sirmax Posted May 9, 2022 Posted May 9, 2022 Собственно вопрос - при совпадении маков работает только тот кто включился последним ip dhcp smart-relay ip dhcp relay information policy keep no ip dhcp relay information check ip dhcp relay information trust-all ip dhcp snooping vlan 3000-3399 ip dhcp snooping information option allow-untrusted no ip dhcp snooping verify mac-address ip dhcp snooping ... interface Loopback100 vrf forwarding Customers ip dhcp relay information trusted ip address 192.168.1.254 255.255.240.0 interface Vlan3029 ip dhcp relay information trusted ip dhcp relay information policy-action keep ip unnumbered Loopback100 ip helper-address 172.31.100.18 no ip redirects ip local-proxy-arp ip route-cache same-interface interface Vlan3228 description description Oct_1_2 vrf forwarding Customers ip dhcp relay information trusted ip dhcp relay information policy-action keep ip unnumbered Loopback100 ip helper-address 172.31.100.18 Когда по какой-то причине совпадает мак то получаю неприятную картину - кто получил адрес последним тот и работает #sh ip dhcp snooping binding | i D4:CA:6D:7C:A6:5C D4:CA:6D:7C:A6:5C 192.168.129.34 3193 dhcp-snooping 3029 TenGigabitEthernet1/50 D4:CA:6D:7C:A6:5C 10.2.6.161 0 dhcp-snooping 3228 TenGigabitEthernet1/50 По большому счету снуппинг нужен только для того что бы маршрут попадал в таблицу маршрутизации и анонился дальше - одна и та же сеть /20 размазана на несколько vrf для того что бы не гонять клиентов включенных на скорости порта через шейпер Такое очень редко но хочется разобраться - собственно какого черта - вланы то разные ничто не мешает иметь 2 одинаковых мака в разных вланах Вставить ник Quote
Saab95 Posted May 9, 2022 Posted May 9, 2022 В 09.05.2022 в 20:16, sirmax сказал: Такое очень редко но хочется разобраться - собственно какого черта - вланы то разные Вланы то разные, только влан это лишь маленькая меточка L2 пакета и если все данные сводятся в центре через коммутаторы, то уже коммутаторы видят один и тот же мак на двух абонентских портах. Для исключения такой ситуации нужно переходить на L3 транспорт или терминацию максимально близко к абонентам. Вставить ник Quote
sirmax Posted May 10, 2022 Author Posted May 10, 2022 5 часов назад, Ivan_83 сказал: Не понятна топология сети. Максимально просто (в меру моих способностей) на доступе свитчи 1 - с dhcp snooping + option 82 + ip source guard + ip arp inspection тут абоненты получают адрес на основе порта свитча + идентификатора свитча, таких большенство, влан-на-свитч 2 - свитчи с вланами но без функций привязки или option 82 - тут влан-на-порт и привязка осуществляется на cisco4948e Абоненты получают адрес от DHCP - те кто известны и платят из одной сети, новые из другой сети, и "неизвестные" редиректит на портал где можно ввести логин и пароль от личного кабинета Агрегация максимально простая и прозрачная кроме вланов ничего нет В ядре cisco 4849e где есть насколько VRF, это сделано для того что бы те абоненты что включены на скорости порта гнать мимо шейпера Абонентов которых надо или не надо шейпить отличает номер влана, сеть ip общая Вся сетка - ip unnumbered т е соседние адреса могут оказаться в разных вланах и на разных концах сети Собственно это все Проблема появилась когда сняли линуксбокс который делал ip unnumbered и терминацию вланов 8 часов назад, Saab95 сказал: Вланы то разные, только влан это лишь маленькая меточка L2 пакета и если все данные сводятся в центре через коммутаторы, то уже коммутаторы видят один и тот же мак на двух абонентских портах. Для исключения такой ситуации нужно переходить на L3 транспорт или терминацию максимально близко к абонентам. Как в такой ситуации Вы даете /32 на абонента? ну что б с тем же адресом он мог работать в любой точке сети? (ответ "это не нужно" я заведомо считаю ошибочным) Да и вопрос изначальный был не про дизайн сети Вставить ник Quote
Saab95 Posted May 11, 2022 Posted May 11, 2022 В 10.05.2022 в 07:53, sirmax сказал: Как в такой ситуации Вы даете /32 на абонента? ну что б с тем же адресом он мог работать в любой точке сети? (ответ "это не нужно" я заведомо считаю ошибочным) Мы абоненту даем адрес с маской /24 или /16. На роутере, который терминирует абонента, установлен первый белый адрес сети, например 123.11.22.1 На всех роутерах он установлен один и тот же. Абоненту выдаем адрес, допустим, 123.11.22.132. для рассылки маршрутной информации вешаем на его интерфейс адрес - 123.11.22.1, а нетворк = адрес абонента = 123.11.22.132, после этого по сети уходит маршрутная информация и все узнают где находится абонент. Для того, что бы абонент мог передавать данные своим соседям по маске, на всех интерфейсах включен прокси арп. Вставить ник Quote
sirmax Posted May 12, 2022 Author Posted May 12, 2022 10 часов назад, Saab95 сказал: Мы абоненту даем адрес с маской /24 или /16. На роутере, который терминирует абонента, установлен первый белый адрес сети, например 123.11.22.1 На всех роутерах он установлен один и тот же. Абоненту выдаем адрес, допустим, 123.11.22.132. для рассылки маршрутной информации вешаем на его интерфейс адрес - 123.11.22.1, а нетворк = адрес абонента = 123.11.22.132, после этого по сети уходит маршрутная информация и все узнают где находится абонент. Для того, что бы абонент мог передавать данные своим соседям по маске, на всех интерфейсах включен прокси арп. Не то что б это относилось к теме но можно все таки пример конфига на словах не очень-то понятно Вставить ник Quote
Saab95 Posted May 12, 2022 Posted May 12, 2022 Примерно так /interface vlan add arp=proxy-arp interface=bridge_vlan name=vlan_24 vlan-id=24 /ip address add address=123.1.23.1/32 network=123.1.23.24 interface=vlan_24 /ip pool add name=dhcp_pool_24 ranges=123.1.23.24 /ip dhcp-server add add-arp=yes address-pool=dhcp_pool_24 disabled=no interface=vlan_24 lease-time=5m name=dhcp_24 Вставить ник Quote
sirmax Posted May 15, 2022 Author Posted May 15, 2022 В 12.05.2022 в 22:54, Saab95 сказал: /interface vlan add arp=proxy-arp interface=bridge_vlan name=vlan_24 vlan-id=24 /ip address add address=123.1.23.1/32 network=123.1.23.24 interface=vlan_24 /ip pool add name=dhcp_pool_24 ranges=123.1.23.24 /ip dhcp-server add add-arp=yes address-pool=dhcp_pool_24 disabled=no interface=vlan_24 lease-time=5m name=dhcp_24 не соображу где тут шлюз выдается абоненту за одно расскажите что значит параметр network=123.1.23.24 на интерфейсе в микротике Такая конфигурация всем роутерами жуется? что видно на стороне абонента - маска? шлюз? В целом я не вижу способа автоматизировать (если абонент переехал на другое устройство) кроме адового скриптования Это в целом достаточно нетривиальная задача - написать систему управления микротиками массово хотя конечно решаемая при должном упорстве Вставить ник Quote
Saab95 Posted May 15, 2022 Posted May 15, 2022 В 15.05.2022 в 17:56, sirmax сказал: за одно расскажите что значит параметр network=123.1.23.24 на интерфейсе в микротике Это означает что на указанном интерфейсе находится адрес абонента, то есть как бы широковещательный адрес, адрес сети, как маска. Но самой маски нет. В 15.05.2022 в 17:56, sirmax сказал: Такая конфигурация всем роутерами жуется? что видно на стороне абонента - маска? шлюз? Микротиком принимается. На стороне абонента видно адрес 123.1.23.24, маска 255.255.0.0 и шлюз 123.1.23.1, никаких мелких масок нет, такие настройки принимает любой роутер у абонента. В 15.05.2022 в 17:56, sirmax сказал: В целом я не вижу способа автоматизировать (если абонент переехал на другое устройство) кроме адового скриптования У микротика есть возможность запуска скрипта при получении IP адреса абонента через DHCP - вот туда и будут подставляться данные. После отключения абонента второй скрипт удалит изменения. Второй вариант это отправка команд по SSH со стороны радиус сервера - он знает кто с какого роутера запросил адрес - отправит на него список команд, после прекращения аренды удалит их, вручную можно ничего и не делать. Вставить ник Quote
sirmax Posted May 16, 2022 Author Posted May 16, 2022 14 часов назад, Saab95 сказал: Микротиком принимается. На стороне абонента видно адрес 123.1.23.24, маска 255.255.0.0 и шлюз 123.1.23.1, никаких мелких масок нет, такие настройки принимает любой роутер у абонента. 1 - где в вашей конфигурации выше прописаны маска 255.255.0.0 и шлюз 123.1.23.1 ? 14 часов назад, Saab95 сказал: У микротика есть возможность запуска скрипта при получении IP адреса абонента через DHCP - вот туда и будут подставляться данные. После отключения абонента второй скрипт удалит изменения. В целом ту меня от вашего стиля малость горит - тудя-сюда данные ВЫ ТОЛКОМ МОЖЕТЕ НАПИСАТЬ???? На каком микротике эта машинерия работает? в центре? или на том что терменирует абонентов? Млять ну какого черта это все происходит в этой этой теме Кто-то из модеров умеет разделять тему? Вставить ник Quote
Saab95 Posted May 17, 2022 Posted May 17, 2022 В 16.05.2022 в 14:15, sirmax сказал: 1 - где в вашей конфигурации выше прописаны маска 255.255.0.0 и шлюз 123.1.23.1 ? В разделе настройки DHCP сетей, там можно прописать что угодно. Например так: /ip dhcp-server network add address=123.1.23.0/16 dns-server=123.1.23.1 gateway=123.1.23.1 В 16.05.2022 в 14:15, sirmax сказал: На каком микротике эта машинерия работает? в центре? или на том что терменирует абонентов? На том, что терминирует абонентов. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.