survivor Posted October 1, 2014 (edited) · Report post Господа, прошу не закидывать камнями )) Много на форуме читал, что когда абоненту выдаешь /32 - это плохо, дешевые CPE роутеры не видят шлюз, на L3 нужно включать local-proxy-arp для межабонентского траффика, а это забивает CPU. Дело в том, что у меня как раз такая схема, а с данными проблемами я пока (тьфу-тьфу) не встречался... Вообщем - собрал на столе маленькую копию своей сети (vlan-per-user, аутентификация по opt82, QinQ от L3 до "района"). Для "района" выделил сетку XXX.XXX.49.0/24. Конфигурация L3 (циска 7200): ip dhcp relay information policy keep ip dhcp relay information trust-all interface Loopback58 ip address XXX.XXX.49.254 255.255.255.0 interface GigabitEthernet0/3.3331101 encapsulation dot1Q 333 second-dot1q 1101 ip unnumbered Loopback58 ip helper-address 10.199.1.23 no ip route-cache same-interface ! interface GigabitEthernet0/3.3331102 encapsulation dot1Q 333 second-dot1q 1102 ip unnumbered Loopback58 ip helper-address 10.199.1.23 no ip route-cache same-interface Подключил два ноута (на одном ubuntu, на другом Win7) получил адреса: ubuntu: XXX.XXX.49.1 Win7: XXX.XXX.49.111 На L3 появились /32 маршруты: S XXX.XXX.49.1/32 is directly connected, GigabitEthernet0/3.3331101 C XXX.XXX.49.0/24 is directly connected, Loopback58 S XXX.XXX.49.111/32 is directly connected, GigabitEthernet0/3.3331102 Смотрю sh ip int GigabitEthernet0/3.3331102: GigabitEthernet0/3.3331102 is up, line protocol is up Interface is unnumbered. Using address of Loopback58 (XXX.XXX.49.254) Broadcast address is 255.255.255.255 MTU is 1500 bytes Helper address is 10.199.1.23 Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is not set Proxy ARP is enabled Local Proxy ARP is disabled ... На втором интерфейсе также. 1) ноутбуки прекрасно пингуют друг друга... Разумеется в arp -a в качестве MAC адреса соседа я вижу MAC L3 циски, но ведь local proxy arp отключен! 2) ifconfig и ipconfig на ноутбуках показывают "правильную" маску: 255.255.255.0, т.е. отсюда вытекает что все же local proxy arp нужен для пинга к соседу, а еще что не должно быть проблем с SOHO роутерами, так как шлюз находится внутри сети интерфейса. Что я делаю не так? :) Edited October 1, 2014 by survivor Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
orlik Posted October 1, 2014 · Report post А теперь выключите "Proxy ARP is enabled" и наблюдайте проблемы :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted October 1, 2014 · Report post /32 маршрут до абонента, а у абонентов \24 маска получается? Если так то проблем нет и не будет. Проблемы будут когда у абонента будет \32 (т.е. на интернфейсе абонского компа\роутера 255.255.255.255). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
survivor Posted October 1, 2014 (edited) · Report post orlik Дык, за этот функционал: With local-proxy-arp the router would respond to arp requests for addresses on the same subnet. отвечает local proxy arp. А он выключен! GrandPr1de /32 маршрут до абонента, а у абонентов \24 маска получается? Вот я и хочу понять как так получилось? Почему proxy arp пашет вместо ip local proxy arp - видимо логика такая: роутер слышит arp запрос на интерфейсе Gig0/3.3331102 смотрит получателя и видит, что маршрут на получателя идет в ДРУГОЙ интерфейс Gig0/3.3331101 и думает что это запрос к другой сети. Да, точно. Он ведь не знает, что у абонентов /24. Только вот почему у абонентов /24? Хотя собственно говоря что удивляться - они эту информацию получают от dhcp сервера, а в dhcp сервере именно такая маска и прописана. Edited October 1, 2014 by survivor Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
orlik Posted October 1, 2014 · Report post Цитата With local-proxy-arp the router would respond to arp requests for addresses on the same subnet. отвечает local proxy arp. А он выключен! Он отвечает за этот функционал если у вас на роутере маска /24 , а у вас на роутере маска /32. Клиенты в разных сетях. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Butch3r Posted October 1, 2014 · Report post А вы абоненту то какую маску выдаете? CPE не нравится когда шлюз и IP из разных сетей. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
survivor Posted October 1, 2014 · Report post Butch3r CPE не нравится когда шлюз и IP из разных сетей У меня так не получается. Получается: на роутере /32, у абонента /24 (со шлюзом внутри). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted October 1, 2014 · Report post Butch3r CPE не нравится когда шлюз и IP из разных сетей У меня так не получается. Получается: на роутере /32, у абонента /24 (со шлюзом внутри). Вот в таком виде это правильно! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted October 1, 2014 · Report post local-proxy-arp не работает без proxy-arp по крайней мере на 76. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
orlik Posted October 1, 2014 · Report post local-proxy-arp не работает без proxy-arp по крайней мере на 76. Да , это даже у циски на сайте написано. Только в данном случае достаточно просто proxy-arp Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted October 2, 2014 · Report post У меня так не получается. Получается: на роутере /32, у абонента /24 (со шлюзом внутри). На сабе адрес лупбэка а там маска /24. Адрес лупбэка используется как шлюз для абонентов. /32 у вас маршрут на абонента а не адрес интерфейса. То что proxy-arp в данном случае работает как local-proxy-arp - возможно особенность реализации proxy-arp на данной железке/софте а может особенность функционирования на unnumbered интерфейсе. Использование proxy-arp для подобной конфигурации на sup7203b вызывало высокую загрузку cpu. Переход на local-proxy-arp решил проблему что и логично - алгоритм то проще и реализован в железе сапа. А вот когда попытался использовать local-proxy-arp на me3400g то ничего не вышло - на клиентском ПК при попытке получить адрес по DHCP вылетало "данный ip адрес уже используется в сети". Смотрел сниффером - получалось что получив от сервера пакет с адресом клиент пытался проверить а не занят ли он уже и в ответ me3400 радостно сообщал свой мак. В режиме proxy-arp функционирует нормально. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tehmeh Posted October 3, 2014 · Report post Внесу свои 5 копеек вопросов. Ни разу не встречал реализацию unnumbered + q-in-q (я не критикую, не подумайте), поэтому пару вопросов: interface GigabitEthernet0/3.3331101 encapsulation dot1Q 333 second-dot1q 1101 ip unnumbered Loopback58 ip helper-address 10.199.1.23 no ip route-cache same-interface ! Вот эту красоту при vlan-per-user надо для каждого руками набирать? Есть какой-то аналог int range vlan A-B, как на каталистах? Второй вопрос, вот у джуников есть dynamic svi фичи в mx, если мне память не изменяет, у cisco можно забыть об этом? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergeylo Posted October 3, 2014 (edited) · Report post encapsulation dot1Q 333 second-dot1q any http://www.cisco.com/en/US/docs/ios/lanswitch/configuration/guide/lsw_ieee_802.1q.html Edited October 3, 2014 by Sergeylo Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tehmeh Posted October 3, 2014 · Report post encapsulation dot1Q 333 second-dot1q any http://www.cisco.com/en/US/docs/ios/lanswitch/configuration/guide/lsw_ieee_802.1q.html Это конечно прекрасно, но тема носит название IPoE, а не PPPoE. •Supports only Point-to-Point Protocol over Ethernet (PPPoE) packets that are double-tagged for Q-in-Q VLAN tag termination. •IP and Multiprotocol Label Switching (MPLS) packets are not supported. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sonne Posted October 7, 2014 · Report post Скажите, какие реальные надежные схемы организации маршрутизации сетей /32 существуют в природе? Знаю cisco ip unnumbered (дорого) и accel-ppp (вообще непонятно что это). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted October 7, 2014 (edited) · Report post Unnubered дорого? 3750\3550 циска справится, денег немного стоит, потому что чаще всего - б\у, с таким раскладом и на полочку в запас можно положить такую же. Аналог аннмеберед можно сделать почти на чём угодно (фря и линукс не исключение), accel - просто делает это автоматом, а не самописными костыльными скриптами. Т.е. подымает нужный влан, подымает нужный маршрут и всё. Вот тема как на фре это организовать Edited October 7, 2014 by GrandPr1de Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
survivor Posted October 8, 2014 (edited) · Report post tehmeh Да, вы правы - для каждого абонента - свой сабинтерфейс. Только не руками, я скриптик на перле накатал, он при добавлении нового свича предконфигуривает его вланы на L3 роутере. А вариант с "second-dot1q any" увы... не работает. Циске нужен отдельный сабинтерфейс как destination для /32 роута. Вот тут рассказывал про свой эксперимент на тему. Edited October 8, 2014 by survivor Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tehmeh Posted October 8, 2014 · Report post Вот тут рассказывал про свой эксперимент на тему. Чем триллер закончился? Да, вы правы - для каждого абонента - свой сабинтерфейс. Только не руками, я скриптик на перле накатал, он при добавлении нового свича предконфигуривает его вланы на L3 роутере. Скриптики это не кошерно, особенно когда читаешь про фичи джуников : ( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
flamaster Posted October 30, 2014 · Report post А вариант с "second-dot1q any" увы... не работает. Циске нужен отдельный сабинтерфейс как destination для /32 роута. Извините, но я так и не понял почему вариант "second-dot1q any" или "second-dot1q 100-200" у вас не работает. Ведь рутер должен автоматом создать роут, не так ли? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...