влан на абонента + ацл

[kf72]

Здравствуйте!

на доступе коммутаторы умеют только влан. влан на абонента понравился, 4к вланов не хватает.

взлетит ли такая схема..? пример на 2 дома

терминирую вланы на 6509 суп2

на циске прописываю на интерфейс влан 3 или более адреса (второй и так далее secondary) маска /30

например

vlan 101

10.20.0.1

10.20.1.1 sec

10.20.2.1 sec

vlan 102

10.20.0.5

10.20.1.5

10.20.2.5

и т.д.

 

на dhcp сервере (там же) указываю подсети и дефаульт роуты - отрабатывает корректно.

доступ настраиваю так :

все коммутаторы узла одинаково с 1 по 24 порт вланы 101 - 124

на узле (длинк 3028, 3200 ) делаю ацл на порт в сторону доступа1 - разрешаю сеть 10.20.0.х /24

в сторону доступа2 -> 10.20.1.0 /24

и т.д.

 

собрал на столе - если прописываю статикой - работает, но по dhcp адрес клиент не получает.

добавил в permit адрес dhcp сервера - не помогло.

ацл делал как написано тут

http://www.dlink.ru/ru/faq/62/236.html

жизнеспособна ли схема? что делаю не так?

насколько АЦЛ будут грузить агрегацию?

из плюсов - экономия влан и однотипность настроек доступа вокруг одного узла.

заранее благодарю за конструктивные советы

Edited March 29, 2012 by kf72

[h1vs2]

Очень странная какая-то схема.

 

Не проще ли сделать на циске ip unumbered + vlan на дом. А на глинках traffic segmentation.

 

Преимущества :

1. На циске однотипная конфигурация вланов.

2. Вланов хватит на долго.

2. На доступе однотипная конфигурация коммутаторов

3. Абонент изолирован до ядра, как и в случае с vlan per user.

 

Минусы:

Что бы абоненты в пределах одного дома могли друг к другу обращаться надо включать local proxy arp. Хотя и в это нет ничего страшного

[NiTr0]

Влан на дом + если свичи достаточно умные - ip source guard. Если глупые - рулить ACLями доступ с портов.

Либо влан на юзера + на агрегации в qinq вланы вгонять.

[kf72]

самый главный плюс ipoe&влан_на_абонента - чего бы абонент не воткнул - ип получит какой надо - не надо городить никакой авторизации. это даже называют "сразу интернет" - абоненты от этого пищат.

доступ умеет только влан. ацл не умеет.

трафик сегментэйшн включен.

какая разница ип уннумберед или адреса на SVI ?

 

если qinq - ядро должно уметь более 4к вланов - а это уже другой ценник.

ip sourse guard основывается на мак адресах. оно мне надо ?

[terrible]

на узле (длинк 3028, 3200 )

это прискорбно

[Negator]

самый главный плюс ipoe&влан_на_абонента - чего бы абонент не воткнул - ип получит какой надо - не надо городить никакой авторизации. это даже называют "сразу интернет" - абоненты от этого пищат.

 

Причем тут влан на абонента?

Это называется option82 = выдача Ip согласно порту абонента.

А уж делть там влан на абонента или нет - не важно.

[Ilya Evseev]

Это называется option82 = выдача Ip согласно порту абонента.

А уж делть там влан на абонента или нет - не важно.

Если сделать vlan на абонента, становится ненужной поддержка option82.

Достаточно просто дотянуть vlan до dhcp-сервера.

 

насколько АЦЛ будут грузить агрегацию?

Несильно. В 3028/3200 их обрабатывает ASIC.

В 3026 они есть в последних прошивках, но обрабатываются процессором, поэтому практического смысла не имеют.

[dsk]

Всуньте рядом с 65-м еще 4948, они последнее время всплывают бушные за какие-то смешные деньги, типа 50к. Будет вам еще 4к вланов в размере 1U. Если надо срочно - быстренько берете 3550 и делаете еще 900-1000, потом меняете на посерьезнее.

Если деньги не из своего кармана - заказывайте 76х и qinq готовьте.

[NiTr0]

какая разница ип уннумберед или адреса на SVI ?

В первом случае - абону выдается /24 подсеть (или какая там), с proxy arp на стороне л3 железки. Во втором - нарезается на /30 подсети, лишний расход адресов, лишние SVI. ИМХО - лишнее усложнение. + невозможность выдавать сразу белые адреса (ибо 4 адреса на абона - слишком уж жирно).

 

если qinq - ядро должно уметь более 4к вланов - а это уже другой ценник.

2 (3, 4, 5) железок значит в ядро... Или тазики.

[kf72]

2 (3, 4, 5) железок значит в ядро... Или тазики.

 

научите пожалуйста как правильно "соединять" L3.

к имеющейся 6509 добавляю 3550

прописал управляющий влан, добавил влан абонентский - абоненты из 3550 существуют "автономно". видят только влан прописанный тегом на обеих цисках. маршрут на 3550 прописал на ip абонентского влана 6509.

чего им не хватает ?

[NiTr0]

Вланы/подсети по железкам раскидать, настроить маршрутизацию (статическую или динамическую, последняя с т.з. простоты масштабируемости и управления предпочтительнее) как с 6509 на 3550, так и обратно...

[kf72]

Вланы/подсети по железкам раскидать, настроить маршрутизацию (статическую или динамическую, последняя с т.з. простоты масштабируемости и управления предпочтительнее) как с 6509 на 3550, так и обратно...

если можно - поподробнее

надо ли включать еще какие-нибудь протоколы ? например OSPF ? или все решается добавлением маршрутов ?

хочу чтобы 3550 держала свою пачку вланов 2-800, независимых от вланов на 6509.

[NiTr0]

Куд а уж подробнее...

На одной железке на клиентов поднята подсеть, скажем 192.168.1.1/24, на второй - 192.168.2.1/24. Адрес первой железки в служебном влане - 192.168.100.1б второй - 192.168.100.2. На первой - вбить маршрут на 192.168.2.0/24 через 192.168.100.2, на второй - наоборот, маршрут на 192.168.1.0/24 через 192.168.100.1.

[kf72]

Куд а уж подробнее...

На одной железке на клиентов поднята подсеть, скажем 192.168.1.1/24, на второй - 192.168.2.1/24. Адрес первой железки в служебном влане - 192.168.100.1б второй - 192.168.100.2. На первой - вбить маршрут на 192.168.2.0/24 через 192.168.100.2, на второй - наоборот, маршрут на 192.168.1.0/24 через 192.168.100.1.

спасибо. получилось.

Edited May 23, 2012 by kf72