Перейти к содержимому
Калькуляторы

IPoE /32 и проблемы да нет никаких проблем

Господа, прошу не закидывать камнями )) Много на форуме читал, что когда абоненту выдаешь /32 - это плохо, дешевые CPE роутеры не видят шлюз, на L3 нужно включать local-proxy-arp для межабонентского траффика, а это забивает CPU. Дело в том, что у меня как раз такая схема, а с данными проблемами я пока (тьфу-тьфу) не встречался...

Вообщем - собрал на столе маленькую копию своей сети (vlan-per-user, аутентификация по opt82, QinQ от L3 до "района").

 

Для "района" выделил сетку XXX.XXX.49.0/24. Конфигурация L3 (циска 7200):

ip dhcp relay information policy keep
ip dhcp relay information trust-all

interface Loopback58
ip address XXX.XXX.49.254 255.255.255.0

interface GigabitEthernet0/3.3331101
encapsulation dot1Q 333 second-dot1q 1101
ip unnumbered Loopback58
ip helper-address 10.199.1.23
no ip route-cache same-interface
!         
interface GigabitEthernet0/3.3331102
encapsulation dot1Q 333 second-dot1q 1102
ip unnumbered Loopback58
ip helper-address 10.199.1.23
no ip route-cache same-interface

 

Подключил два ноута (на одном ubuntu, на другом Win7) получил адреса:

ubuntu: XXX.XXX.49.1

Win7: XXX.XXX.49.111

 

На L3 появились /32 маршруты:

S       XXX.XXX.49.1/32 is directly connected, GigabitEthernet0/3.3331101
C       XXX.XXX.49.0/24 is directly connected, Loopback58
S       XXX.XXX.49.111/32 is directly connected, GigabitEthernet0/3.3331102

 

Смотрю sh ip int GigabitEthernet0/3.3331102:

 

GigabitEthernet0/3.3331102 is up, line protocol is up

Interface is unnumbered. Using address of Loopback58 (XXX.XXX.49.254)

Broadcast address is 255.255.255.255

MTU is 1500 bytes

Helper address is 10.199.1.23

Directed broadcast forwarding is disabled

Outgoing access list is not set

Inbound access list is not set

Proxy ARP is enabled

Local Proxy ARP is disabled

...

 

На втором интерфейсе также.

 

1) ноутбуки прекрасно пингуют друг друга... Разумеется в arp -a в качестве MAC адреса соседа я вижу MAC L3 циски, но ведь local proxy arp отключен!

2) ifconfig и ipconfig на ноутбуках показывают "правильную" маску: 255.255.255.0, т.е. отсюда вытекает что все же local proxy arp нужен для пинга к соседу, а еще что не должно быть проблем с SOHO роутерами, так как шлюз находится внутри сети интерфейса.

 

Что я делаю не так? :)

Изменено пользователем survivor

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А теперь выключите "Proxy ARP is enabled" и наблюдайте проблемы :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

/32 маршрут до абонента, а у абонентов \24 маска получается?

Если так то проблем нет и не будет.

Проблемы будут когда у абонента будет \32 (т.е. на интернфейсе абонского компа\роутера 255.255.255.255).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

orlik

Дык, за этот функционал:

With local-proxy-arp the router would respond to arp requests for addresses on the same subnet.

отвечает local proxy arp. А он выключен!

 

GrandPr1de

/32 маршрут до абонента, а у абонентов \24 маска получается?

Вот я и хочу понять как так получилось?

 

Почему proxy arp пашет вместо ip local proxy arp - видимо логика такая:

роутер слышит arp запрос на интерфейсе Gig0/3.3331102 смотрит получателя и видит, что маршрут на получателя идет в ДРУГОЙ интерфейс Gig0/3.3331101 и думает что это запрос к другой сети. Да, точно. Он ведь не знает, что у абонентов /24.

 

Только вот почему у абонентов /24? Хотя собственно говоря что удивляться - они эту информацию получают от dhcp сервера, а в dhcp сервере именно такая маска и прописана.

Изменено пользователем survivor

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Цитата

With local-proxy-arp the router would respond to arp requests for addresses on the same subnet.

 

отвечает local proxy arp. А он выключен!

 

 

Он отвечает за этот функционал если у вас на роутере маска /24 , а у вас на роутере маска /32. Клиенты в разных сетях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вы абоненту то какую маску выдаете? CPE не нравится когда шлюз и IP из разных сетей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Butch3r

CPE не нравится когда шлюз и IP из разных сетей

 

У меня так не получается. Получается: на роутере /32, у абонента /24 (со шлюзом внутри).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Butch3r

CPE не нравится когда шлюз и IP из разных сетей

 

У меня так не получается. Получается: на роутере /32, у абонента /24 (со шлюзом внутри).

Вот в таком виде это правильно!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

local-proxy-arp не работает без proxy-arp по крайней мере на 76.

 

Да , это даже у циски на сайте написано. Только в данном случае достаточно просто proxy-arp

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня так не получается. Получается: на роутере /32, у абонента /24 (со шлюзом внутри).

На сабе адрес лупбэка а там маска /24. Адрес лупбэка используется как шлюз для абонентов. /32 у вас маршрут на абонента а не адрес интерфейса.

То что proxy-arp в данном случае работает как local-proxy-arp - возможно особенность реализации proxy-arp на данной железке/софте а может особенность функционирования на unnumbered интерфейсе.

 

Использование proxy-arp для подобной конфигурации на sup7203b вызывало высокую загрузку cpu. Переход на local-proxy-arp решил проблему что и логично - алгоритм то проще и реализован в железе сапа.

А вот когда попытался использовать local-proxy-arp на me3400g то ничего не вышло - на клиентском ПК при попытке получить адрес по DHCP вылетало "данный ip адрес уже используется в сети". Смотрел сниффером - получалось что получив от сервера пакет с адресом клиент пытался проверить а не занят ли он уже и в ответ me3400 радостно сообщал свой мак. В режиме proxy-arp функционирует нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Внесу свои 5 копеек вопросов. Ни разу не встречал реализацию unnumbered + q-in-q (я не критикую, не подумайте), поэтому пару вопросов:

 

interface GigabitEthernet0/3.3331101
encapsulation dot1Q 333 second-dot1q 1101
ip unnumbered Loopback58
ip helper-address 10.199.1.23
no ip route-cache same-interface
!

 

Вот эту красоту при vlan-per-user надо для каждого руками набирать? Есть какой-то аналог int range vlan A-B, как на каталистах?

Второй вопрос, вот у джуников есть dynamic svi фичи в mx, если мне память не изменяет, у cisco можно забыть об этом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

encapsulation dot1Q 333 second-dot1q any

http://www.cisco.com/en/US/docs/ios/lanswitch/configuration/guide/lsw_ieee_802.1q.html

Изменено пользователем Sergeylo

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это конечно прекрасно, но тема носит название IPoE, а не PPPoE.

 

•Supports only Point-to-Point Protocol over Ethernet (PPPoE) packets that are double-tagged for Q-in-Q VLAN tag termination.

 

•IP and Multiprotocol Label Switching (MPLS) packets are not supported.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Скажите, какие реальные надежные схемы организации маршрутизации сетей /32 существуют в природе?

Знаю cisco ip unnumbered (дорого) и accel-ppp (вообще непонятно что это).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Unnubered дорого?

3750\3550 циска справится, денег немного стоит, потому что чаще всего - б\у, с таким раскладом и на полочку в запас можно положить такую же.

 

Аналог аннмеберед можно сделать почти на чём угодно (фря и линукс не исключение), accel - просто делает это автоматом, а не самописными костыльными скриптами. Т.е. подымает нужный влан, подымает нужный маршрут и всё.

 

Вот тема как на фре это организовать

Изменено пользователем GrandPr1de

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

tehmeh

Да, вы правы - для каждого абонента - свой сабинтерфейс. Только не руками, я скриптик на перле накатал, он при добавлении нового свича предконфигуривает его вланы на L3 роутере.

А вариант с "second-dot1q any" увы... не работает. Циске нужен отдельный сабинтерфейс как destination для /32 роута.

 

Вот тут рассказывал про свой эксперимент на тему.

Изменено пользователем survivor

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот тут рассказывал про свой эксперимент на тему.

Чем триллер закончился?

 

Да, вы правы - для каждого абонента - свой сабинтерфейс. Только не руками, я скриптик на перле накатал, он при добавлении нового свича предконфигуривает его вланы на L3 роутере.

Скриптики это не кошерно, особенно когда читаешь про фичи джуников : (

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вариант с "second-dot1q any" увы... не работает. Циске нужен отдельный сабинтерфейс как destination для /32 роута.

Извините, но я так и не понял почему вариант "second-dot1q any" или "second-dot1q 100-200" у вас не работает. Ведь рутер должен автоматом создать роут, не так ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.