survivor Опубликовано 1 октября, 2014 (изменено) · Жалоба Господа, прошу не закидывать камнями )) Много на форуме читал, что когда абоненту выдаешь /32 - это плохо, дешевые CPE роутеры не видят шлюз, на L3 нужно включать local-proxy-arp для межабонентского траффика, а это забивает CPU. Дело в том, что у меня как раз такая схема, а с данными проблемами я пока (тьфу-тьфу) не встречался... Вообщем - собрал на столе маленькую копию своей сети (vlan-per-user, аутентификация по opt82, QinQ от L3 до "района"). Для "района" выделил сетку XXX.XXX.49.0/24. Конфигурация L3 (циска 7200): ip dhcp relay information policy keep ip dhcp relay information trust-all interface Loopback58 ip address XXX.XXX.49.254 255.255.255.0 interface GigabitEthernet0/3.3331101 encapsulation dot1Q 333 second-dot1q 1101 ip unnumbered Loopback58 ip helper-address 10.199.1.23 no ip route-cache same-interface ! interface GigabitEthernet0/3.3331102 encapsulation dot1Q 333 second-dot1q 1102 ip unnumbered Loopback58 ip helper-address 10.199.1.23 no ip route-cache same-interface Подключил два ноута (на одном ubuntu, на другом Win7) получил адреса: ubuntu: XXX.XXX.49.1 Win7: XXX.XXX.49.111 На L3 появились /32 маршруты: S XXX.XXX.49.1/32 is directly connected, GigabitEthernet0/3.3331101 C XXX.XXX.49.0/24 is directly connected, Loopback58 S XXX.XXX.49.111/32 is directly connected, GigabitEthernet0/3.3331102 Смотрю sh ip int GigabitEthernet0/3.3331102: GigabitEthernet0/3.3331102 is up, line protocol is up Interface is unnumbered. Using address of Loopback58 (XXX.XXX.49.254) Broadcast address is 255.255.255.255 MTU is 1500 bytes Helper address is 10.199.1.23 Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is not set Proxy ARP is enabled Local Proxy ARP is disabled ... На втором интерфейсе также. 1) ноутбуки прекрасно пингуют друг друга... Разумеется в arp -a в качестве MAC адреса соседа я вижу MAC L3 циски, но ведь local proxy arp отключен! 2) ifconfig и ipconfig на ноутбуках показывают "правильную" маску: 255.255.255.0, т.е. отсюда вытекает что все же local proxy arp нужен для пинга к соседу, а еще что не должно быть проблем с SOHO роутерами, так как шлюз находится внутри сети интерфейса. Что я делаю не так? :) Изменено 1 октября, 2014 пользователем survivor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 1 октября, 2014 · Жалоба А теперь выключите "Proxy ARP is enabled" и наблюдайте проблемы :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 1 октября, 2014 · Жалоба /32 маршрут до абонента, а у абонентов \24 маска получается? Если так то проблем нет и не будет. Проблемы будут когда у абонента будет \32 (т.е. на интернфейсе абонского компа\роутера 255.255.255.255). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 1 октября, 2014 (изменено) · Жалоба orlik Дык, за этот функционал: With local-proxy-arp the router would respond to arp requests for addresses on the same subnet. отвечает local proxy arp. А он выключен! GrandPr1de /32 маршрут до абонента, а у абонентов \24 маска получается? Вот я и хочу понять как так получилось? Почему proxy arp пашет вместо ip local proxy arp - видимо логика такая: роутер слышит arp запрос на интерфейсе Gig0/3.3331102 смотрит получателя и видит, что маршрут на получателя идет в ДРУГОЙ интерфейс Gig0/3.3331101 и думает что это запрос к другой сети. Да, точно. Он ведь не знает, что у абонентов /24. Только вот почему у абонентов /24? Хотя собственно говоря что удивляться - они эту информацию получают от dhcp сервера, а в dhcp сервере именно такая маска и прописана. Изменено 1 октября, 2014 пользователем survivor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 1 октября, 2014 · Жалоба Цитата With local-proxy-arp the router would respond to arp requests for addresses on the same subnet. отвечает local proxy arp. А он выключен! Он отвечает за этот функционал если у вас на роутере маска /24 , а у вас на роутере маска /32. Клиенты в разных сетях. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 1 октября, 2014 · Жалоба А вы абоненту то какую маску выдаете? CPE не нравится когда шлюз и IP из разных сетей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 1 октября, 2014 · Жалоба Butch3r CPE не нравится когда шлюз и IP из разных сетей У меня так не получается. Получается: на роутере /32, у абонента /24 (со шлюзом внутри). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 1 октября, 2014 · Жалоба Butch3r CPE не нравится когда шлюз и IP из разных сетей У меня так не получается. Получается: на роутере /32, у абонента /24 (со шлюзом внутри). Вот в таком виде это правильно! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 1 октября, 2014 · Жалоба local-proxy-arp не работает без proxy-arp по крайней мере на 76. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 1 октября, 2014 · Жалоба local-proxy-arp не работает без proxy-arp по крайней мере на 76. Да , это даже у циски на сайте написано. Только в данном случае достаточно просто proxy-arp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 2 октября, 2014 · Жалоба У меня так не получается. Получается: на роутере /32, у абонента /24 (со шлюзом внутри). На сабе адрес лупбэка а там маска /24. Адрес лупбэка используется как шлюз для абонентов. /32 у вас маршрут на абонента а не адрес интерфейса. То что proxy-arp в данном случае работает как local-proxy-arp - возможно особенность реализации proxy-arp на данной железке/софте а может особенность функционирования на unnumbered интерфейсе. Использование proxy-arp для подобной конфигурации на sup7203b вызывало высокую загрузку cpu. Переход на local-proxy-arp решил проблему что и логично - алгоритм то проще и реализован в железе сапа. А вот когда попытался использовать local-proxy-arp на me3400g то ничего не вышло - на клиентском ПК при попытке получить адрес по DHCP вылетало "данный ip адрес уже используется в сети". Смотрел сниффером - получалось что получив от сервера пакет с адресом клиент пытался проверить а не занят ли он уже и в ответ me3400 радостно сообщал свой мак. В режиме proxy-arp функционирует нормально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehmeh Опубликовано 3 октября, 2014 · Жалоба Внесу свои 5 копеек вопросов. Ни разу не встречал реализацию unnumbered + q-in-q (я не критикую, не подумайте), поэтому пару вопросов: interface GigabitEthernet0/3.3331101 encapsulation dot1Q 333 second-dot1q 1101 ip unnumbered Loopback58 ip helper-address 10.199.1.23 no ip route-cache same-interface ! Вот эту красоту при vlan-per-user надо для каждого руками набирать? Есть какой-то аналог int range vlan A-B, как на каталистах? Второй вопрос, вот у джуников есть dynamic svi фичи в mx, если мне память не изменяет, у cisco можно забыть об этом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergeylo Опубликовано 3 октября, 2014 (изменено) · Жалоба encapsulation dot1Q 333 second-dot1q any http://www.cisco.com/en/US/docs/ios/lanswitch/configuration/guide/lsw_ieee_802.1q.html Изменено 3 октября, 2014 пользователем Sergeylo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehmeh Опубликовано 3 октября, 2014 · Жалоба encapsulation dot1Q 333 second-dot1q any http://www.cisco.com/en/US/docs/ios/lanswitch/configuration/guide/lsw_ieee_802.1q.html Это конечно прекрасно, но тема носит название IPoE, а не PPPoE. •Supports only Point-to-Point Protocol over Ethernet (PPPoE) packets that are double-tagged for Q-in-Q VLAN tag termination. •IP and Multiprotocol Label Switching (MPLS) packets are not supported. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 7 октября, 2014 · Жалоба Скажите, какие реальные надежные схемы организации маршрутизации сетей /32 существуют в природе? Знаю cisco ip unnumbered (дорого) и accel-ppp (вообще непонятно что это). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 7 октября, 2014 (изменено) · Жалоба Unnubered дорого? 3750\3550 циска справится, денег немного стоит, потому что чаще всего - б\у, с таким раскладом и на полочку в запас можно положить такую же. Аналог аннмеберед можно сделать почти на чём угодно (фря и линукс не исключение), accel - просто делает это автоматом, а не самописными костыльными скриптами. Т.е. подымает нужный влан, подымает нужный маршрут и всё. Вот тема как на фре это организовать Изменено 7 октября, 2014 пользователем GrandPr1de Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 8 октября, 2014 (изменено) · Жалоба tehmeh Да, вы правы - для каждого абонента - свой сабинтерфейс. Только не руками, я скриптик на перле накатал, он при добавлении нового свича предконфигуривает его вланы на L3 роутере. А вариант с "second-dot1q any" увы... не работает. Циске нужен отдельный сабинтерфейс как destination для /32 роута. Вот тут рассказывал про свой эксперимент на тему. Изменено 8 октября, 2014 пользователем survivor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehmeh Опубликовано 8 октября, 2014 · Жалоба Вот тут рассказывал про свой эксперимент на тему. Чем триллер закончился? Да, вы правы - для каждого абонента - свой сабинтерфейс. Только не руками, я скриптик на перле накатал, он при добавлении нового свича предконфигуривает его вланы на L3 роутере. Скриптики это не кошерно, особенно когда читаешь про фичи джуников : ( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flamaster Опубликовано 30 октября, 2014 · Жалоба А вариант с "second-dot1q any" увы... не работает. Циске нужен отдельный сабинтерфейс как destination для /32 роута. Извините, но я так и не понял почему вариант "second-dot1q any" или "second-dot1q 100-200" у вас не работает. Ведь рутер должен автоматом создать роут, не так ли? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...