Перейти к содержимому
Калькуляторы

Посоветуйте, чем терминировать 5k+ PPPoE pppoe

Интересная загвоздка вышла, я сделал BGP пиринг между 7204 и 4000.

 

Со стороны 4000

in - x.x.x.x/32

out - ничего, пока так.

 

Со стороны 7204

in - ничего

out - x.x.x.x/32

 

x.x.x.x/32 - это реальный ИП одной pppoe сесси..

 

После пиринга получилось следующее:

Со стороны 4000:

Ко мне пытаются попасть естестственно только те сети которые прописаны в networks в настройках BGP роутера...., причем четко по /24й маске, они ессесно фильтруются, а вот указанный permit x.x.x.x/32 почему-то даже не приходит.... и естественно со стороны 7204 не отправляется. А на стороне 7204 он вполне себе есть, но он же блин не в BGP networks....

#sh ip route ...

Routing entry for x.x.x.x/32

Known via "connected", distance 0, metric 0 (connected, via interface)

Routing Descriptor Blocks:

* directly connected, via Virtual-Access3438

Route metric is 0, traffic share count is 1

В роут таблице он есть, но как его дожно iBGP подхватить и должно ли вообще?

 

Каким образом передавать ip от "directly connected" сессий.... Может именно по этому OSPF ?

Изменено пользователем Romka_Kharkov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нафиг ospf для анонсов /32, поднимите iBGP, в нем пишите redistribute connected.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нафиг ospf для анонсов /32, поднимите iBGP, в нем пишите redistribute connected.

Огромное спасибо, так вчера и сделал, только кроме connected еще понадобились static, так как кроме 1го ип на интерфейс клиенту еще могут выдаваться доп. адреса, путем роутинга на основной... а они поменчаются как "U - per-user static route" и относятся к static роутам, следом на отправляющей стороне покрутил route-map что бы не высылало лишних роутов и собственно пока все ОК... Жду теперь Микротик, буду там тоже самое настраивать, посмотрим что получится ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пока для теста решил проверить пиринг между 4000 И RouterOS которая стоит в Датацентре на обычном ПК, получился какой-то факап, даже пиринг не поднялся....

Настроил все примитивно, хоть с паролем хоть без , TCP успешно, отправляется OPEN и все, Connection Closed....

На стороне Foundry ... Debug ваще слабый... там даже попытки не показаны, а показывается только когда Up/Down....

 

Небольшое введение, пиринг между двумя соседями в разных сетях ... т.е у RouterOS и 4000 нет общей сети, согласно Cisco документации это отключается путем опции disable-connected-check, но ни на foundry ни в MT ничего похожего не нашел, подскажите, может ли это влиять на пиринг и что делать в таком случае, аналог опции для MT есть?

post-117174-041843400 1386695861_thumb.png

post-117174-015197900 1386696033_thumb.png

Изменено пользователем Romka_Kharkov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

пиритесь чем? лупбаками? соурс поставили? роут есть до пира?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

пиритесь чем? лупбаками? соурс поставили? роут есть до пира?

Не совсем понял на счет лупбеков и соурсов.... роут есть раз TCP Established, верно?

Оба девайса пингуют друг друга вполне отлично и видимы друг для друга...

 

// Если вы имеете ввиду Update Source в настройках пира где на выбор идут интерфейсы - то пофик, хоть с ним хоть без него - не работает, что вы имели ввиду на счет loopback ?

Изменено пользователем Romka_Kharkov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Интересная штука, поменял на стороне MT ипшник 4000 , взял с другого интерфейса и все запирилось, странно но факт, хотя теперь появились новые интересные штуки, в Foundry / Cisco при указании prefix list есть такая штука как "le"/"ge", в моем случае есть сеть /24 но максимальный префикс для вещания в ней /32, Prefix-length как-то не сильно работает в MT... или не пойму как им крутить, при этом в документации допустимое значение 0-32, что еще хоть как-то поясняет CIDR , а вот в RouterOS 0-128, это для ipv6 что ли остальные ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все вроде бы разобрался, prefix list работает чуток не так как я планировал, но так как он работает тоже вполне подходит... )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Интересная <усбрано цензурой> штука получилась, в общем собрал описанную выше схему с 7204 + MT + 4000, уже подал линк между MT И 4000, подал линк от PPPoE ISP на MT, законектились по /29 Видно, и тут пришло время как бы L2TP тунель поднять, а выяснилось что MT почему-то на это не способен, с точки зрения настройки Cisco 7204

vpdn-template xxxxx.com

description "customers"

local name xxxxx.com

l2tp tunnel password 7 xxxxxxxxxxxxxxxx

!

vpdn-group l2tp-1017

! Default L2TP VPDN group

accept-dialin

protocol l2tp

virtual-template 1

lcp renegotiation always

source vpdn-template xxxxx.com

 

Тунель обладает только паролем, точно так же говорит и мой PPPoE ISP ;( С его стороны все готово, но вот у меня нет никакой возможности на MT поднять даже L2TP Client без указания явного >>> логина <<< и пароля... Получается, что я даже L2TP поднять не могу со своим провайдером?

 

Кто сталкивался, возможно я на каком-то этапе круто ошибся и сейчас вообще не в ту сторону смотрю... но выглядит это как будто этот MT вообще не подходит ;(

 

http://forum.mikrotik.com/viewtopic.php?f=2&t=16211

http://forum.mikrotik.com/viewtopic.php?f=2&t=26959

http://forum.mikrotik.com/viewtopic.php?f=2&t=63476

http://forum.mikrotik.com/viewtopic.php?f=1&t=26698

 

Плакать уже можно :D ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вы уверены что вам нужен L2TP туннель, а не L2TP сервер?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вы уверены что вам нужен L2TP туннель, а не L2TP сервер?

Чесно говоря, не совсем уверен, это должно вытекать из написанного выше, со стороны ISP техник говорит, что по понятиям Cisco у них VPDN, по понятиям Juniper это l2tp, а как это называется в MT он вообще не знает, собственно как и я :) Если описанное мною выше (с Cisco) решается путем L2TP Server-а на стороне MT, то кроме как "включить\выключить" и настроить MTU там никаких параметров и нет, а мне выдали пароль для тунеля которым я должен воспользоваться, куда его в MT прикрутить понятия не имею, все клиенты требуют пару login\pass, сервера - как-то не поднимал, почему-то подумал что я буду являться клиентом... В случае VPDN На 7204 она разве выступает L2TP сервером?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Обычно есть L2TP сервер, к нему подключаются L2TP клиенты, их может быть много. А вам походу дела сделали просто L2TP туннель (у циски все не как у людей), который микротик не понимает. Попросите подключение по какой-то более стандартизированной технологии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Обычно есть L2TP сервер, к нему подключаются L2TP клиенты, их может быть много. А вам походу дела сделали просто L2TP туннель (у циски все не как у людей), который микротик не понимает. Попросите подключение по какой-то более стандартизированной технологии.

Я уже рассматривал этот варинт но ISP "отморозился" сказали что только l2tp, вы не могли бы привести примеры технологий по которым они могут мне доставлять клиентов минуя L2TP тунель который таки не понимает MT.... А я тогда уже буду обсуждать возможность их внедрения со своим ISP.

Изменено пользователем Romka_Kharkov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А просто по IP он не может все выдать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А просто по IP он не может все выдать?

Как понимать "просто по IP" ?

У нас есть /29 мы в конекте, пингую вторую сторону, стало быть и они меня видят, из мира моя сторона MT тоже видна, они могут без каких либо протоколов просто повернуть мне клиентов на IP?

Не забывайте о том, что у меня балансировка и получается с их стороны уже настроен l2tp или что там у них в содружестве с моим Cisco... Видимо в одном месте двумя вариантами раздавать таки может не получится?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообшето это стандартная схема, так что у Микротика все ни как у людей. L2TP tunnel надо а не сервер, сессии клиентов по этим тунелям к ТС и приходят

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообшето это стандартная схема, так что у Микротика все ни как у людей. L2TP tunnel надо а не сервер, сессии клиентов по этим тунелям к ТС и приходят

 

А просто по IP не могут приходить? Например через OSPF? У микротика и второй железки настраиваются OSPF и они сами между собой договариваются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

тогда выше стояшии ISP будет отдавать клиенту свой IP да еше рулить клиентов так чтоб они через него в интернет не ходили? на то VPDN (L2TP tun) и сушествует и давольно стандартная схема за бугром.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В общем ситуация сводится к тому, что я наверное этот Микротик заюзаю где-то в другом месте, например как Border.. или что-то в этом роде, портов много BGP умеет, памяти и процессоров достаточно, а сюда все таки поставлю одноюнитовую Cisco подороже... Обидно конечно заткнуться в таком близком от решения моменте, но все же это опыт.... Сейчас рассматриваю 7201. Вроде не дорого. :) Что скажете?

 

тогда выше стояшии ISP будет отдавать клиенту свой IP да еше рулить клиентов так чтоб они через него в интернет не ходили? на то VPDN (L2TP tun) и сушествует и давольно стандартная схема за бугром.

Я еще изучал схему например поставить еще 1 U между ISP И MT ... что бы он l2tp тунель обеспечивал, а тут уже как-то конвертировать его в то, что понимает MT.

В этом направелнии какие-то мысли есть? А то я так и не нашел решения, при условии что я даже пока не понял почему именно l2tp.... ну это уже риторика :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В общем ситуация сводится к тому, что я наверное этот Микротик заюзаю где-то в другом месте, например как Border.. или что-то в этом роде, портов много BGP умеет, памяти и процессоров достаточно, а сюда все таки поставлю одноюнитовую Cisco подороже... Обидно конечно заткнуться в таком близком от решения моменте, но все же это опыт.... Сейчас рассматриваю 7201. Вроде не дорого. :) Что скажете?

 

тогда выше стояшии ISP будет отдавать клиенту свой IP да еше рулить клиентов так чтоб они через него в интернет не ходили? на то VPDN (L2TP tun) и сушествует и давольно стандартная схема за бугром.

Я еще изучал схему например поставить еще 1 U между ISP И MT ... что бы он l2tp тунель обеспечивал, а тут уже как-то конвертировать его в то, что понимает MT.

В этом направелнии какие-то мысли есть? А то я так и не нашел решения, при условии что я даже пока не понял почему именно l2tp.... ну это уже риторика :)

Помню у один знакомых стойка 40 юнитовая по завязку была забита 7201 :)

Железка нормальная но морально устарела.

Купите что ли что то поприличней железное или тазик.

 

А про микротик вас предупреждали. В продакшене еще бы интересные косяки вылезли...

Почитайте вот эту тему что бы совсем желание микротик юзать отпало http://forum.nag.ru/forum/index.php?showtopic=89810&st=40

Изменено пользователем pawel40

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Помню у один знакомых стойка 40 юнитовая по завязку была забита 7201 :)

Железка нормальная но морально устарела.

Купите что ли что то поприличней железное или тазик.

Если в той же ценовой категории, можно и другое что-то лишь бы оно функции нужные выполняло, мне как бы все равно.... Что посоветуете?

А про микротик вас предупреждали. В продакшене еще бы интересные косяки вылезли...

Я разве говорю, что был не предупрежден? ;) Я просто не открывал все карты которые не касаются моего вопроса, куда всунуть этот Mikrotik уже пара мест есть, где как минимум он выиграет по кол-ву юнитов :D :D :D А касательно продакшона - судя по моменту настроек и тому что я начитался, понимаю... именно это и было целью ... проверить его под нагрузкой, но блин даже до этого не дошли :D :D :D

Почитайте вот эту тему что бы совсем желание микротик юзать отпало http://forum.nag.ru/forum/index.php?showtopic=89810&st=40

Я читал уже много разных тем (возможно и эту в том числе)... Но перед покупателем обычно стоит остро вопрос цены, по этому была бы куча денег , было бы нанято 100500 человек для оценки и выбора и куплено 100500 нужных тазиков или роутеров, но пока таких возможностей нет, приходится работать с тем что есть , не смотря на супер старость 7204 (только я с ней работаю 7й год) она полностью делает то, что нам надо, единственный её минус на сегодня - количество юнитов, ну и слабый проц по текущему кол-ву клиентов (но это уже как бы не проблема Cisco, просто она больше не может). ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

берите 10008 в вашем случае хватит на долго, можно и с PRE-2

 

agg#sh vpdn tunnel summary

 

L2TP Tunnel Information Total tunnels 1020 sessions 23781

 

agg#sh ver | i IOS|mem

Cisco IOS Software, 10000 Software (C10K4-P11-M), Version 12.2(33)SB13, RELEASE SOFTWARE (fc2)

Cisco C10008 (PRE4-RP) processor (revision ) with 2588671K/163839K bytes of memory.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А про микротик вас предупреждали. В продакшене еще бы интересные косяки вылезли...

 

Просто нужно менять схему сети и сделать все правильно, а не как обычно бывает - есть кривая железка, к ней покупают нормальную, но из-за кривости остальных она в схему работы не вписывается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Циска как эталон кривизны, микротик как эталон стандартов )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А про микротик вас предупреждали. В продакшене еще бы интересные косяки вылезли...

 

Просто нужно менять схему сети и сделать все правильно, а не как обычно бывает - есть кривая железка, к ней покупают нормальную, но из-за кривости остальных она в схему работы не вписывается.

О да сейчас я откопаю фотку у ядерного кота и ткну вас носом как микротики отправляются в Ж.

 

Я читал уже много разных тем (возможно и эту в том числе)... Но перед покупателем обычно стоит остро вопрос цены, по этому была бы куча денег , было бы нанято 100500 человек для оценки и выбора и куплено 100500 нужных тазиков или роутеров, но пока таких возможностей нет, приходится работать с тем что есть , не смотря на супер старость 7204 (только я с ней работаю 7й год) она полностью делает то, что нам надо, единственный её минус на сегодня - количество юнитов, ну и слабый проц по текущему кол-ву клиентов (но это уже как бы не проблема Cisco, просто она больше не может). ;)

При вашем бюджете только тазик. В соседней теме уже доказали что он 11гбит без сильного шаманства тянет.

Думаю вам хватит его надолго.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.