[kinord]

5. При необходимости включается OSPF для анонса маршрутов на другие устройства, включив опцию анонса статических маршрутов.

6. Остается открытым вопрос с ARP - если включить reply-only, тогда абонент не сможет поменять себе адрес руками - если поменяет ничего не будет работать, но абоненты не смогут передавать данные между собой, если включить proxy-ARP, тогда они смогут передавать данные друг другу, и так же смогут указать руками любой адрес=) но он работать будет только в пределах устройства, которое занимается терминацией вланов, однако он не сможет поставить чужой адрес в пределах этой железки, потому что маршрут на него указан на другой интерфейс, и так же не сможет повлиять на другие терминаторы вланов, но если введенный адрес нигде не выдан абонентам, то с него сможет ломиться в сторону интернета.

 

Можно поподробней про эти два пункта.

Я так понимаю, что бы была локалка надо выставить proxy-ARP, но тогда клиент сможет обмануть роутер подставив другой адрес?

 

Всё вроде хорошо, но звонки при смене оборудования достают

 

Вот это то и хреново...

 

Вообще мы только начали строится в многоквартирном доме, поэтому хотелось бы не промахнуться с логикой сети, что бы не переделывать потом.

В идеале преследуем 2 цели:

1. Сделать максимально простыми настройки - воткнул кабель и работет.

2. Сделать все-таки локалку и отдельно инет.

[Saab95]

5. При необходимости включается OSPF для анонса маршрутов на другие устройства, включив опцию анонса статических маршрутов.

6. Остается открытым вопрос с ARP - если включить reply-only, тогда абонент не сможет поменять себе адрес руками - если поменяет ничего не будет работать, но абоненты не смогут передавать данные между собой, если включить proxy-ARP, тогда они смогут передавать данные друг другу, и так же смогут указать руками любой адрес=) но он работать будет только в пределах устройства, которое занимается терминацией вланов, однако он не сможет поставить чужой адрес в пределах этой железки, потому что маршрут на него указан на другой интерфейс, и так же не сможет повлиять на другие терминаторы вланов, но если введенный адрес нигде не выдан абонентам, то с него сможет ломиться в сторону интернета.

 

Можно поподробней про эти два пункта.

Я так понимаю, что бы была локалка надо выставить proxy-ARP, но тогда клиент сможет обмануть роутер подставив другой адрес?

 

Вообще эта схема не предназначена что бы тянуть все вланы в центр, обычно в каждом доме ставится локальный маршрутизатор, на которые заводятся вланы с нескольких коммутаторов. По OSPF указывается остальным устройствам, где конкретно находится требуемый адрес.

 

Если вы включите прокси-арп, то абонент, поменяв адрес на другой, не сможет попасть в интернет, т.к. другие маршрутизаторы не будут знать, куда отправлять пакеты, или, если этот адрес уже у кого-то стоит, то пакеты пойдут к нему, а не к тому, кто поменял. Ведь маршрут будет указан только на определенный порт определенной железки.

[Saab95]

480 DHCP серверов.

 

Микротик точно жить хорошо будет? А если у нас 1000 человек?

Около сотни коммутаторов на которых по 24 порта.

2000 вланов, 2000 dhcp серверов. Мне кажется это ад.

 

Не внушает доверие...

 

100 домов = 2400 вланов

170 домов = 4080 вланов

 

Микротик на словах (как в рекламе со словами "это фантастика") поддерживает 4095.

Отсюда следует, что резервировать вланы на каждый дом нет смысла. Очень быстро упрёшься в потолок.

 

Нужен биллинг, который умеет создавать влан при регистрации абонента. Есть такой для микротика?

 

Нужно эксперементировать с QinQ. Завтра на стенде попробую.

 

Ну так эта схема предназначена для распределенной L3 сети, а не что бы миллион вланов притащить в центр. Обычно ставят в дома Mikrotik CRS и подключают абонентов прямо с порта, либо с нескольких домов сводят кабели на промежуточный узел, где и ставят микротик для терминации, после чего уже все в чистом L3 пойдет в центр, где абонентов пустят в интернет.

 

Нормальный биллинг может при регистрации абонента выполнить ряд действий, например вы вводите железку или ближайший роутер, к которому он подключен, и биллинг отправляет команду на создание интерфейса и необходимой обвязки. Но обычно сразу создают кучу серверов, вланов и маршрутов, тогда монтажник просто говорит, что подключил кабель в коммутатор по такому-то адресу, админ смотрит в табличке какой влан и IP туда заведен, после чего вводит его в биллинг.

 

Всех, кто в биллинг не введен, можно переадресовывать на страничку с сообщением - "Ууупс, а вы кто? Позвоните по телефону Х-Х-Х и сообщите ваш IP-адрес, который показан на экране". Тогда если кто-то, где-то перепутает порт, то вы сразу получите нужные данные от абонента, который позвонит, и администратор легко найдет, куда подключен его кабель.

[vadimus]

Динамически роут /32 микротик может навешивать, если клиент по dhcp адрес получает?

В продолжение вопроса - а dhcp сервер микротика может брать этот адрес из биллинга?

 

Динамически не может, если делать связку по радиусу, то в момент получения адреса на сервер пойдет запрос с адреса шлюза и имени порта, выдав нужный адрес можно по SSH отправить и маршрут на указанную железку. Когда абонент отключится, по таймауту отправить команду на удаление.

 

Я даже боюсь спросить - может ли без ***ств с ДНС выдавать при отрицательном балансе (radius-reject) ip из диапазона, откуда заворачивает на статистику (с возможностью перехода на сайты онлайн платежных систем)... А в общем все ясно. Не может без костылей (а ими объективно являются маневры типа связки через ssh для выдачи маршрута) он выполнять функции BRAS в схеме IPoE. А Ubuntu с Accel-PPP может. За меньшие деньги. Итого - без наездов и обид - рынок BRAS в плане IPoE (да и в плане PPPoE - это давно ясно) для микротика потерян. При появлении Cambium epmp 1000 на рынке беспроводных решений микротику стоит крепко задуматься о будущем....

[kinord]

Вообще эта схема не предназначена что бы тянуть все вланы в центр, обычно в каждом доме ставится локальный маршрутизатор

 

При количестве 20 домов вряд ли стоит такое городить. Проще пригнать в цетр вланами.

 

Но допустим сильно много вланов и собираем их на локальном микротике в одну подсеть, дальше по Л3 OSPF гоним в центр и там уже натим и фаерволим каждого юзверя? Получится таким образом сделать локалку, хоть и с трафиком через микротики?

Изменено 23 января, 2014 пользователем kinord

[Saab95]

Я даже боюсь спросить - может ли без ***ств с ДНС выдавать при отрицательном балансе (radius-reject) ip из диапазона, откуда заворачивает на статистику (с возможностью перехода на сайты онлайн платежных систем)... А в общем все ясно. Не может без костылей (а ими объективно являются маневры типа связки через ssh для выдачи маршрута) он выполнять функции BRAS в схеме IPoE. А Ubuntu с Accel-PPP может. За меньшие деньги. Итого - без наездов и обид - рынок BRAS в плане IPoE (да и в плане PPPoE - это давно ясно) для микротика потерян. При появлении Cambium epmp 1000 на рынке беспроводных решений микротику стоит крепко задуматься о будущем....

 

Если у вас кабельная сеть со связями по оптике, то ставьте брас или циску за кучу денег, а не поливайте микротик грязью.

 

Это решение с IPoE предназначено в основном для распределенных сетей, когда каждое устройство обслуживает не большое количество абонентов, в зависимости от своих возможностей.

 

При этом, что бы на микротике завернуть абонентов на страницу с сообщением о задолженности, достаточно поместить его IP в список должников, при этом им можно оставить возможность подключиться по 433 и 80 порту на любые сайты в интернете с ограничением на количество пакетов в минуту, тогда он в любом случае сможет посетить сайты онлайн оплат и т.п. Но вместо того, что бы придумывать надуманные проблемы по доступу на сайты оплат при отрицательном балансе, достаточно разрешить абонентам брать кредит или обещанный платеж, тогда они без всяких проблем не только смогут произвести оплату, но и пользоваться сетью несколько дней, если лень на улицу выходить.

[Saab95]

При количестве 20 домов вряд ли стоит такое городить. Проще пригнать в цетр вланами.

 

Но допустим сильно много вланов и собираем их на локальном микротике в одну подсеть, дальше по Л3 OSPF гоним в центр и там уже натим и фаерволим каждого юзверя? Получится таким образом сделать локалку, хоть и с трафиком через микротики?

 

Конечно, только скорость абонентам не будет ограничиваться, но можно повесить шейпер PCQ сразу по всем адресам на всех железках, которые терминируют абонентов. Тогда например при тарифах 1-5-10 и т.п. на доступ в интернет, просто ставите везде ограничение либо по самому большому - 10м, либо что-то выше, 20-30, и абоненты смогут между собой передавать данные на высокой скорости, а в сторону интернета их порежет шейпер в центре.

[martini]

Не может без костылей (а ими объективно являются маневры типа связки через ssh для выдачи маршрута) он выполнять функции BRAS в схеме IPoE

не нужно никаких костылей, микрик прекрасно сам добавляет маршрут на абона.

[kinord]

А как прав

Это решение с IPoE предназначено в основном для распределенных сетей

 

А вот, кстати, как правильно зарулить вланы, которые я приземляю на микротик в туннель?

 

К примеру у меня есть микротик(удаленный), на него приходит куча вланов. Этот микротик имеет аплинк в интернет. Я на этом аплинке строю туннель pptp до центрального микротика. Как правильно мне теперь передать сеть с удаленного микротика на центральный?

[a-zazell]

Был опыт Vlan per User на RB750 (около 100 клиентов) + IP unnumbered по схеме:

 

/ip address
add address=192.168.1.1/32 network=192.168.1.102 interface=vl102

 

Без DHCP.

Изменено 23 января, 2014 пользователем a-zazell

[Saab95]

Был опыт Vlan per User на RB750 (около 100 клиентов) + IP unnumbered по схеме:

 

/ip address
add address=192.168.1.1/32 network=192.168.1.102 interface=vl102

 

Без DHCP.

 

Но он же при такой схеме не сможет раздавать белые адреса абонентам, когда пул растянут по всей сети, если раздаются только серые, их много и т.п., можно на каждую железку выделять подсеть /24 или меньше из серый адресов, и уже их анонсить по OSPF.

 

Про то, что я писал про добавление статических маршрутов на каждый порт абонента, как раз и используется в схемах, когда 2 и более железки терминируют абонентов с IP адресами в разнобой.

 

А как прав

Это решение с IPoE предназначено в основном для распределенных сетей

 

А вот, кстати, как правильно зарулить вланы, которые я приземляю на микротик в туннель?

 

К примеру у меня есть микротик(удаленный), на него приходит куча вланов. Этот микротик имеет аплинк в интернет. Я на этом аплинке строю туннель pptp до центрального микротика. Как правильно мне теперь передать сеть с удаленного микротика на центральный?

 

Через OSPF, аоносите подсеть. Если делаете по схеме с network=192.168.1.102, то создаете маршрут 192.168.1.0/24 на каком-то пустом бридже и разрешаете анонс статических маршрутов. Если раздаете белые, тогда надо будет создать по отдельному маршруту /32 на определенные вланы.

[pppoetest]

обычно в каждом доме ставится локальный маршрутизатор, на которые заводятся вланы с нескольких коммутаторов.

Какой идиот будет ставить л3 терминатор в дом?

[vadimus]

Я даже боюсь спросить - может ли без ***ств с ДНС выдавать при отрицательном балансе (radius-reject) ip из диапазона, откуда заворачивает на статистику (с возможностью перехода на сайты онлайн платежных систем)... А в общем все ясно. Не может без костылей (а ими объективно являются маневры типа связки через ssh для выдачи маршрута) он выполнять функции BRAS в схеме IPoE. А Ubuntu с Accel-PPP может. За меньшие деньги. Итого - без наездов и обид - рынок BRAS в плане IPoE (да и в плане PPPoE - это давно ясно) для микротика потерян. При появлении Cambium epmp 1000 на рынке беспроводных решений микротику стоит крепко задуматься о будущем....

 

Если у вас кабельная сеть со связями по оптике, то ставьте брас или циску за кучу денег, а не поливайте микротик грязью.

 

Это решение с IPoE предназначено в основном для распределенных сетей, когда каждое устройство обслуживает не большое количество абонентов, в зависимости от своих возможностей.

 

При этом, что бы на микротике завернуть абонентов на страницу с сообщением о задолженности, достаточно поместить его IP в список должников, при этом им можно оставить возможность подключиться по 433 и 80 порту на любые сайты в интернете с ограничением на количество пакетов в минуту, тогда он в любом случае сможет посетить сайты онлайн оплат и т.п. Но вместо того, что бы придумывать надуманные проблемы по доступу на сайты оплат при отрицательном балансе, достаточно разрешить абонентам брать кредит или обещанный платеж, тогда они без всяких проблем не только смогут произвести оплату, но и пользоваться сетью несколько дней, если лень на улицу выходить.

 

Да я отнюдь не поливаю его грязью, просто мне не ясна область его применения. Если для обслуживания 10-100 клиентов то все ясно. Тогда да. Но на зачем тогда создавать маршрутизаторы с 10 Гигабитными портами? Да и в каждый дом L3

 

железо ставить, а потом связывать по OSPF это жесть конечно... А насчет БРАСА или Циски - стоят компьютеры с Убунту (3 штуки на 3000) и все работает как часы. Все сведено в центр.

[SSD]

Если у вас кабельная сеть со связями по оптике, то ставьте брас или циску за кучу денег, а не поливайте микротик грязью.

Это не грязь, это лучи добра. :)

[Saab95]

обычно в каждом доме ставится локальный маршрутизатор, на которые заводятся вланы с нескольких коммутаторов.

Какой идиот будет ставить л3 терминатор в дом?

 

У микротика сейчас есть многопортовые роутеры - 24 порта. Следовательно ставите его на доступ и на порту авторизуете, зачем лишний мусор по сети гонять?

 

Кроме всего не у всех быстрые тарифы, или не у всех много клиентов в домах подключено, кто-то вообще малоэтажной застройкой занимается, подключая 2-х этажные 2-х подъездные дома цепочкой. Так вот, цепочка из роутеров будет работать лучше, чем цепочка из коммутаторов.

[pawel40]

обычно в каждом доме ставится локальный маршрутизатор, на которые заводятся вланы с нескольких коммутаторов.

Какой идиот будет ставить л3 терминатор в дом?

 

У микротика сейчас есть многопортовые роутеры - 24 порта. Следовательно ставите его на доступ и на порту авторизуете, зачем лишний мусор по сети гонять?

 

Кроме всего не у всех быстрые тарифы, или не у всех много клиентов в домах подключено, кто-то вообще малоэтажной застройкой занимается, подключая 2-х этажные 2-х подъездные дома цепочкой. Так вот, цепочка из роутеров будет работать лучше, чем цепочка из коммутаторов.

Ага а пошлешь пакетик волшебный и все микроики в тыкву превратятся. А еще они дороже стоят чем коммутатор.

Продай что ли делинки или еще что то вменяемое. Хватит микротик впаривать туда где ему не место.

[pppoetest]

Так вот, цепочка из роутеров будет работать лучше, чем цепочка из коммутаторов.

Можете объяснить как цепочка софтовых рутеров на ворованном линуксе, вносящих на каждом хопе задержку, будет работать лучше железа, не поднимающего пакеты выше data plane?

Изменено 23 января, 2014 пользователем pppoetest

[Saab95]

Так вот, цепочка из роутеров будет работать лучше, чем цепочка из коммутаторов.

Можете объяснить как цепочка софтовых рутеров на ворованном линуксе, вносящих на каждом хопе задержку, будет работать лучше железа, не поднимающего пакеты выше data plane?

 

Лучше, потому что не будут маки ходить по сети, и горелый порт не выведет из строя всю сеть. При этом задержка даже при 10 устройствах в цепочке совсем не большая, кроме всего можно кольцо, а то и несколько ветвей замкнуть, получив разделение потоков трафика. На L2 вы так не сделаете, будете ловить глюки с STP.

[pppoetest]

горелый порт не выведет из строя всю сеть

Если у вас горелый порт выводит из строя всю сеть, это всего лишь дефект вашей сети, или знаний о ней.

Изменено 23 января, 2014 пользователем pppoetest

[Saab95]

горелый порт не выведет из строя всю сеть

Если у вас горелый порт выводит из строя всю сеть, это всего лишь дефект вашей сети, или знаний о ней.

 

То-то же на форумах пишут про флуд в сети и т.п.

[pppoetest]

Могу ответить вашими же мантрами, значит плохо настраивают железо доступа на отсев флуда.

 

Могу добавить что еще бывает кривоватый софт, что вы никогда не признаете в рекламируемом вами краденом софте.

Изменено 23 января, 2014 пользователем pppoetest

[Saab95]

Могу ответить вашими же мантрами, значит плохо настраивают железо доступа на отсев флуда.

 

Могу добавить что еще бывает кривоватый софт, что вы никогда не признаете в рекламируемом вами краденом софте.

 

Например я могу взять 10 штук RB750, соединить их цепочкой и подключить в каждом доме по 3 абонента. Железка стоит 1400р., то есть за 14 тысяч будет нормально работающая сеть. Предложите модели коммутаторов, на которых можно сделать аналогичную схему цепочкой.

[pppoetest]

Это ж где и как такие дома стоят, что в них колбасой можно соединить рутеры кусками меди по 100м ?

Изменено 23 января, 2014 пользователем pppoetest

[Saab95]

Это ж где и как такие дома стоят, что в них колбасой можно соединить рутеры кусками меди по 100м ?

 

В малых населенных пунктах, поселках и т.п. Обычное дело, когда стоит 10-15 домов, если смотреть сверху то видно, что часто расположены квадратами и можно кабель в кольца замыкать через 4-6 домов. В них живет максимум 1-2 человека, которым интернет нужен.

[pppoetest]

Можете сказать координаты на гугл мапсе хоть одного такого "квадрата", так... прикинуть расстояния...

Изменено 23 января, 2014 пользователем pppoetest