Jump to content

ISG FreeBSD

lllsergeyv
 Share

Recommended Posts

Ivan_83

Ivan_83

Posted
Posted

IPv6?

 

У абонента один лимит скорости во все направления или разные лимиты в разных направлениях (локалка, пиринг, интернет...)?

 

Абонент имеет 1 MAC / IPv4 / IPv6 адрес или может много и одновременно?

 

Идентифицировать будете по MAC / Vlan ID / IP ?

 

 

lllsergeyv

lllsergeyv

Posted
  • Author
Posted

IPv6?

 

У абонента один лимит скорости во все направления или разные лимиты в разных направлениях (локалка, пиринг, интернет...)?

 

Абонент имеет 1 MAC / IPv4 / IPv6 адрес или может много и одновременно?

 

Идентифицировать будете по MAC / Vlan ID / IP ?

 

Сейчас IPv4, в будущем планируем 6.

Идентифицировать хочу по DHCP Option 82, тоесть по порту коммутатора. Выдаваться будет один "Real IP", есди у абонента не достаточно средств на счету, то фейковый адрес с перенаправлением на страничку об отсутствии денег.

Шейпер хочется по разным направлениям, но сейчас общий по всем... если так и останется, то переживем...

Сейчас сеть построенна по схеме "влан на дом", рассматриваю "влан на пользователя", но тогда придется использовать QinQ, а на FreeBSD я так понял оно не так просто настраивается, ну и еще не придумал как выдавать по одному адресу в влан не разбивая одну большую сеть на подсети.

 

Сейчас на брасах FreeBSD+MPD5, биллинг abills.

Ivan_83

Ivan_83

Posted
Posted
Идентифицировать хочу по DHCP Option 82, тоесть по порту коммутатора.

ISG ничего не знает об опциях и портах. В таком случае дхцп выдаёт на основе порта адрес, а уже по этому адресу клиента идентифицируют. Там ещё есть нюансы с тем что юзер может иметь статически прописанный адрес, ставить адрес соседа, ставить свой адрес, когда денег уже нет, ставить приватный адрес и ходить через соседа...

 

Выдаваться будет один "Real IP", есди у абонента не достаточно средств на счету, то фейковый адрес с перенаправлением на страничку об отсутствии денег.
Сейчас IPv4, в будущем планируем 6.

Тогда нужно закладываться сразу на подсети, и как частный случай пока /32.

 

Сейчас сеть построенна по схеме "влан на дом", рассматриваю "влан на пользователя", но тогда придется использовать QinQ, а на FreeBSD я так понял оно не так просто настраивается

Собирается граф из нетграф нод.

 

ну и еще не придумал как выдавать по одному адресу в влан не разбивая одну большую сеть на подсети.

В каждом влане по своему интерфейсу, далее добавляется маршрут до клиента через этот интерфейс. Со стороны клиента - куда бы он не слал пакеты всё равно они окажутся на вашем интерфейсе. Либо делается проксиарп адреса шлюза, либо выдаётся любой приватный адрес в качестве шлюза и он же ставится на интерфейс, IPUnnumbered вообщем.

lllsergeyv

lllsergeyv

Posted
  • Author
Posted (edited)

В случае с IP Unnunbered и "влан на пользователя" можно ли по dhcp выдавать клиенту разные адреса, а не один и тот же? Как маршрут на клиента добавлять автоматически в нужный интерфейс, а главное удалять?

Как на FreeBSD выставить шейпер автоматом, как только пользователь получил адрес?(Это функция ISG?)

Опция 82 мне нужна для идентификации абонента биллингом.

Edited by lllsergeyv
Ivan_83

Ivan_83

Posted
Posted
В случае с IP Unnunbered и "влан на пользователя" можно ли по dhcp выдавать клиенту разные адреса, а не один и тот же?

Можно, как настроите дхцп сервер так и будет.

 

Как маршрут на клиента добавлять автоматически в нужный интерфейс, а главное удалять?

Это может делать дхцп релей агент работающий на этом сервере, с допиленным функционалом.

 

Как на FreeBSD выставить шейпер автоматом, как только пользователь получил адрес?(Это функция ISG?)

Из наиболее готового гуглите ng_state, либо самостоятельно реализовывать на базе фаерволов + таблицы + обвязка которая этим управляет.

У меня была идея сделать похожее на MPD5, но готовой схемы работы и потребностей в голове не сложилось. В начале я цеплялся за идентификацию по маку, но сейчас понимаю что это не всегда удобно. Плюс отсутствие в нетграфе стандартных гибких средств для раскидывания по разным направлениям в разные хуки, чтобы давать разные скорости по направлениям.

 

Опция 82 мне нужна для идентификации абонента биллингом.

Нужно только удостоверится что оно привязано к тому, с чем оперирует ISG.

lllsergeyv

lllsergeyv

Posted
  • Author
Posted
Как маршрут на клиента добавлять автоматически в нужный интерфейс, а главное удалять?

Это может делать дхцп релей агент работающий на этом сервере, с допиленным функционалом.

Разве в данной ситуации релейагентом является не коммутатор, который навешивает на запрос опцию 82?

С добавлением маршрута еще что-то можно сделать, а вот с удалением пока даже не представляю...

 

Если проще, то мне нужно авторизовать клиента по опции 82(по порту коммутатора а не маку) и нарезать скорость в соответсвии с выданным ему адресом.

 

Может кто-то строил такую схему на Linux? Поделитесь опытом.

Ivan_83

Ivan_83

Posted
Posted
Разве в данной ситуации релейагентом является не коммутатор, который навешивает на запрос опцию 82?С добавлением маршрута еще что-то можно сделать, а вот с удалением пока даже не представляю...

Релей агент и будет следить, как только время лизы истечёт он маршрут похерит. Либо будет херит старый, когда новый на такой же адрес добавляется на другой интерфейс.

 

Может кто-то строил такую схему на Linux? Поделитесь опытом.

На форуме есть ветка по линукс исг, ищите.

Мы у себя реализовывали.

IPv6 там нет в принципе, только в4 по /32, хотя и можно на один гоговор несколько сразу в один рейтлимит загонять, и разные скорости по направлениям тоже есть.

lllsergeyv

lllsergeyv

Posted
  • Author
Posted
Разве в данной ситуации релейагентом является не коммутатор, который навешивает на запрос опцию 82?С добавлением маршрута еще что-то можно сделать, а вот с удалением пока даже не представляю...

Релей агент и будет следить, как только время лизы истечёт он маршрут похерит. Либо будет херит старый, когда новый на такой же адрес добавляется на другой интерфейс.

 

Может кто-то строил такую схему на Linux? Поделитесь опытом.

На форуме есть ветка по линукс исг, ищите.

Мы у себя реализовывали.

IPv6 там нет в принципе, только в4 по /32, хотя и можно на один гоговор несколько сразу в один рейтлимит загонять, и разные скорости по направлениям тоже есть.

 

Вы резервирование делали? При использовании PPPoE проблем нету, а как быть с IPoE? Напрашивается только VRRP и установка рейтлимита сразу на двух серверах доступа...

lllsergeyv

lllsergeyv

Posted
  • Author
Posted

Не делали.

Тоесть, Вы при необходимости разделения нагрузки добавляете еще один сервер и перебрасываете туда часть вланов? Если какой-то из серверов загнулся, то его клиенты ждут восстановления?

Ivan_83

Ivan_83

Posted
Posted

Мы не большие (до 5к), перед исг у нас л3 коммутатор с супервланом роутит между сегментами.

 

Да, если будет ещё большая подсеть то просто повторим схему.

 

Если исг загнётся то либо достанем из резерва либо пустим всех в инет без лимитов/с одним лимитом на всех.

 

 

lllsergeyv

lllsergeyv

Posted
  • Author
Posted

Мы не большие (до 5к), перед исг у нас л3 коммутатор с супервланом роутит между сегментами.

 

Да, если будет ещё большая подсеть то просто повторим схему.

 

Если исг загнётся то либо достанем из резерва либо пустим всех в инет без лимитов/с одним лимитом на всех.

чем супервлан собираете, если не секрет?

У меня из л3 есть только XGS-4728F :(

Ivan_83

Ivan_83

Posted
Posted

Нет, сразу отдаём всю подсетку белых клиенту, он считает что всех видит напрямую, по факту часть дгс3612 ему проксиарпит из других вланов.

lllsergeyv

lllsergeyv

Posted
  • Author
Posted (edited)

Нет, сразу отдаём всю подсетку белых клиенту, он считает что всех видит напрямую, по факту часть дгс3612 ему проксиарпит из других вланов.

У него один адрес на кучу вланов? используете влан на пользователя?

Как он узнает в какой влан роутить клиентский адрес?

Edited by lllsergeyv
Ivan_83

Ivan_83

Posted
Posted

На супер влан одна /21 реальников, которая и раздаётся абонентам, с /21 маской. Влан на небольшой сегмент - несколько домов.

 

У него внутри таблица L2-L3 для арпа, в которой хранится номер влана и возможно номер порта, поэтому с этим проблем нет.

 

 

lllsergeyv

lllsergeyv

Posted
  • Author
Posted

На супер влан одна /21 реальников, которая и раздаётся абонентам, с /21 маской. Влан на небольшой сегмент - несколько домов.

 

У него внутри таблица L2-L3 для арпа, в которой хранится номер влана и возможно номер порта, поэтому с этим проблем нет.

адреса по dhcp раздаете или статикой?

lllsergeyv

lllsergeyv

Posted
  • Author
Posted
адреса по dhcp раздаете или статикой?

 

Дхцп, перловый сервер, на форуме есть топик.

 

 

 

да, и тут тоже: http://forum.nag.ru/forum/index.php?showtopic=70723

 

С самовольным изменением адресов как боретесь?

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.