[ingress]

кстати можно оставить адреса, только поставить в центр Cisco 4500/6500, у которых есть такая вещь в софте как ip unnumbered on SVIs

т.е. до каждого пользователя идёт влан, на сиське в каждом svi прописывается ip unnumbered lo0, включается прокси арп, а на lo0 вешается жирная белая сетка. весь траф будет ходить через центр.

вот здесь ковырял ME-3400G-12CS-A

оно оказывается поддерживает ip unnumbered

 

софт вот такой me340x-metroipaccessk9-mz.122-44.SE2

 

конфа вот такая:

!

interface GigabitEthernet0/1

description test

port-type nni

switchport access vlan 55

storm-control broadcast level 5.00

storm-control multicast level 5.00

storm-control action trap

no cdp enable

!

!

interface GigabitEthernet0/2

description test2

port-type nni

switchport access vlan 56

storm-control broadcast level 5.00

storm-control multicast level 5.00

storm-control action trap

no cdp enable

!

!

interface Vlan55

ip unnumbered Loopback5

!

interface Vlan56

ip unnumbered Loopback5

!

interface Loopback5

ip address 192.168.1.1 255.255.255.0

!

 

соответственно два компа на двух портах, при прокси арп друг друга видят, без - видят только шлюз. вообщем то что надо :)

но 1000 вланов, но самая младшая модель которая это умеет вообще делать.

 

ОДНО ЕДИНСТВЕННОЕ ЖИРНОЕ НО:

ME3400G(config-if)#ip unnumbered lo5

Warning: dynamic routing protocols will not work on non-point-to-point interfaces with IP unnumbere.

ME3400G(config-if)#

 

но для раздачи белых адресов самое то :)

 

з.ы. ME серия оч. специфичная, ибо метроезернет доступ.

Изменено 30 мая, 2008 пользователем ingress

[ingress]

ну собсно в одном месте я эту схему уже попробовал :)

 

есть у меня один бизнес центр, там сидит пара-тройка людей с реальными адресами в отдельных вланах, а остальные в одном общем, адреса выдаются рандомом по dhcp, они имеют дешёвый инет через впн(pptp)

там стоит Edge-core EC3526XAv1 отродясь неумеющий IPSG и обладающий всего то 88 ACL, и менять его - много гемора, в частности административного :(

 

 

закинул каждого в отдельный влан, свёл всё на ME3400(она же выдаёт адреса), там нарисовал жирный vlan acl на все вланы, ща думаю над service-policy, в отличие от 3560/3750 там можно извращаться(полисить) как угодно :)

 

http://cisco.com/en/US/docs/switches/metro....html#wp1536933

[ingress]

кхм....

 

c3550-ipservicesk9-mz.122-44.SE2

 

поддерживает ip unnumbered :)

 

опупеть... 3550 научили ipv6 чтоль...по крайне мере в кли всё доступно

 

c3550#sh ipv6 interface vl12

Vlan12 is up, line protocol is up

IPv6 is enabled, link-local address is FE8.......................

Description: 1 VLAN

No global unicast address is configured

Joined group address(es):

FF02::1

FF02::2

FF02::1:FFDA:F080

MTU is 1500 bytes

ICMP error messages limited to one every 100 milliseconds

ICMP redirects are enabled

ND DAD is enabled, number of DAD attempts: 1

ND reachable time is 30000 milliseconds

ND advertised reachable time is 0 milliseconds

ND advertised retransmit interval is 0 milliseconds

ND router advertisements are sent every 200 seconds

ND router advertisements live for 1800 seconds

ND advertised default router preference is Medium

Hosts use stateless autoconfig for addresses.

c3550#

 

что то думаю, что оно будет proccess-switched :D

Изменено 12 августа, 2008 пользователем ingress

[Alex780]

что-то unnumbered не пашет на c3550

 

cisco(config-if)#ip unn lo0

Point-to-point (non-multi-access) interfaces only

cisco(config-if)#

 

иос

Cisco IOS Software, C3550 Software (C3550-IPSERVICES-M), Version 12.2(25)SEC, RE

LEASE SOFTWARE (fc2)

также и на 37 пробовал - тоже самое. 44 можно попробовать залить но думаю врядли че измениться.

мож че не так делаю:

int lo0

ip address 192.168.0.1 255.255.255.0

vlan 310

int vlan310

ip unnumbered lo0

ip route 192.168.0.2 255.255.255.255 Vlan310

[Sergey Shubin]

Кто что порекомендовать может из варианта

"так вот, на мой взгляд, предел сегментирования - vlan per user, и позволяет убрать вообще возможность обмена любым броадкаст-мультикастом между пользователем, к тому же при использовании в качестве терминатора BRAS, вырезать остальной трафик как угодно, а на доступе иметь "тупое" "дубовое" оборудование, которое умеет dot1q и стоит копейки."

на доступ?

Есть еще интересный вариант с использованием PPPoE для доступа в инет и DHCP для доступа в локалку. В этом случае некоторые свичи "умеют" локальный трафик гнать по основному local-VLAN (per user) и перенаправлять PPPoE трафик от абонента в другой VLAN. Причем этот другой pppoe-VLAN может быть использоваться например per-switch. Таким образом локальный трафик маршрутизируется (local-VLAN терминируется) на агрегации-ядре (как душа желает), а PPPoE идет в ядро по выделенному VLAN. Экономия VLAN и IP адресов - оптимальная. Ну и со всеми вкусностями учета-ограничения-безопасности....

[ingress]

что-то unnumbered не пашет на c3550

залейте именно тот софт, который я написал.

из кли всё вводится, реально 3550 протестировать не довелось, нету свободной.

 

p.s. до сих пор не понимаю зачем нужен маршрут, и без него работает.

м.б. на роутерах без него не пашет.

Изменено 10 сентября, 2008 пользователем ingress

[deep_admin]

Кто что порекомендовать может из варианта

"так вот, на мой взгляд, предел сегментирования - vlan per user, и позволяет убрать вообще возможность обмена любым броадкаст-мультикастом между пользователем, к тому же при использовании в качестве терминатора BRAS, вырезать остальной трафик как угодно, а на доступе иметь "тупое" "дубовое" оборудование, которое умеет dot1q и стоит копейки."

на доступ?

Есть еще интересный вариант с использованием PPPoE для доступа в инет и DHCP для доступа в локалку. В этом случае некоторые свичи "умеют" локальный трафик гнать по основному local-VLAN (per user) и перенаправлять PPPoE трафик от абонента в другой VLAN. Причем этот другой pppoe-VLAN может быть использоваться например per-switch. Таким образом локальный трафик маршрутизируется (local-VLAN терминируется) на агрегации-ядре (как душа желает), а PPPoE идет в ядро по выделенному VLAN. Экономия VLAN и IP адресов - оптимальная. Ну и со всеми вкусностями учета-ограничения-безопасности....

это что-то типа protocol vlan ?

[Sergey Shubin]

Кто что порекомендовать может из варианта

"так вот, на мой взгляд, предел сегментирования - vlan per user, и позволяет убрать вообще возможность обмена любым броадкаст-мультикастом между пользователем, к тому же при использовании в качестве терминатора BRAS, вырезать остальной трафик как угодно, а на доступе иметь "тупое" "дубовое" оборудование, которое умеет dot1q и стоит копейки."

на доступ?

Есть еще интересный вариант с использованием PPPoE для доступа в инет и DHCP для доступа в локалку. В этом случае некоторые свичи "умеют" локальный трафик гнать по основному local-VLAN (per user) и перенаправлять PPPoE трафик от абонента в другой VLAN. Причем этот другой pppoe-VLAN может быть использоваться например per-switch. Таким образом локальный трафик маршрутизируется (local-VLAN терминируется) на агрегации-ядре (как душа желает), а PPPoE идет в ядро по выделенному VLAN. Экономия VLAN и IP адресов - оптимальная. Ну и со всеми вкусностями учета-ограничения-безопасности....

это что-то типа protocol vlan ?

Да, но в данном случае один порт принадлежит и работает в двух (и более) VLAN. Это очень новая фишка и поддерживается далеко не на всех свичах.

На доступе- очень перспективная вещь, кто использует (или планирует) вилан на пользователя. В этом случа на пользователя открывается не один, а несколько виланов. Но некторые (например local trafic VLAN) дальше агрегации могут не уходить, а нужные идут дальше на BRAS.

[Alex780]

что-то unnumbered не пашет на c3550

залейте именно тот софт, который я написал.

из кли всё вводится, реально 3550 протестировать не довелось, нету свободной.

 

p.s. до сих пор не понимаю зачем нужен маршрут, и без него работает.

м.б. на роутерах без него не пашет.

в cli да есть команды - причем начиная с 12.2(25)SEC, а вот при попытке сделать

cisco(config-if)#ip unn lo0

говорит

Point-to-point (non-multi-access) interfaces only

так что не пашет :( Навесил левый ипшник на интерфейс - все заработало и без unnumbered, эффект как я понимаю тотже

[UglyAdmin]

Навесил левый ипшник на интерфейс - все заработало и без unnumbered, эффект как я понимаю тотже

Тот же, только ARP-запросы идут от левого айпишника. Не все это понимают, особо правильные нос воротят...

[ingress]

Навесил левый ипшник на интерфейс - все заработало и без unnumbered, эффект как я понимаю тотже

Тот же, только ARP-запросы идут от левого айпишника. Не все это понимают, особо правильные нос воротят...

достал 3550

софт такой c3550-ipservicesk9-mz.122-44.SE3

 

на стенде всё работает в вышеописанной конфигурации.

маршруты не забываем типа ip route 1.1.1.1 255.255.255.255 vl222

[Sonne]

Господа, кто на 3550 делал VLAN per User.

 

Какие ограничения на количество в реальной жизни? Про 1000 в теории знаю, но облажаться не хочется ;)

 

Кстати ситуацию с белыми адресами я планирую решать очень просто - буду делать статик нат на шейпере, который стоит после L3 терминатора.

Количество убиваемых зайцев не поддается исчислению: экономия белых адресов, упрощение конфигурации vlan, быстрый прямой обмен локалом на приватных адресах через L3 свичинг, возможность смены-перенумирации белых адресов не затрагивая настройки клиентов. Даже не знаю где плохо, ткните что ли.

[Cr_net]

Господа, кто на 3550 делал VLAN per User.

Какие ограничения на количество в реальной жизни? Про 1000 в теории знаю, но облажаться не хочется ;)

Сильно зависит от выбраного профиля tcam, количества мак адресов, acl и т.д.

show sdm prefer routing

"desktop routing" template:

The selected template optimizes the resources in

the switch to support this level of features for

8 routed interfaces and 1024 VLANs.

number of unicast mac addresses: 3K

number of IPv4 IGMP groups + multicast routes: 1K

number of IPv4 unicast routes: 11K

number of directly-connected IPv4 hosts: 3K

number of indirect IPv4 routes: 8K

number of IPv4 policy based routing aces: 512

number of IPv4/MAC qos aces: 512

number of IPv4/MAC security aces: 1K

 

Sonne, в выбраной модели vlan per user, если надо подать voip юзеру, то как тогда?

Все сервисы в одном влан? а qos? Не праздно интересуюсь, у самих вопрос насущный,

сеть обломилась для сервиса, а там мыльницы 8 портовые длинковские на доступе и почти аналог vlan пер юзер.

Боязно туда голос пихать.

 

[Nafanya]

Кстати ситуацию с белыми адресами я планирую решать очень просто - буду делать статик нат на шейпере, который стоит после L3 терминатора.

Количество убиваемых зайцев не поддается исчислению: экономия белых адресов, упрощение конфигурации vlan, быстрый прямой обмен локалом на приватных адресах через L3 свичинг, возможность смены-перенумирации белых адресов не затрагивая настройки клиентов. Даже не знаю где плохо, ткните что ли.

тоесть делать PAT с белого адреса транслировать в серый?

 

[Sonne]

Господа, кто на 3550 делал VLAN per User.

Какие ограничения на количество в реальной жизни? Про 1000 в теории знаю, но облажаться не хочется ;)

Сильно зависит от выбраного профиля tcam, количества мак адресов, acl и т.д.

show sdm prefer routing

"desktop routing" template:

The selected template optimizes the resources in

the switch to support this level of features for

8 routed interfaces and 1024 VLANs.

number of unicast mac addresses: 3K

number of IPv4 IGMP groups + multicast routes: 1K

number of IPv4 unicast routes: 11K

number of directly-connected IPv4 hosts: 3K

number of indirect IPv4 routes: 8K

number of IPv4 policy based routing aces: 512

number of IPv4/MAC qos aces: 512

number of IPv4/MAC security aces: 1K

 

Sonne, в выбраной модели vlan per user, если надо подать voip юзеру, то как тогда?

Все сервисы в одном влан? а qos? Не праздно интересуюсь, у самих вопрос насущный,

сеть обломилась для сервиса, а там мыльницы 8 портовые длинковские на доступе и почти аналог vlan пер юзер.

Боязно туда голос пихать.

То что пишет tcam я знаю, интересует реальный опыт.

Купить железку, потом сидеть и набивать 1024 вланов чтобы узнать что оно работает, как то не радует.

 

Voip и IP-TV в одном общем отдельном VLANе на всех. Все подключеные устройства в этот VLAN железно контролирует оператор, никаких проблем нет.

На доступе у меня dot1.q транк к юзеру, который разбирается на VLANы.

 

Вобще железное правило построение QoS это контроль оператором последнего клиентского Ethernet порта. Жизнь показала, что голос нормально пропущенный по 4рем радиохопам бестолковый клиент умудряется убить в своей локалке глючными мыльницами, мятой витухой, завирусованными компами, рассогласованием режимов дуплекса. Виноват всегда естественно оператор.

 

У меня будет так. Коммутатор с 1 Gbic принимает 802.1q транк. В нем нетегированный VLAN - управление. VID 2 - VoIP, Vid 3 - TV, VID -xxx интернет

 

Соответственно по умолчанию порт 1 включен в management, порт 2 включен в VLAN2, порт 3 в VLAN3. Остальные 5 портов для домовой сети юзера.

Как результат все настройки QoS на абонетском коммутаторе полность одинаковы и стандартны, вбиваются при поступлении партии железок на склад. Монтажник может приехать, заменить, подключить ноутбук в порт 1 перенастроить конфигурацию доступа в интернет под клиента. Потом можно порт 1 зашатдаунить из центра для секьюрити.

 

Кстати ситуацию с белыми адресами я планирую решать очень просто - буду делать статик нат на шейпере, который стоит после L3 терминатора.

Количество убиваемых зайцев не поддается исчислению: экономия белых адресов, упрощение конфигурации vlan, быстрый прямой обмен локалом на приватных адресах через L3 свичинг, возможность смены-перенумирации белых адресов не затрагивая настройки клиентов. Даже не знаю где плохо, ткните что ли.

тоесть делать PAT с белого адреса транслировать в серый?

SNAT или PAT суть одно и тоже.

Причем в случае с PAT, можно протранслировать только нужные клиенту порты, получается очень секьюрно.

[Nafanya]

Кстати ситуацию с белыми адресами я планирую решать очень просто - буду делать статик нат на шейпере, который стоит после L3 терминатора.

Количество убиваемых зайцев не поддается исчислению: экономия белых адресов, упрощение конфигурации vlan, быстрый прямой обмен локалом на приватных адресах через L3 свичинг, возможность смены-перенумирации белых адресов не затрагивая настройки клиентов. Даже не знаю где плохо, ткните что ли.

тоесть делать PAT с белого адреса транслировать в серый?

SNAT или PAT суть одно и тоже.

Причем в случае с PAT, можно протранслировать только нужные клиенту порты, получается очень секьюрно.

может проще давать белый адрес как доп. услугу за N рубликов?

 

[masterovoj]

Сильно зависит от выбраного профиля tcam, количества мак адресов, acl и т.д.

show sdm prefer routing

"desktop routing" template:

The selected template optimizes the resources in

the switch to support this level of features for

8 routed interfaces and 1024 VLANs.

...

То что пишет tcam я знаю, интересует реальный опыт.

Купить железку, потом сидеть и набивать 1024 вланов чтобы узнать что оно работает, как то не радует.

Я так понимаю железка честно признаётся, что хоть и может 1024 ВЛАНа, но SVI будет всего 8 штук. Или не так понимаю.

 

Если number of IPv4/MAC security aces: 1K, то это сколько простых aces влезет в 1К? Тех, которые делаются самой железкой при IP Source Guard.

А если не 8 SVI, а все 800, то всё на 100 надо поделить? Получится 1К/100 ~ 12 байт. То есть, если сделать 800 ВЛАНов, то в IPv4/MAC security aces будет выделяться по 12 байт на VLAN? В эти 12 байт влезет правило IP Source Guard'а?

 

Оно может динамически забирать память с других неиспользуемых features и использовать для тех фич, которым не хватает памяти?

[Sonne]

Кстати ситуацию с белыми адресами я планирую решать очень просто - буду делать статик нат на шейпере, который стоит после L3 терминатора.

Количество убиваемых зайцев не поддается исчислению: экономия белых адресов, упрощение конфигурации vlan, быстрый прямой обмен локалом на приватных адресах через L3 свичинг, возможность смены-перенумирации белых адресов не затрагивая настройки клиентов. Даже не знаю где плохо, ткните что ли.

тоесть делать PAT с белого адреса транслировать в серый?

SNAT или PAT суть одно и тоже.

Причем в случае с PAT, можно протранслировать только нужные клиенту порты, получается очень секьюрно.

может проще давать белый адрес как доп. услугу за N рубликов?

Проще, с использованием Static NAT

[Cr_net]

кстати приведённый show был, для 3560, (3550 нет в наличии), а для 3550 оказывается sdm различается даже для гигабитных и фастезернетовских моделей

http://www.cisco.com/en/US/docs/switches/l....html#wp1235565

судя вот по этому

The first six rows in the tables (unicast MAC addresses through multicast routes) represent approximate hardware boundaries set when a template is selected. If a section of a hardware resource is full, all processing overflow is sent to the CPU, seriously impacting switch performance.

 

The last two rows, the total number of routed ports and SVIs and the number of Layer 2 VLANs, are guidelines used to calculate hardware resource consumption related to the other resource parameters.

 

The number of subnet VLANs (routed ports and SVIs) are not limited by software and can be set to a number higher than indicated in the tables. If the number of subnet VLANs configured is lower or equal to the number in the tables, the number of entries in each category (unicast addresses, IGMP groups, and so on) for each template will be as shown. As the number of subnet VLANs increases, CPU utilization typically increases. If the number of subnet VLANs increases beyond the number shown in the tables, the number of supported entries in each category could decrease depending on features that are enabled. For example, if PIM-DVMRP is enabled with more than 16 subnet VLANs, the number of entries for multicast routes will be in the range of 1K-5K entries for the access template.

1000 svi создадутся, и можно перераспределять tcam в 3550 для vlan и svi за счёт неиспользования других ресурсов, но вот в том, что за счёт этого можно дотянуть до полноценно работающих 1000 svi у меня сомнения.

[ingress]

Voip и IP-TV в одном общем отдельном VLANе на всех. Все подключеные устройства в этот VLAN железно контролирует оператор, никаких проблем нет.

На доступе у меня dot1.q транк к юзеру, который разбирается на VLANы.

я бы обязательно включился компом и посмотрел дамп трафа *заодно послушал телефоны соседей, т.к. DAI не предполагается* :)

[Nafanya]

Господа, кто на 3550 делал VLAN per User.

 

Какие ограничения на количество в реальной жизни? Про 1000 в теории знаю, но облажаться не хочется ;)

 

Кстати ситуацию с белыми адресами я планирую решать очень просто - буду делать статик нат на шейпере, который стоит после L3 терминатора.

Количество убиваемых зайцев не поддается исчислению: экономия белых адресов, упрощение конфигурации vlan, быстрый прямой обмен локалом на приватных адресах через L3 свичинг, возможность смены-перенумирации белых адресов не затрагивая настройки клиентов. Даже не знаю где плохо, ткните что ли.

уф, пол часа поисков. точно помнил, что кто-то выкладывал данные :)

http://forum.nag.ru/forum/index.php?showto...mp;#entry280965

[Cr_net]

уф, пол часа поисков. точно помнил, что кто-то выкладывал данные :)

http://forum.nag.ru/forum/index.php?showto...mp;#entry280965

Оо.. беру свои сомнения назад :)

[Sonne]

уф, пол часа поисков. точно помнил, что кто-то выкладывал данные :)

http://forum.nag.ru/forum/index.php?showto...mp;#entry280965

Оо.. беру свои сомнения назад :)

Спасибо коллеги!

 

:)