survivor Posted May 13, 2012 Posted May 13, 2012 Доброго времени суток! Готовлюсь к подключению нового района... уже имея опыт пионернета на мыльницах хочу сделать все красиво ;-) хочу vlan-per-user и аутентификацию по opt-82. Чтоб кабель воткнул и все работало. Тут уже многократно обсуждалось хорошо это или плохо, много копий сломано, но мне бы хотелось обсудить момент, который вроде как еще не обсуждался. Что ставить на доступ для этой модели предоставления сервиса? Из функционала ведь нужно только: 1) dot1q 2) DHCP Relay Option 82 вроде как минимум, но самый дешевый свич с таким наборчиком у меня получается dlink des-3028, а это более $300. Дороговато на доступ. Есть еще варианты? Вставить ник Quote
s.lobanov Posted May 13, 2012 Posted May 13, 2012 хочу vlan-per-user и аутентификацию по opt-82. Что у вас будет брасом?(точкой терминирования) Вставить ник Quote
survivor Posted May 13, 2012 Author Posted May 13, 2012 s.lobanov, ASR1002 Дятел, а у вас они почем будут? Вставить ник Quote
Megas Posted May 13, 2012 Posted May 13, 2012 с таким успехом не проще любое железо которое умеет vlan на доступе и option 82 уже вешайте на агрегаторе согласна vlan, vlan на зверя и большая часть головняка потеряна. каждый порт в свой vlan Вставить ник Quote
passer Posted May 13, 2012 Posted May 13, 2012 вроде как минимум, но самый дешевый свич с таким наборчиком у меня получается dlink des-3028, а это более $300. Дороговато на доступ.Откройте для себя Рекомендованные цены на сайте D-Link. Так вот, для провайдеров D-Link неслабо подвигается (впрочем и некоторые другие вендоры). По сабжу вам стоит посмотреть на DES-1228/ME или DES-3200. Вставить ник Quote
Megas Posted May 13, 2012 Posted May 13, 2012 токо 3200 обсасали. насмотрелись на них.... Вставить ник Quote
s.lobanov Posted May 13, 2012 Posted May 13, 2012 survivor я сам не работал с asr1002, но на 99.9% уверен, что в radattr'ы username/nas-port/nas-port-id можно запихать dot1q(или два, если надо), тем самым отказаться от option82(очень советую, чтобы не траблашутить high cpu usage на свитчах) Вставить ник Quote
NiTr0 Posted May 13, 2012 Posted May 13, 2012 хочу vlan-per-user и аутентификацию по opt-82 Накой для vlan-per-user опция 82 на свиче доступа? Лучше уж там, где вланы терминируются, разгребать откуда прилетел запрос, результат - гораздо более дешевое железо (бюджетнее тплинка вебсмарта на 48 портов пожалуй не найти, разве что б/у раритетные киски). Ну либо действительно киски 2950 б/у. Там опция 82 есть. Но кушают много. Ессно, если надумаете мультикаст в будущем юзать - придется железки менять... Вставить ник Quote
survivor Posted May 13, 2012 Author Posted May 13, 2012 s.lobanov, спасибо за идею! действительно, зачем мне opt-82 если у меня vlan-per-user! че-то ступил :-) тогда пойдут более дешевые L2 свичи только с dot1q функционалом, opt-82 я встречал только на L3 свичах а это совсем другой уровень цен. Было бы здорово! Только с ASR вопрос открытый: ASR(config-control-policymap-class-control)#1 authorize identifier ? authenticated-domain Authenticated domain name authenticated-username Authenticated username auto-detect auto-detect remote-id/circuit-id combination for authorization circuit-id Circuit ID dnis Dial Number Information Service (called party number) mac-address MAC address nas-port NAS Port Identifier remote-id Remote ID source-ip-address Source IP address tunnel-name VPDN Tunnel-Name unauthenticated-domain Unauthenticated domain name unauthenticated-username Unauthenticated username vendor-class-id Vendor Class ID номера влана здесь нет... Вставить ник Quote
s.lobanov Posted May 13, 2012 Posted May 13, 2012 survivor сначала покажите дебаг с радиуса какие аттрибуты с каким содержимым у вас сейчас приходят, при выключенном option82 на доступе. и ещё конфиг интерфейса для сабскрайберов vlan должен содержаться(или может содержаться) в nas-port(пробуйте этот вариант+поиграться с форматом) Вставить ник Quote
survivor Posted May 13, 2012 Author Posted May 13, 2012 :-) дебаг показать не могу, так как ISG еще не осилил, тут в соседней теме обсуждаю... новый район пока только планирую, просто по опыту пионернета хочу на этапе проектирования все сделать правильно. Вставить ник Quote
s.lobanov Posted May 13, 2012 Posted May 13, 2012 survivor А почему не можете-то? ASR у вас есть, к нему подключить свитч и PC с freeradius, без дебагов радиуса, чисто на теории, вы не осилите cisco-брас Вставить ник Quote
survivor Posted May 13, 2012 Author Posted May 13, 2012 на нем у меня уже затерминировано несколько тыщ PPPoE абонентов и идет не слабый траффик - особо поиграться с ним не могу :) сами понимаете. Пытаюсь сначала хорошо разобраться в теории ISG. Пока ерунда какая-то получается. Вставить ник Quote
s.lobanov Posted May 13, 2012 Posted May 13, 2012 survivor Ну тогда берите gns3 с c7200(12.2.33(SRE6)) и играйтесь там с isg, для понимания работы сигнализации вполне хватает. Вставить ник Quote
kf72 Posted May 15, 2012 Posted May 15, 2012 ...Накой для vlan-per-user опция 82 на свиче доступа? Лучше уж там, где вланы терминируются, разгребать откуда прилетел запрос... абоненту выдаем /32 и тратим на одного абонента минимум 4 адреса ? серых не жалко, белых не напасешься. и самих вланов всего 4к на бюджетном терминаторе. существует ли какое изящное решение ? чтоб влан на свич, но в каждом порту свой адрес через дхцп. играл с ацлями - не взлетает. по дхцп на секондари подсетку не дает адрес. Вставить ник Quote
Megas Posted May 15, 2012 Posted May 15, 2012 вы наверное с севера? почти в каждой теме разговор про ip unumbered Вставить ник Quote
D^2 Posted May 15, 2012 Posted May 15, 2012 Есть еще варианты? http://shop.nag.ru/catalog/00001.Kommutatory/04963.SNR/05031.SNR-S2950-24G например Вставить ник Quote
kf72 Posted May 16, 2012 Posted May 16, 2012 (edited) вы наверное с севера? почти в каждой теме разговор про ip unumbered какя нахрен разница вешать адреса на SVI или Loopback если доступ понимает только vlan. покажите пример привязки ip адреса на порт без контроля мак-адреса, через dhcp. если влан на коммутатор, без ацл в любом порту можно прописать любой адрес выданной подсети. Edited May 16, 2012 by kf72 Вставить ник Quote
NiTr0 Posted May 16, 2012 Posted May 16, 2012 абоненту выдаем /32 и тратим на одного абонента минимум 4 адреса ? Откуда 4 адреса при /32? существует ли какое изящное решение ? чтоб влан на свич, но в каждом порту свой адрес через дхцп. Опция 82, коли так хочется, да не сама, а еще и с source guard. Ну либо с ACL извращаться. Хотя vlan per user более правильно. какя нахрен разница вешать адреса на SVI или Loopback если доступ понимает только vlan. И что? Почитайте для начала, что такое ip unnumbered... Вставить ник Quote
kf72 Posted May 16, 2012 Posted May 16, 2012 quote NiTr0 абоненту выдаем /30 (тут опечатался) и тратим на одного абонента минимум 4 адреса один сеть один броадкаст один абонент и один шлюз . получается 4. мы говорим про свичи которые умеют только влан, и не интересуемся чего и в какой последовательности у себя и у соседа желает втыкать абонент. почитал что такое ip unnumbered и даже на столе пробовал. если статика - все относительно красиво. НО надо защищаться ацлями, чего наши свичи не умеют, если dhcp и влан на абонента - те же самые адреса /30 вешаем на лупбек. если я чего-то не вкуриваю - ткните во внятную статью или кусок конфига. Вставить ник Quote
Megas Posted May 16, 2012 Posted May 16, 2012 какой к черту /30 при ip unnumbered, читаем на статью на хабре, курим внимательно, потом все глупые вопросы. ip на лупбек. ip абону в vlan марширут к ip абона с указанием интерфейса. все. невнимательны, очень не внимательны. Вставить ник Quote
Megas Posted May 16, 2012 Posted May 16, 2012 vconfig add eth1.201 ifconfig eth1.201 up /sbin/ip addr add 192.168.10.254 dev lo ip route add 192.168.10.2/32 dev eth1.201 src 192.168.10.254 на доступе сказать как vlan создавать? Вставить ник Quote
kf72 Posted May 30, 2012 Posted May 30, 2012 (edited) читаем на статью на хабре, курим внимательно, потом все глупые вопросы. просьба проверить на практике. мечта - подружить ip unnumbered и dhcp сервер на одной циске. 1. со статикой ip unnumbered работает так как надо. абонент со своего ip уйти не может. 2. dhcp сервер тоже работает прекрасно. сеточку выделили- раздает. лиза 5 минут никого не напрягает. скрещиваем... на loopback висит /24 проверял на 3-х вланах путем перетыкания. абонент получает адрес из диапазона прибитого к лупбеку, НО не всегда тот,что прописан у него в маршруте. как следствие пакетики никуда не бегут. чем лечить? существенное условие - на доступе только влан,ацл нет, на мак-адреса тоже внимания не обращаем. вот фрагмент конфига. надеюсь на подсказку. ip dhcp pool L002 network 10.222.0.0 255.255.255.0 default-router 10.222.0.254 dns-server 8.8.8.8 lease 0 0 5 exit interface Loopback2 ip address 10.222.0.254 255.255.255.0 no ip redirects exit interface Vlan3000 ip unnumbered Loopback2 no ip proxy-arp exit ! interface Vlan3001 ip unnumbered Loopback2 no ip proxy-arp exit ! interface Vlan3002 ip unnumbered Loopback2 no ip proxy-arp exit ip route 10.222.0.1 255.255.255.255 Vlan3000 ip route 10.222.0.2 255.255.255.255 Vlan3001 ip route 10.222.0.3 255.255.255.255 Vlan3002 ---- а спустя некоторое время на VLAN3000 появился адрес 10.222.0.5 sh ip route показал S 10.222.0.5/32 is directly connected, Vlan3000 это как это ???? и как с ним бороться? Edited May 31, 2012 by kf72 Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.