VLAN per user

[ntil]

вланы россыпью + учет + автоматизация настройки михо

а агрегация уже есть?

[Melanxolik]

vlan россыпью и потом админте, тут надо смотреть на плотность и схему сети непосредственно, бывает так что эта тысяча находится в небольшом районе где одни высотки, и тогда реально проще qinq, тем более сейчас обычные pc держат такой тип, там можно и роутить и натить.

главное не забыть, от того какая архитектура будет заложена сейчас, будет зависить количество гемороя впоследствии.

[ntil]

у ТС не понятно что сейчас на агрегации - может там никакого qinq в помине нет.

[2late]

Будьте добры, подкиньте материала по теме. Есть смарты на доступе, которые умеют только вланы, в центре Микротик на агрегации и фильтрации между вланами. Белыми адресами пока не обзавелись, но возможно появляться, так что пока НАТ.

Хочется сделать качественно, как говориться на Вырост. Никак не могу понять что такое IP unnumbered. Нужно на пальцах показывать, только так доходит . Хочется внедрить option82 не имея их на доступе пока.

У НАГи есть такой материал: http://forum.nag.ru/forum/index.php?showtopic=77495&st=0, но это жестко конечно и скорее всего подходит мне.

[Melanxolik]

82-я снова, тут только на магистральном свиче делать, свичи снова в vlan per user, если держат qinq то паковать, тогда у вас однотипные конфиги оборудования, а на магистральном уже обслуживать.

для начала соберите пару тестовых стендов, пощупайте.

[2late]

Я на столько бедный, что даже qinq на доступе нет. Тогда однотипности мне избежать, придется все на листике писать, а не о GVRP думать. Двигаться не куда, придется вместиться в 4095     

Спасибо за наводку, вот здесь нашел качественный, доступный материал: http://my.opera.com/Aminux/blog/2012/06/17/q-in-q Возможно кому пригодиться.

[KaYot]

QinQ на доступе не нужен, ни в какой из схем. При vlan на дом нужен доступ умеющий opt82 и средства защиты юзеров друг от друга(dhcp snooping, ip-port binding или source ip inspection), при vlan-per-user - ничего не нужно кроме поддержки вланов на свиче доступа.

Unnumbered в схеме vlan-per-user позволяет имитировать плоскую сеть(без нарезки адресов), что очень полезно для реальных IP и просто красиво для серых..

 

У себя строим vlan-per-user, на доступе любые надежные свичи без требований к функционалу(в основном dell 34xx), на агрегации длинки с QinQ(навешивают домам svlan), терминирует всю эту "прелесть" тазик с accel-ppp и активным proxy-arp(клиенты друг друга видят).

Выходит значительно проще и дешевле чем 'стандартная' схема, с вланом на дом и костылями на доступе.

[2late]

Очень доступно обьяснили спасибо!

Мне нужен анумберед тогда. Уже заканчиваю собирать стенд на 150 вланов. Но никак не могу понять этот анумберед, как он делается? Что это такое более доступно на пальцах хотелось бы услышать.

Заведу я эти вланы на мелкотик, там сделаю единственный бридж в 150 вланов, на него повешаю ип адрес, сделаю acl, нарежу ненужные порты.

Как поднять DHCP? Разве на каждый ВЛАН нужен отдельный сервер DHCP с маской /30? Вот где у меня дыра в знаниях ...

Відредаговано 2 грудня, 2013 2late

[Abram]

2late,

Бридж на 150 вланов - это не unnumbered. Это дибилизм.

Unnumbered - это когда у вас так хитро один и тот же IP интерфейс на пачке разных VLAN-ов, при этом абоненты думают, что они в одном VLAN-е, а на самом деле - в разных.

Микротик этого не умеет.

Відредаговано 2 грудня, 2013 Abram

[2late]

Как не умеет? на опеннете есть: http://www.opennet.ru/openforum/vsluhforumID6/799.html

В доках есть: http://wiki.mikrotik.com/wiki/Manual:Interface/VLAN#RouterOS_.2F32_and_IP_unnumbered_addresses

 

Я просто не могу вкурить вот и все.

[morfey]

У себя строим vlan-per-user, на доступе любые надежные свичи без требований к функционалу(в основном dell 34xx), на агрегации длинки с QinQ(навешивают домам svlan), терминирует всю эту "прелесть" тазик с accel-ppp и активным proxy-arp(клиенты друг друга видят).

Выходит значительно проще и дешевле чем 'стандартная' схема, с вланом на дом и костылями на доступе.

А ип как выдается?

[Abram]

2late,

Это не то. Это всего лишь попытка заменить полноценный ip unnumbered.

[KaYot]

 

У себя строим vlan-per-user, на доступе любые надежные свичи без требований к функционалу(в основном dell 34xx), на агрегации длинки с QinQ(навешивают домам svlan), терминирует всю эту "прелесть" тазик с accel-ppp и активным proxy-arp(клиенты друг друга видят).

Выходит значительно проще и дешевле чем 'стандартная' схема, с вланом на дом и костылями на доступе.

А ип как выдается?

Отдельным dhcp-сервером, авторизация естественно по номеру влана. Релеем выступает все тот же тазик с accel-ppp.

[2late]

2late,

Это не то. Это всего лишь попытка заменить полноценный ip unnumbered.

 

Хотите сказать что схема работать не будет?

[twg]

 

 

У себя строим vlan-per-user, на доступе любые надежные свичи без требований к функционалу(в основном dell 34xx), на агрегации длинки с QinQ(навешивают домам svlan), терминирует всю эту "прелесть" тазик с accel-ppp и активным proxy-arp(клиенты друг друга видят).

Выходит значительно проще и дешевле чем 'стандартная' схема, с вланом на дом и костылями на доступе.

А ип как выдается?

Отдельным dhcp-сервером, авторизация естественно по номеру влана. Релеем выступает все тот же тазик с accel-ppp.

 

А на ацеле у вас пппое или ипое ихнее используете?

[morfey]

 

 

У себя строим vlan-per-user, на доступе любые надежные свичи без требований к функционалу(в основном dell 34xx), на агрегации длинки с QinQ(навешивают домам svlan), терминирует всю эту "прелесть" тазик с accel-ppp и активным proxy-arp(клиенты друг друга видят).

Выходит значительно проще и дешевле чем 'стандартная' схема, с вланом на дом и костылями на доступе.

А ип как выдается?

Отдельным dhcp-сервером, авторизация естественно по номеру влана. Релеем выступает все тот же тазик с accel-ppp.

 

И на свичах доступа одинаковые вланы ?

Відредаговано 2 грудня, 2013 morfey

[KaYot]

 

 

 

У себя строим vlan-per-user, на доступе любые надежные свичи без требований к функционалу(в основном dell 34xx), на агрегации длинки с QinQ(навешивают домам svlan), терминирует всю эту "прелесть" тазик с accel-ppp и активным proxy-arp(клиенты друг друга видят).

Выходит значительно проще и дешевле чем 'стандартная' схема, с вланом на дом и костылями на доступе.

А ип как выдается?

 

Отдельным dhcp-сервером, авторизация естественно по номеру влана. Релеем выступает все тот же тазик с accel-ppp.

 

А на ацеле у вас пппое или ипое ихнее используете?

 

ipoe конечно, зачем для pppoe такие сложности?

И на свичах доступа одинаковые вланы ?

Ага, типовые конфиги на доступе с вланами на портах вида 1001-1048. В биллинге каждому клиенту проставлен svlan(номер дома) и cvlan(номер порта). Відредаговано 2 грудня, 2013 KaYot

[morfey]

 

 

 

 

У себя строим vlan-per-user, на доступе любые надежные свичи без требований к функционалу(в основном dell 34xx), на агрегации длинки с QinQ(навешивают домам svlan), терминирует всю эту "прелесть" тазик с accel-ppp и активным proxy-arp(клиенты друг друга видят).

Выходит значительно проще и дешевле чем 'стандартная' схема, с вланом на дом и костылями на доступе.

А ип как выдается?

 

Отдельным dhcp-сервером, авторизация естественно по номеру влана. Релеем выступает все тот же тазик с accel-ppp.

 

А на ацеле у вас пппое или ипое ихнее используете?

 

ipoe конечно, зачем для pppoe такие сложности?

И на свичах доступа одинаковые вланы ?

Ага, типовые конфиги на доступе с вланами на портах вида 1001-1048. В биллинге каждому клиенту проставлен svlan(номер дома) и cvlan(номер порта).

 

А как дхцп понимает, что это именно тот юзер, вланы то одинаковые?

[KaYot]

А как дхцп понимает, что это именно тот юзер, вланы то одинаковые?

QinQ, вланы не одинаковы а вида xxxx.yyyy

Релей добавляет в клиентский запрос этот самый номер влана в виде 82ой опции, далее dhcp стандартно выдает по опции IP.

[Abram]

KaYot,

Уже и я спрошу . А как быть, если свитчей доступа в цепочке два? Используете VLAN-ы 1049-... и поднимаете их на всех свитчах по пути или используете qinq на доступе (на магистральных портах) и перемаркировываете service tag?

[KaYot]

KaYot,

Уже и я спрошу . А как быть, если свитчей доступа в цепочке два? Используете VLAN-ы 1049-... и поднимаете их на всех свитчах по пути или используете qinq на доступе (на магистральных портах) и перемаркировываете service tag?

Хороший вопрос Вот в этом случае и получается нетиповой конфиг, второй свич идет с вланами 1101-1148 и т.д. Более простого решения я пока не нашел, к счастью их не так много.

[Abram]

 

KaYot,

Уже и я спрошу . А как быть, если свитчей доступа в цепочке два? Используете VLAN-ы 1049-... и поднимаете их на всех свитчах по пути или используете qinq на доступе (на магистральных портах) и перемаркировываете service tag?

Хороший вопрос Вот в этом случае и получается нетиповой конфиг, второй свич идет с вланами 1101-1148 и т.д. Более простого решения я пока не нашел, к счастью их не так много.

 

Я пока придумал два решения:

1) 1101-1148 (в вашей нумерации).

2) Включить на первом свитче qinq. Порт 25 в NNI (терминология dlink, берем des-3200-26 для наглядности) - к комутатору аггрегации. Порт 26 - UNI, к следующеюму коммутатору. Далее - vlan_translation, на пакеты, приходящие из 26 порта, вешать service tag, скажем, 2002. Тогда на коммутаторе аггрегации такие пакеты прилетят уже с cvid 1001-1048 (тут ничего не меняется) и svid 2002 (2002 = второй коммутатор в цепочке). UNI порт на аггрегации должен уметь trust-ить полученному svid и не перемаркировывать его. Аналогично со следующими. Но в любом случае коммутатор должен "знать" свой номер в цепочке .

Либо может как-то в vlan_translation можно match-ить по svid - тогда можно будет сделать универсальный конфиг и ставить коммутаторы цепочкой, они будут сами "плюсовать" svid-ы.

Відредаговано 2 грудня, 2013 Abram

[Abram]

KaYot,

А можно примеры настройки QinQ на аггрегации? Чего-то у меня на стенде не срастается. Подозреваю, что дело в tpid.

[morfey]

Да, и конфиг dhcp сервера

[Abram]

morfey,

Если я не ошибаюсь, accel-ppp может сам выступать в качестве dhcp-сервера. Адреса в таком случае будут браться из RADIUS.