть сегментировать и использовать один и тот же шаблон. то есть DHCP клиенты есть, но все получают статику? динамических адресов вообще нет? Я нахожу это логичным. Динамические адреса были нужны, когда в интернет выходили быстрыми перебежками. При безлимитных тарифах динамика вообще не актуальна, имхо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 29 апреля, 2020 @maxkst по логике Саба так + скрипты Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 29 апреля, 2020 1 минуту назад, pingz сказал: по логике Саба так А есть другая логика? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 30 апреля, 2020 @maxkst asr, mx, se, у huawei скорей всего есть ipoe + радиус. Либо тазик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 30 апреля, 2020 1 час назад, pingz сказал: asr, mx, se, у huawei скорей всего есть ipoe + радиус. Либо тазик. Я спросил про логику использования динамических адресов - а вы мне список оборудования Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 1 мая, 2020 @maxkst Я думал ты в курсе, ну поехали. Саб тут как местный мем со своей историей и правдой. В данный момент вам нужен vlan per user c динамической раздачей адресов. Есть "технология" IPoE это скорее костыль от вендора, на сколько мне известно в RFC его нет. Каждый вендор как хочет так и собирает свой софт. В mikrotik нет из коробки IPoE в привычном понимании. Привычное понимание это, когда прилетает пакет от пользователя на коробку не важно qnq или vlan коробка создает интерфейс спрашивает у радиуса, какой IP для этого мака выдать. Радиус выдает все атрибуты ip, адрес шлюза, шейпер на коробку, фильтр. Все работает в автоматическом режиме. В биллинге есть записи какой ip был выдан клиенту и т.д. В логике Саба: "Нужно больше микротиков" если че он процитирует это сообщение и скажет так все и есть. Т.е. Если у вас 1к клиентов и при статическом конфиге допустим выходит 8 строк конфига 1 пользователя выходит 8к статических записей на коробке прописывает следующий шлюз. Следующий шлюз угадайте кто? Правильно микротик на нем уже через скрипты вешаем шейперы и фильтра, чтобы запретить клиентам у кого, отрицательный баланс выходить в интернет и отправляем на другой шлюз. Следующий шлюз угадайте кто? Правильно микротик с натом. И вот таким не хитрым способом мы получаем 3-6 устройств которые занимаются каждый своим делом. Если честно в этом есть логика, но я думаю меня руководство оператора при такой схеме пошлет. Логичный вопрос, а может все это в одной коробке реализовать, вас не кто не отговаривает личный опыт самый лучший потом расскажите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 3 мая, 2020 /ip dhcp-server set conflict-detection=yes number=0 А что значит этот number? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 4 мая, 2020 В 30.04.2020 в 23:46, pingz сказал: Саб тут как местный мем со своей историей и правдой. Я походу стану следующим. Мы умудрились каким-то чудом довольно большую FTTH сетку построить на MT и до сих пор пока не налажали по-крупному. Видимо потому что у нас тоже много микротиков, CTO решает проблемы путем разделения каждой железки/сервиса на две/два MT. Крутые инфесторы заметили наше поделие, и их не остановило отсутствие именитых брендов у нас в сетке от подписания серьезного контракта. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...