Перейти до

VLAN per user


Рекомендованные сообщения

  • Відповіді 88
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Угу, у длинка настройка qinq весьма странная процедура. Причем на сайте в FAQ описание не верное, не взлетает так. 1) inner tpid=outer tpid=8100 2) порты на которых не нужно навешивать метки - nni,

Какой-то бессмысленный набор слов.

Чего все так сложно.      Лучше ip_unnambered + dhcp option 82 сделайте,  а ваша конструкция нереальная хрень, к тому же просто зря жрущая ресурсы cpu всего транзитного и терминирующего железа   Н

vlan россыпью и потом админте, тут надо смотреть на плотность и схему сети непосредственно, бывает так что эта тысяча находится в небольшом районе где одни высотки, и тогда реально проще qinq, тем более сейчас обычные pc держат такой тип, там можно и роутить и натить.

главное не забыть, от того какая архитектура будет заложена сейчас, будет зависить количество гемороя впоследствии.

Ссылка на сообщение
Поделиться на других сайтах
  • 5 months later...

Будьте добры, подкиньте материала по теме. Есть смарты на доступе, которые умеют только вланы, в центре Микротик на агрегации и фильтрации между вланами. Белыми адресами пока не обзавелись, но возможно появляться, так что пока НАТ.

Хочется сделать качественно, как говориться на Вырост. Никак не могу понять что такое IP unnumbered. Нужно на пальцах показывать, только так доходит :(. Хочется внедрить option82 не имея их на доступе пока.

У НАГи есть такой материал: http://forum.nag.ru/forum/index.php?showtopic=77495&st=0, но это жестко конечно и скорее всего подходит мне.

Ссылка на сообщение
Поделиться на других сайтах

82-я снова, тут только на магистральном свиче делать, свичи снова в vlan per user, если держат qinq то паковать, тогда у вас однотипные конфиги оборудования, а на магистральном уже обслуживать.

для начала соберите пару тестовых стендов, пощупайте.

Ссылка на сообщение
Поделиться на других сайтах

Я на столько бедный, что даже qinq на доступе нет. Тогда однотипности мне избежать, придется все на листике писать, а не о GVRP думать. Двигаться не куда, придется вместиться в 4095  :D  :facepalm: 

Спасибо за наводку, вот здесь нашел качественный, доступный материал: http://my.opera.com/Aminux/blog/2012/06/17/q-in-q Возможно кому пригодиться.

Ссылка на сообщение
Поделиться на других сайтах

QinQ на доступе не нужен, ни в какой из схем. При vlan на дом нужен доступ умеющий opt82 и средства защиты юзеров друг от друга(dhcp snooping, ip-port binding или source ip inspection), при vlan-per-user - ничего не нужно кроме поддержки вланов на свиче доступа.

Unnumbered в схеме vlan-per-user позволяет имитировать плоскую сеть(без нарезки адресов), что очень полезно для реальных IP и просто красиво для серых..

 

У себя строим vlan-per-user, на доступе любые надежные свичи без требований к функционалу(в основном dell 34xx), на агрегации длинки с QinQ(навешивают домам svlan), терминирует всю эту "прелесть" тазик с accel-ppp и активным proxy-arp(клиенты друг друга видят).

Выходит значительно проще и дешевле чем 'стандартная' схема, с вланом на дом и костылями на доступе.

Ссылка на сообщение
Поделиться на других сайтах

Очень доступно обьяснили спасибо!

Мне нужен анумберед тогда. Уже заканчиваю собирать стенд на 150 вланов. Но никак не могу понять этот анумберед, как он делается? Что это такое более доступно на пальцах хотелось бы услышать.

Заведу я эти вланы на мелкотик, там сделаю единственный бридж в 150 вланов, на него повешаю ип адрес, сделаю acl, нарежу ненужные порты.

Как поднять DHCP? Разве на каждый ВЛАН нужен отдельный сервер DHCP с маской /30? Вот где у меня дыра в знаниях ...

Відредаговано 2late
Ссылка на сообщение
Поделиться на других сайтах

2late,

Бридж на 150 вланов - это не unnumbered. Это дибилизм.

Unnumbered - это когда у вас так хитро один и тот же IP интерфейс на пачке разных VLAN-ов, при этом абоненты думают, что они в одном VLAN-е, а на самом деле - в разных.

Микротик этого не умеет.

Відредаговано Abram
Ссылка на сообщение
Поделиться на других сайтах

Как не умеет? на опеннете есть: http://www.opennet.ru/openforum/vsluhforumID6/799.html

В доках есть: http://wiki.mikrotik.com/wiki/Manual:Interface/VLAN#RouterOS_.2F32_and_IP_unnumbered_addresses

 

Я просто не могу вкурить вот и все.

Ссылка на сообщение
Поделиться на других сайтах

У себя строим vlan-per-user, на доступе любые надежные свичи без требований к функционалу(в основном dell 34xx), на агрегации длинки с QinQ(навешивают домам svlan), терминирует всю эту "прелесть" тазик с accel-ppp и активным proxy-arp(клиенты друг друга видят).

Выходит значительно проще и дешевле чем 'стандартная' схема, с вланом на дом и костылями на доступе.

А ип как выдается?

Ссылка на сообщение
Поделиться на других сайтах

 

У себя строим vlan-per-user, на доступе любые надежные свичи без требований к функционалу(в основном dell 34xx), на агрегации длинки с QinQ(навешивают домам svlan), терминирует всю эту "прелесть" тазик с accel-ppp и активным proxy-arp(клиенты друг друга видят).

Выходит значительно проще и дешевле чем 'стандартная' схема, с вланом на дом и костылями на доступе.

А ип как выдается?

Отдельным dhcp-сервером, авторизация естественно по номеру влана. Релеем выступает все тот же тазик с accel-ppp.

Ссылка на сообщение
Поделиться на других сайтах

 

 

У себя строим vlan-per-user, на доступе любые надежные свичи без требований к функционалу(в основном dell 34xx), на агрегации длинки с QinQ(навешивают домам svlan), терминирует всю эту "прелесть" тазик с accel-ppp и активным proxy-arp(клиенты друг друга видят).

Выходит значительно проще и дешевле чем 'стандартная' схема, с вланом на дом и костылями на доступе.

А ип как выдается?

Отдельным dhcp-сервером, авторизация естественно по номеру влана. Релеем выступает все тот же тазик с accel-ppp.

 

А на ацеле у вас пппое или ипое ихнее используете?

Ссылка на сообщение
Поделиться на других сайтах

 

 

У себя строим vlan-per-user, на доступе любые надежные свичи без требований к функционалу(в основном dell 34xx), на агрегации длинки с QinQ(навешивают домам svlan), терминирует всю эту "прелесть" тазик с accel-ppp и активным proxy-arp(клиенты друг друга видят).

Выходит значительно проще и дешевле чем 'стандартная' схема, с вланом на дом и костылями на доступе.

А ип как выдается?

Отдельным dhcp-сервером, авторизация естественно по номеру влана. Релеем выступает все тот же тазик с accel-ppp.

 

И на свичах доступа одинаковые вланы ?

Відредаговано morfey
Ссылка на сообщение
Поделиться на других сайтах

 

 

 

У себя строим vlan-per-user, на доступе любые надежные свичи без требований к функционалу(в основном dell 34xx), на агрегации длинки с QinQ(навешивают домам svlan), терминирует всю эту "прелесть" тазик с accel-ppp и активным proxy-arp(клиенты друг друга видят).

Выходит значительно проще и дешевле чем 'стандартная' схема, с вланом на дом и костылями на доступе.

А ип как выдается?

 

Отдельным dhcp-сервером, авторизация естественно по номеру влана. Релеем выступает все тот же тазик с accel-ppp.

 

А на ацеле у вас пппое или ипое ихнее используете?

 

ipoe конечно, зачем для pppoe такие сложности?

И на свичах доступа одинаковые вланы ?

Ага, типовые конфиги на доступе с вланами на портах вида 1001-1048. В биллинге каждому клиенту проставлен svlan(номер дома) и cvlan(номер порта). Відредаговано KaYot
Ссылка на сообщение
Поделиться на других сайтах

 

 

 

 

У себя строим vlan-per-user, на доступе любые надежные свичи без требований к функционалу(в основном dell 34xx), на агрегации длинки с QinQ(навешивают домам svlan), терминирует всю эту "прелесть" тазик с accel-ppp и активным proxy-arp(клиенты друг друга видят).

Выходит значительно проще и дешевле чем 'стандартная' схема, с вланом на дом и костылями на доступе.

А ип как выдается?

 

Отдельным dhcp-сервером, авторизация естественно по номеру влана. Релеем выступает все тот же тазик с accel-ppp.

 

А на ацеле у вас пппое или ипое ихнее используете?

 

ipoe конечно, зачем для pppoe такие сложности?

И на свичах доступа одинаковые вланы ?

Ага, типовые конфиги на доступе с вланами на портах вида 1001-1048. В биллинге каждому клиенту проставлен svlan(номер дома) и cvlan(номер порта).

 

А как дхцп понимает, что это именно тот юзер, вланы то одинаковые?

Ссылка на сообщение
Поделиться на других сайтах

А как дхцп понимает, что это именно тот юзер, вланы то одинаковые?

QinQ, вланы не одинаковы а вида xxxx.yyyy

Релей добавляет в клиентский запрос этот самый номер влана в виде 82ой опции, далее dhcp стандартно выдает по опции IP.

Ссылка на сообщение
Поделиться на других сайтах

KaYot,

Уже и я спрошу :). А как быть, если свитчей доступа в цепочке два? Используете VLAN-ы 1049-... и поднимаете их на всех свитчах по пути или используете qinq на доступе (на магистральных портах) и перемаркировываете service tag?

Ссылка на сообщение
Поделиться на других сайтах

KaYot,

Уже и я спрошу :). А как быть, если свитчей доступа в цепочке два? Используете VLAN-ы 1049-... и поднимаете их на всех свитчах по пути или используете qinq на доступе (на магистральных портах) и перемаркировываете service tag?

Хороший вопрос :) Вот в этом случае и получается нетиповой конфиг, второй свич идет с вланами 1101-1148 и т.д. Более простого решения я пока не нашел, к счастью их не так много.
Ссылка на сообщение
Поделиться на других сайтах

 

KaYot,

Уже и я спрошу :). А как быть, если свитчей доступа в цепочке два? Используете VLAN-ы 1049-... и поднимаете их на всех свитчах по пути или используете qinq на доступе (на магистральных портах) и перемаркировываете service tag?

Хороший вопрос :) Вот в этом случае и получается нетиповой конфиг, второй свич идет с вланами 1101-1148 и т.д. Более простого решения я пока не нашел, к счастью их не так много.

 

Я пока придумал два решения:

1) 1101-1148 (в вашей нумерации).

2) Включить на первом свитче qinq. Порт 25 в NNI (терминология dlink, берем des-3200-26 для наглядности) - к комутатору аггрегации. Порт 26 - UNI, к следующеюму коммутатору. Далее - vlan_translation, на пакеты, приходящие из 26 порта, вешать service tag, скажем, 2002. Тогда на коммутаторе аггрегации такие пакеты прилетят уже с cvid 1001-1048 (тут ничего не меняется) и svid 2002 (2002 = второй коммутатор в цепочке). UNI порт на аггрегации должен уметь trust-ить полученному svid и не перемаркировывать его. Аналогично со следующими. Но в любом случае коммутатор должен "знать" свой номер в цепочке :(.

Либо может как-то в vlan_translation можно match-ить по svid - тогда можно будет сделать универсальный конфиг и ставить коммутаторы цепочкой, они будут сами "плюсовать" svid-ы.

Відредаговано Abram
Ссылка на сообщение
Поделиться на других сайтах

KaYot,

А можно примеры настройки QinQ на аггрегации? Чего-то у меня на стенде не срастается. Подозреваю, что дело в tpid.

Ссылка на сообщение
Поделиться на других сайтах

morfey,

Если я не ошибаюсь, accel-ppp может сам выступать в качестве dhcp-сервера. Адреса в таком случае будут браться из RADIUS.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.


×
×
  • Створити нове...