ingress Опубликовано 30 мая, 2008 (изменено) · Жалоба кстати можно оставить адреса, только поставить в центр Cisco 4500/6500, у которых есть такая вещь в софте как ip unnumbered on SVIsт.е. до каждого пользователя идёт влан, на сиське в каждом svi прописывается ip unnumbered lo0, включается прокси арп, а на lo0 вешается жирная белая сетка. весь траф будет ходить через центр. вот здесь ковырял ME-3400G-12CS-A оно оказывается поддерживает ip unnumbered софт вот такой me340x-metroipaccessk9-mz.122-44.SE2 конфа вот такая: ! interface GigabitEthernet0/1 description test port-type nni switchport access vlan 55 storm-control broadcast level 5.00 storm-control multicast level 5.00 storm-control action trap no cdp enable ! ! interface GigabitEthernet0/2 description test2 port-type nni switchport access vlan 56 storm-control broadcast level 5.00 storm-control multicast level 5.00 storm-control action trap no cdp enable ! ! interface Vlan55 ip unnumbered Loopback5 ! interface Vlan56 ip unnumbered Loopback5 ! interface Loopback5 ip address 192.168.1.1 255.255.255.0 ! соответственно два компа на двух портах, при прокси арп друг друга видят, без - видят только шлюз. вообщем то что надо :) но 1000 вланов, но самая младшая модель которая это умеет вообще делать. ОДНО ЕДИНСТВЕННОЕ ЖИРНОЕ НО: ME3400G(config-if)#ip unnumbered lo5 Warning: dynamic routing protocols will not work on non-point-to-point interfaces with IP unnumbere. ME3400G(config-if)# но для раздачи белых адресов самое то :) з.ы. ME серия оч. специфичная, ибо метроезернет доступ. Изменено 30 мая, 2008 пользователем ingress Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 11 июня, 2008 · Жалоба ну собсно в одном месте я эту схему уже попробовал :) есть у меня один бизнес центр, там сидит пара-тройка людей с реальными адресами в отдельных вланах, а остальные в одном общем, адреса выдаются рандомом по dhcp, они имеют дешёвый инет через впн(pptp) там стоит Edge-core EC3526XAv1 отродясь неумеющий IPSG и обладающий всего то 88 ACL, и менять его - много гемора, в частности административного :( закинул каждого в отдельный влан, свёл всё на ME3400(она же выдаёт адреса), там нарисовал жирный vlan acl на все вланы, ща думаю над service-policy, в отличие от 3560/3750 там можно извращаться(полисить) как угодно :) http://cisco.com/en/US/docs/switches/metro....html#wp1536933 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 12 августа, 2008 (изменено) · Жалоба кхм.... c3550-ipservicesk9-mz.122-44.SE2 поддерживает ip unnumbered :) опупеть... 3550 научили ipv6 чтоль...по крайне мере в кли всё доступно c3550#sh ipv6 interface vl12 Vlan12 is up, line protocol is up IPv6 is enabled, link-local address is FE8....................... Description: 1 VLAN No global unicast address is configured Joined group address(es): FF02::1 FF02::2 FF02::1:FFDA:F080 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds ND advertised reachable time is 0 milliseconds ND advertised retransmit interval is 0 milliseconds ND router advertisements are sent every 200 seconds ND router advertisements live for 1800 seconds ND advertised default router preference is Medium Hosts use stateless autoconfig for addresses. c3550# что то думаю, что оно будет proccess-switched :D Изменено 12 августа, 2008 пользователем ingress Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex780 Опубликовано 8 сентября, 2008 · Жалоба что-то unnumbered не пашет на c3550 cisco(config-if)#ip unn lo0 Point-to-point (non-multi-access) interfaces only cisco(config-if)# иос Cisco IOS Software, C3550 Software (C3550-IPSERVICES-M), Version 12.2(25)SEC, RE LEASE SOFTWARE (fc2) также и на 37 пробовал - тоже самое. 44 можно попробовать залить но думаю врядли че измениться. мож че не так делаю: int lo0 ip address 192.168.0.1 255.255.255.0 vlan 310 int vlan310 ip unnumbered lo0 ip route 192.168.0.2 255.255.255.255 Vlan310 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Shubin Опубликовано 9 сентября, 2008 · Жалоба Кто что порекомендовать может из варианта "так вот, на мой взгляд, предел сегментирования - vlan per user, и позволяет убрать вообще возможность обмена любым броадкаст-мультикастом между пользователем, к тому же при использовании в качестве терминатора BRAS, вырезать остальной трафик как угодно, а на доступе иметь "тупое" "дубовое" оборудование, которое умеет dot1q и стоит копейки." на доступ? Есть еще интересный вариант с использованием PPPoE для доступа в инет и DHCP для доступа в локалку. В этом случае некоторые свичи "умеют" локальный трафик гнать по основному local-VLAN (per user) и перенаправлять PPPoE трафик от абонента в другой VLAN. Причем этот другой pppoe-VLAN может быть использоваться например per-switch. Таким образом локальный трафик маршрутизируется (local-VLAN терминируется) на агрегации-ядре (как душа желает), а PPPoE идет в ядро по выделенному VLAN. Экономия VLAN и IP адресов - оптимальная. Ну и со всеми вкусностями учета-ограничения-безопасности.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 10 сентября, 2008 (изменено) · Жалоба что-то unnumbered не пашет на c3550 залейте именно тот софт, который я написал. из кли всё вводится, реально 3550 протестировать не довелось, нету свободной. p.s. до сих пор не понимаю зачем нужен маршрут, и без него работает. м.б. на роутерах без него не пашет. Изменено 10 сентября, 2008 пользователем ingress Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
deep_admin Опубликовано 10 сентября, 2008 · Жалоба Кто что порекомендовать может из варианта "так вот, на мой взгляд, предел сегментирования - vlan per user, и позволяет убрать вообще возможность обмена любым броадкаст-мультикастом между пользователем, к тому же при использовании в качестве терминатора BRAS, вырезать остальной трафик как угодно, а на доступе иметь "тупое" "дубовое" оборудование, которое умеет dot1q и стоит копейки." на доступ? Есть еще интересный вариант с использованием PPPoE для доступа в инет и DHCP для доступа в локалку. В этом случае некоторые свичи "умеют" локальный трафик гнать по основному local-VLAN (per user) и перенаправлять PPPoE трафик от абонента в другой VLAN. Причем этот другой pppoe-VLAN может быть использоваться например per-switch. Таким образом локальный трафик маршрутизируется (local-VLAN терминируется) на агрегации-ядре (как душа желает), а PPPoE идет в ядро по выделенному VLAN. Экономия VLAN и IP адресов - оптимальная. Ну и со всеми вкусностями учета-ограничения-безопасности.... это что-то типа protocol vlan ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Shubin Опубликовано 11 сентября, 2008 · Жалоба Кто что порекомендовать может из варианта "так вот, на мой взгляд, предел сегментирования - vlan per user, и позволяет убрать вообще возможность обмена любым броадкаст-мультикастом между пользователем, к тому же при использовании в качестве терминатора BRAS, вырезать остальной трафик как угодно, а на доступе иметь "тупое" "дубовое" оборудование, которое умеет dot1q и стоит копейки." на доступ? Есть еще интересный вариант с использованием PPPoE для доступа в инет и DHCP для доступа в локалку. В этом случае некоторые свичи "умеют" локальный трафик гнать по основному local-VLAN (per user) и перенаправлять PPPoE трафик от абонента в другой VLAN. Причем этот другой pppoe-VLAN может быть использоваться например per-switch. Таким образом локальный трафик маршрутизируется (local-VLAN терминируется) на агрегации-ядре (как душа желает), а PPPoE идет в ядро по выделенному VLAN. Экономия VLAN и IP адресов - оптимальная. Ну и со всеми вкусностями учета-ограничения-безопасности.... это что-то типа protocol vlan ? Да, но в данном случае один порт принадлежит и работает в двух (и более) VLAN. Это очень новая фишка и поддерживается далеко не на всех свичах. На доступе- очень перспективная вещь, кто использует (или планирует) вилан на пользователя. В этом случа на пользователя открывается не один, а несколько виланов. Но некторые (например local trafic VLAN) дальше агрегации могут не уходить, а нужные идут дальше на BRAS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex780 Опубликовано 11 сентября, 2008 · Жалоба что-то unnumbered не пашет на c3550 залейте именно тот софт, который я написал. из кли всё вводится, реально 3550 протестировать не довелось, нету свободной. p.s. до сих пор не понимаю зачем нужен маршрут, и без него работает. м.б. на роутерах без него не пашет. в cli да есть команды - причем начиная с 12.2(25)SEC, а вот при попытке сделатьcisco(config-if)#ip unn lo0 говорит Point-to-point (non-multi-access) interfaces only так что не пашет :( Навесил левый ипшник на интерфейс - все заработало и без unnumbered, эффект как я понимаю тотже Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 11 декабря, 2008 · Жалоба Навесил левый ипшник на интерфейс - все заработало и без unnumbered, эффект как я понимаю тотже Тот же, только ARP-запросы идут от левого айпишника. Не все это понимают, особо правильные нос воротят... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 28 декабря, 2008 · Жалоба Навесил левый ипшник на интерфейс - все заработало и без unnumbered, эффект как я понимаю тотжеТот же, только ARP-запросы идут от левого айпишника. Не все это понимают, особо правильные нос воротят... достал 3550 софт такой c3550-ipservicesk9-mz.122-44.SE3 на стенде всё работает в вышеописанной конфигурации. маршруты не забываем типа ip route 1.1.1.1 255.255.255.255 vl222 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 28 декабря, 2008 · Жалоба Господа, кто на 3550 делал VLAN per User. Какие ограничения на количество в реальной жизни? Про 1000 в теории знаю, но облажаться не хочется ;) Кстати ситуацию с белыми адресами я планирую решать очень просто - буду делать статик нат на шейпере, который стоит после L3 терминатора. Количество убиваемых зайцев не поддается исчислению: экономия белых адресов, упрощение конфигурации vlan, быстрый прямой обмен локалом на приватных адресах через L3 свичинг, возможность смены-перенумирации белых адресов не затрагивая настройки клиентов. Даже не знаю где плохо, ткните что ли. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cr_net Опубликовано 28 декабря, 2008 · Жалоба Господа, кто на 3550 делал VLAN per User.Какие ограничения на количество в реальной жизни? Про 1000 в теории знаю, но облажаться не хочется ;) Сильно зависит от выбраного профиля tcam, количества мак адресов, acl и т.д.show sdm prefer routing "desktop routing" template: The selected template optimizes the resources in the switch to support this level of features for 8 routed interfaces and 1024 VLANs. number of unicast mac addresses: 3K number of IPv4 IGMP groups + multicast routes: 1K number of IPv4 unicast routes: 11K number of directly-connected IPv4 hosts: 3K number of indirect IPv4 routes: 8K number of IPv4 policy based routing aces: 512 number of IPv4/MAC qos aces: 512 number of IPv4/MAC security aces: 1K Sonne, в выбраной модели vlan per user, если надо подать voip юзеру, то как тогда? Все сервисы в одном влан? а qos? Не праздно интересуюсь, у самих вопрос насущный, сеть обломилась для сервиса, а там мыльницы 8 портовые длинковские на доступе и почти аналог vlan пер юзер. Боязно туда голос пихать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nafanya Опубликовано 28 декабря, 2008 · Жалоба Кстати ситуацию с белыми адресами я планирую решать очень просто - буду делать статик нат на шейпере, который стоит после L3 терминатора.Количество убиваемых зайцев не поддается исчислению: экономия белых адресов, упрощение конфигурации vlan, быстрый прямой обмен локалом на приватных адресах через L3 свичинг, возможность смены-перенумирации белых адресов не затрагивая настройки клиентов. Даже не знаю где плохо, ткните что ли. тоесть делать PAT с белого адреса транслировать в серый? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 28 декабря, 2008 · Жалоба Господа, кто на 3550 делал VLAN per User.Какие ограничения на количество в реальной жизни? Про 1000 в теории знаю, но облажаться не хочется ;) Сильно зависит от выбраного профиля tcam, количества мак адресов, acl и т.д.show sdm prefer routing "desktop routing" template: The selected template optimizes the resources in the switch to support this level of features for 8 routed interfaces and 1024 VLANs. number of unicast mac addresses: 3K number of IPv4 IGMP groups + multicast routes: 1K number of IPv4 unicast routes: 11K number of directly-connected IPv4 hosts: 3K number of indirect IPv4 routes: 8K number of IPv4 policy based routing aces: 512 number of IPv4/MAC qos aces: 512 number of IPv4/MAC security aces: 1K Sonne, в выбраной модели vlan per user, если надо подать voip юзеру, то как тогда? Все сервисы в одном влан? а qos? Не праздно интересуюсь, у самих вопрос насущный, сеть обломилась для сервиса, а там мыльницы 8 портовые длинковские на доступе и почти аналог vlan пер юзер. Боязно туда голос пихать. То что пишет tcam я знаю, интересует реальный опыт. Купить железку, потом сидеть и набивать 1024 вланов чтобы узнать что оно работает, как то не радует. Voip и IP-TV в одном общем отдельном VLANе на всех. Все подключеные устройства в этот VLAN железно контролирует оператор, никаких проблем нет. На доступе у меня dot1.q транк к юзеру, который разбирается на VLANы. Вобще железное правило построение QoS это контроль оператором последнего клиентского Ethernet порта. Жизнь показала, что голос нормально пропущенный по 4рем радиохопам бестолковый клиент умудряется убить в своей локалке глючными мыльницами, мятой витухой, завирусованными компами, рассогласованием режимов дуплекса. Виноват всегда естественно оператор. У меня будет так. Коммутатор с 1 Gbic принимает 802.1q транк. В нем нетегированный VLAN - управление. VID 2 - VoIP, Vid 3 - TV, VID -xxx интернет Соответственно по умолчанию порт 1 включен в management, порт 2 включен в VLAN2, порт 3 в VLAN3. Остальные 5 портов для домовой сети юзера. Как результат все настройки QoS на абонетском коммутаторе полность одинаковы и стандартны, вбиваются при поступлении партии железок на склад. Монтажник может приехать, заменить, подключить ноутбук в порт 1 перенастроить конфигурацию доступа в интернет под клиента. Потом можно порт 1 зашатдаунить из центра для секьюрити. Кстати ситуацию с белыми адресами я планирую решать очень просто - буду делать статик нат на шейпере, который стоит после L3 терминатора.Количество убиваемых зайцев не поддается исчислению: экономия белых адресов, упрощение конфигурации vlan, быстрый прямой обмен локалом на приватных адресах через L3 свичинг, возможность смены-перенумирации белых адресов не затрагивая настройки клиентов. Даже не знаю где плохо, ткните что ли. тоесть делать PAT с белого адреса транслировать в серый? SNAT или PAT суть одно и тоже. Причем в случае с PAT, можно протранслировать только нужные клиенту порты, получается очень секьюрно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nafanya Опубликовано 28 декабря, 2008 · Жалоба Кстати ситуацию с белыми адресами я планирую решать очень просто - буду делать статик нат на шейпере, который стоит после L3 терминатора.Количество убиваемых зайцев не поддается исчислению: экономия белых адресов, упрощение конфигурации vlan, быстрый прямой обмен локалом на приватных адресах через L3 свичинг, возможность смены-перенумирации белых адресов не затрагивая настройки клиентов. Даже не знаю где плохо, ткните что ли. тоесть делать PAT с белого адреса транслировать в серый? SNAT или PAT суть одно и тоже. Причем в случае с PAT, можно протранслировать только нужные клиенту порты, получается очень секьюрно. может проще давать белый адрес как доп. услугу за N рубликов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
masterovoj Опубликовано 28 декабря, 2008 · Жалоба Сильно зависит от выбраного профиля tcam, количества мак адресов, acl и т.д.show sdm prefer routing "desktop routing" template: The selected template optimizes the resources in the switch to support this level of features for 8 routed interfaces and 1024 VLANs. ... То что пишет tcam я знаю, интересует реальный опыт. Купить железку, потом сидеть и набивать 1024 вланов чтобы узнать что оно работает, как то не радует. Я так понимаю железка честно признаётся, что хоть и может 1024 ВЛАНа, но SVI будет всего 8 штук. Или не так понимаю. Если number of IPv4/MAC security aces: 1K, то это сколько простых aces влезет в 1К? Тех, которые делаются самой железкой при IP Source Guard. А если не 8 SVI, а все 800, то всё на 100 надо поделить? Получится 1К/100 ~ 12 байт. То есть, если сделать 800 ВЛАНов, то в IPv4/MAC security aces будет выделяться по 12 байт на VLAN? В эти 12 байт влезет правило IP Source Guard'а? Оно может динамически забирать память с других неиспользуемых features и использовать для тех фич, которым не хватает памяти? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 28 декабря, 2008 · Жалоба Кстати ситуацию с белыми адресами я планирую решать очень просто - буду делать статик нат на шейпере, который стоит после L3 терминатора.Количество убиваемых зайцев не поддается исчислению: экономия белых адресов, упрощение конфигурации vlan, быстрый прямой обмен локалом на приватных адресах через L3 свичинг, возможность смены-перенумирации белых адресов не затрагивая настройки клиентов. Даже не знаю где плохо, ткните что ли. тоесть делать PAT с белого адреса транслировать в серый? SNAT или PAT суть одно и тоже. Причем в случае с PAT, можно протранслировать только нужные клиенту порты, получается очень секьюрно. может проще давать белый адрес как доп. услугу за N рубликов? Проще, с использованием Static NAT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cr_net Опубликовано 28 декабря, 2008 · Жалоба кстати приведённый show был, для 3560, (3550 нет в наличии), а для 3550 оказывается sdm различается даже для гигабитных и фастезернетовских моделей http://www.cisco.com/en/US/docs/switches/l....html#wp1235565 судя вот по этому The first six rows in the tables (unicast MAC addresses through multicast routes) represent approximate hardware boundaries set when a template is selected. If a section of a hardware resource is full, all processing overflow is sent to the CPU, seriously impacting switch performance. The last two rows, the total number of routed ports and SVIs and the number of Layer 2 VLANs, are guidelines used to calculate hardware resource consumption related to the other resource parameters. The number of subnet VLANs (routed ports and SVIs) are not limited by software and can be set to a number higher than indicated in the tables. If the number of subnet VLANs configured is lower or equal to the number in the tables, the number of entries in each category (unicast addresses, IGMP groups, and so on) for each template will be as shown. As the number of subnet VLANs increases, CPU utilization typically increases. If the number of subnet VLANs increases beyond the number shown in the tables, the number of supported entries in each category could decrease depending on features that are enabled. For example, if PIM-DVMRP is enabled with more than 16 subnet VLANs, the number of entries for multicast routes will be in the range of 1K-5K entries for the access template. 1000 svi создадутся, и можно перераспределять tcam в 3550 для vlan и svi за счёт неиспользования других ресурсов, но вот в том, что за счёт этого можно дотянуть до полноценно работающих 1000 svi у меня сомнения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 28 декабря, 2008 · Жалоба Voip и IP-TV в одном общем отдельном VLANе на всех. Все подключеные устройства в этот VLAN железно контролирует оператор, никаких проблем нет.На доступе у меня dot1.q транк к юзеру, который разбирается на VLANы. я бы обязательно включился компом и посмотрел дамп трафа *заодно послушал телефоны соседей, т.к. DAI не предполагается* :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nafanya Опубликовано 29 декабря, 2008 · Жалоба Господа, кто на 3550 делал VLAN per User. Какие ограничения на количество в реальной жизни? Про 1000 в теории знаю, но облажаться не хочется ;) Кстати ситуацию с белыми адресами я планирую решать очень просто - буду делать статик нат на шейпере, который стоит после L3 терминатора. Количество убиваемых зайцев не поддается исчислению: экономия белых адресов, упрощение конфигурации vlan, быстрый прямой обмен локалом на приватных адресах через L3 свичинг, возможность смены-перенумирации белых адресов не затрагивая настройки клиентов. Даже не знаю где плохо, ткните что ли. уф, пол часа поисков. точно помнил, что кто-то выкладывал данные :)http://forum.nag.ru/forum/index.php?showto...mp;#entry280965 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cr_net Опубликовано 29 декабря, 2008 · Жалоба уф, пол часа поисков. точно помнил, что кто-то выкладывал данные :)http://forum.nag.ru/forum/index.php?showto...mp;#entry280965 Оо.. беру свои сомнения назад :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 29 декабря, 2008 · Жалоба уф, пол часа поисков. точно помнил, что кто-то выкладывал данные :)http://forum.nag.ru/forum/index.php?showto...mp;#entry280965 Оо.. беру свои сомнения назад :) Спасибо коллеги! :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...