Fenrir Posted September 2, 2011 Posted September 2, 2011 Коллеги, добрый день. Помогите разобраться с такой проблемой. Существует сеть провайдера, доступ к интернету по PPPoE, используется влан на дом. В домах стоят D-link DES 1228 или 3200 Все линки с домов затягиваются на узел микрорайона где собираются на L2 свитчах cat3508 или RubyTech FGS-2924R На центральном узле стоит cat3550 который собирает все линки с микрорайонов и fallback Bridging-ом (bridge protocol vlan-bridge) объединяет все вланы с вланом терминирующим РРР. В качестве терминирующего РРР устройства Mikrotik. Схема примерно как на рисунке ниже (цифры это номера вланов): Так вот в чем проблема, с увеличением количества подключенных домов увеличивается количество вланов в бридж-группе, из за этого некоторый бродкаст (чаще всего PADI и IPv6_Multicast с EtherType 0x8863 и 0x86dd) который летает в сегменте дублируется во все остальные сегменты чем вызывает интенсивное заполнение таблицы мак адресов на транзитных коммутаторах. Т.е. мак адрес одной машины живет в таблице коммутатора во всех вланах которые в бридже, что то вроде такого: cat3508>sh mac- dyn address 0005.5eb3.9cc8 Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 1 0005.5eb3.9cc8 DYNAMIC Gi0/1 2 0005.5eb3.9cc8 DYNAMIC Gi0/8 3 0005.5eb3.9cc8 DYNAMIC Gi0/8 Total Mac Addresses for this criterion: 3 Соответственно если на транзитном коммутаторе есть 20 домов по 10 клиентов то при условии что все они шлют что либо бродкастом грубо говоря получаем(10*20)*20 т.е. порядка 4000 маков в таблице на 200 абонентов из которых 3800 маков это бродкаст прилетевший из бридж группы, вобщем помойка получается... Вот собственно вопрос как это дело фильтровать? Рассматривал руководство http://www.cisco.com/en/US/docs/switches/lan/catalyst3550/software/release/12.2_25_see/configuration/guide/swfallbk.html Filtering Frames by a Specific MAC Address но это не подходит так как PADI с 1-7 вланов должны попадать бродкастом в влан 8 а в другие нет. Но все равно пробовал фильтры (000c.298c.519a-мак PPPoE терминатора) ! interface Vlan1 description -- test -- ip address 172.16.253.1 255.255.255.0 bridge-group 1 ! interface Vlan8 no ip address bridge-group 1 bridge 1 address 000c.298c.519a forward Vlan8 bridge 1 address 0000.0000.0000 discard Vlan1 bridge 1 address 0000.0000.0000 discard Vlan2 ... Эффекта никакого, PPPoE соединение устанавливается, PADI пакеты видны в других вланах, ничего не блокируется. Пробовал <1100-1199> Extended 48-bit MAC address access list. ! interface Vlan1 description -- test -- ip address 172.16.253.1 255.255.255.0 bridge-group 1 bridge-group 1 output-pattern-list 1100 ! access-list 1100 deny 0000.0000.0000 ffff.ffff.ffff 3333.0000.0000 0000.ffff.ffff 0xC 1 eq 0x86dd access-list 1100 deny 0000.0000.0000 ffff.ffff.ffff ffff.ffff.ffff 0000.0000.0000 0xC 1 eq 0x8863 Пробовал убирать из правил проверку EtherType, все равно как трафик проходил, так и проходит. Кто как думает чем можно решить данную проблему? Вставить ник Quote
Fenrir Posted September 7, 2011 Author Posted September 7, 2011 Неужели нет никаких идей? Вставить ник Quote
John_obn Posted September 7, 2011 Posted September 7, 2011 Судя по приведенной ссылке, вдобавок к строке bridge 1 address 000c.298c.519a forward Vlan8 надо еще добавить no bridge 1 acquire Но мне кажется, было бы правильнее транк из 1-7 вланов прокинуть до RB1000 и в каждом влане сделать свой SVI, но не работал с RB1000, не знаю, какое у него ограничение по кол-ву SVI. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.