Jump to content

VLAN per user

mlevel

By mlevel,
in Software

 Share Followers 1

Recommended Posts

  • Replies 88
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

KaYot

Угу, у длинка настройка qinq весьма странная процедура. Причем на сайте в FAQ описание не верное, не взлетает так. 1) inner tpid=outer tpid=8100 2) порты на которых не нужно навешивать метки - nni,

KaYot

Какой-то бессмысленный набор слов.

inquisitor

Чего все так сложно.      Лучше ip_unnambered + dhcp option 82 сделайте,  а ваша конструкция нереальная хрень, к тому же просто зря жрущая ресурсы cpu всего транзитного и терминирующего железа   Н

Melanxolik

Melanxolik 63

Posted
Posted

vlan россыпью и потом админте, тут надо смотреть на плотность и схему сети непосредственно, бывает так что эта тысяча находится в небольшом районе где одни высотки, и тогда реально проще qinq, тем более сейчас обычные pc держат такой тип, там можно и роутить и натить.

главное не забыть, от того какая архитектура будет заложена сейчас, будет зависить количество гемороя впоследствии.

Link to post
Share on other sites
  • 5 months later...
2late

2late 3

Posted
Posted

Будьте добры, подкиньте материала по теме. Есть смарты на доступе, которые умеют только вланы, в центре Микротик на агрегации и фильтрации между вланами. Белыми адресами пока не обзавелись, но возможно появляться, так что пока НАТ.

Хочется сделать качественно, как говориться на Вырост. Никак не могу понять что такое IP unnumbered. Нужно на пальцах показывать, только так доходит :(. Хочется внедрить option82 не имея их на доступе пока.

У НАГи есть такой материал: http://forum.nag.ru/forum/index.php?showtopic=77495&st=0, но это жестко конечно и скорее всего подходит мне.

Link to post
Share on other sites
Melanxolik

Melanxolik 63

Posted
Posted

82-я снова, тут только на магистральном свиче делать, свичи снова в vlan per user, если держат qinq то паковать, тогда у вас однотипные конфиги оборудования, а на магистральном уже обслуживать.

для начала соберите пару тестовых стендов, пощупайте.

Link to post
Share on other sites
2late

2late 3

Posted
Posted

Я на столько бедный, что даже qinq на доступе нет. Тогда однотипности мне избежать, придется все на листике писать, а не о GVRP думать. Двигаться не куда, придется вместиться в 4095  :D  :facepalm: 

Спасибо за наводку, вот здесь нашел качественный, доступный материал: http://my.opera.com/Aminux/blog/2012/06/17/q-in-q Возможно кому пригодиться.

Link to post
Share on other sites
KaYot

KaYot 3,730

Posted
Posted

QinQ на доступе не нужен, ни в какой из схем. При vlan на дом нужен доступ умеющий opt82 и средства защиты юзеров друг от друга(dhcp snooping, ip-port binding или source ip inspection), при vlan-per-user - ничего не нужно кроме поддержки вланов на свиче доступа.

Unnumbered в схеме vlan-per-user позволяет имитировать плоскую сеть(без нарезки адресов), что очень полезно для реальных IP и просто красиво для серых..

 

У себя строим vlan-per-user, на доступе любые надежные свичи без требований к функционалу(в основном dell 34xx), на агрегации длинки с QinQ(навешивают домам svlan), терминирует всю эту "прелесть" тазик с accel-ppp и активным proxy-arp(клиенты друг друга видят).

Выходит значительно проще и дешевле чем 'стандартная' схема, с вланом на дом и костылями на доступе.

Link to post
Share on other sites
2late

2late 3

Posted
Posted (edited)

Очень доступно обьяснили спасибо!

Мне нужен анумберед тогда. Уже заканчиваю собирать стенд на 150 вланов. Но никак не могу понять этот анумберед, как он делается? Что это такое более доступно на пальцах хотелось бы услышать.

Заведу я эти вланы на мелкотик, там сделаю единственный бридж в 150 вланов, на него повешаю ип адрес, сделаю acl, нарежу ненужные порты.

Как поднять DHCP? Разве на каждый ВЛАН нужен отдельный сервер DHCP с маской /30? Вот где у меня дыра в знаниях ...

Edited by 2late
Link to post
Share on other sites
Abram

Abram 98

Posted
Posted (edited)

2late,

Бридж на 150 вланов - это не unnumbered. Это дибилизм.

Unnumbered - это когда у вас так хитро один и тот же IP интерфейс на пачке разных VLAN-ов, при этом абоненты думают, что они в одном VLAN-е, а на самом деле - в разных.

Микротик этого не умеет.

Edited by Abram
Link to post
Share on other sites
morfey

morfey 82

Posted
Posted

У себя строим vlan-per-user, на доступе любые надежные свичи без требований к функционалу(в основном dell 34xx), на агрегации длинки с QinQ(навешивают домам svlan), терминирует всю эту "прелесть" тазик с accel-ppp и активным proxy-arp(клиенты друг друга видят).

Выходит значительно проще и дешевле чем 'стандартная' схема, с вланом на дом и костылями на доступе.

А ип как выдается?

Link to post
Share on other sites
KaYot

KaYot 3,730

Posted
Posted

 

У себя строим vlan-per-user, на доступе любые надежные свичи без требований к функционалу(в основном dell 34xx), на агрегации длинки с QinQ(навешивают домам svlan), терминирует всю эту "прелесть" тазик с accel-ppp и активным proxy-arp(клиенты друг друга видят).

Выходит значительно проще и дешевле чем 'стандартная' схема, с вланом на дом и костылями на доступе.

А ип как выдается?

Отдельным dhcp-сервером, авторизация естественно по номеру влана. Релеем выступает все тот же тазик с accel-ppp.

Link to post
Share on other sites
2late

2late 3

Posted
Posted

2late,

Это не то. Это всего лишь попытка заменить полноценный ip unnumbered.

 

Хотите сказать что схема работать не будет?

Link to post
Share on other sites
twg

twg 871

Posted
Posted

 

 

У себя строим vlan-per-user, на доступе любые надежные свичи без требований к функционалу(в основном dell 34xx), на агрегации длинки с QinQ(навешивают домам svlan), терминирует всю эту "прелесть" тазик с accel-ppp и активным proxy-arp(клиенты друг друга видят).

Выходит значительно проще и дешевле чем 'стандартная' схема, с вланом на дом и костылями на доступе.

А ип как выдается?

Отдельным dhcp-сервером, авторизация естественно по номеру влана. Релеем выступает все тот же тазик с accel-ppp.

 

А на ацеле у вас пппое или ипое ихнее используете?

Link to post
Share on other sites
morfey

morfey 82

Posted
Posted (edited)

 

 

У себя строим vlan-per-user, на доступе любые надежные свичи без требований к функционалу(в основном dell 34xx), на агрегации длинки с QinQ(навешивают домам svlan), терминирует всю эту "прелесть" тазик с accel-ppp и активным proxy-arp(клиенты друг друга видят).

Выходит значительно проще и дешевле чем 'стандартная' схема, с вланом на дом и костылями на доступе.

А ип как выдается?

Отдельным dhcp-сервером, авторизация естественно по номеру влана. Релеем выступает все тот же тазик с accel-ppp.

 

И на свичах доступа одинаковые вланы ?

Edited by morfey
Link to post
Share on other sites
KaYot

KaYot 3,730

Posted
Posted (edited)

 

 

 

У себя строим vlan-per-user, на доступе любые надежные свичи без требований к функционалу(в основном dell 34xx), на агрегации длинки с QinQ(навешивают домам svlan), терминирует всю эту "прелесть" тазик с accel-ppp и активным proxy-arp(клиенты друг друга видят).

Выходит значительно проще и дешевле чем 'стандартная' схема, с вланом на дом и костылями на доступе.

А ип как выдается?

 

Отдельным dhcp-сервером, авторизация естественно по номеру влана. Релеем выступает все тот же тазик с accel-ppp.

 

А на ацеле у вас пппое или ипое ихнее используете?

 

ipoe конечно, зачем для pppoe такие сложности?

И на свичах доступа одинаковые вланы ?

Ага, типовые конфиги на доступе с вланами на портах вида 1001-1048. В биллинге каждому клиенту проставлен svlan(номер дома) и cvlan(номер порта). Edited by KaYot
Link to post
Share on other sites
morfey

morfey 82

Posted
Posted

 

 

 

 

У себя строим vlan-per-user, на доступе любые надежные свичи без требований к функционалу(в основном dell 34xx), на агрегации длинки с QinQ(навешивают домам svlan), терминирует всю эту "прелесть" тазик с accel-ppp и активным proxy-arp(клиенты друг друга видят).

Выходит значительно проще и дешевле чем 'стандартная' схема, с вланом на дом и костылями на доступе.

А ип как выдается?

 

Отдельным dhcp-сервером, авторизация естественно по номеру влана. Релеем выступает все тот же тазик с accel-ppp.

 

А на ацеле у вас пппое или ипое ихнее используете?

 

ipoe конечно, зачем для pppoe такие сложности?

И на свичах доступа одинаковые вланы ?

Ага, типовые конфиги на доступе с вланами на портах вида 1001-1048. В биллинге каждому клиенту проставлен svlan(номер дома) и cvlan(номер порта).

 

А как дхцп понимает, что это именно тот юзер, вланы то одинаковые?

Link to post
Share on other sites
KaYot

KaYot 3,730

Posted
Posted

А как дхцп понимает, что это именно тот юзер, вланы то одинаковые?

QinQ, вланы не одинаковы а вида xxxx.yyyy

Релей добавляет в клиентский запрос этот самый номер влана в виде 82ой опции, далее dhcp стандартно выдает по опции IP.

Link to post
Share on other sites
Abram

Abram 98

Posted
Posted

KaYot,

Уже и я спрошу :). А как быть, если свитчей доступа в цепочке два? Используете VLAN-ы 1049-... и поднимаете их на всех свитчах по пути или используете qinq на доступе (на магистральных портах) и перемаркировываете service tag?

Link to post
Share on other sites
KaYot

KaYot 3,730

Posted
Posted

KaYot,

Уже и я спрошу :). А как быть, если свитчей доступа в цепочке два? Используете VLAN-ы 1049-... и поднимаете их на всех свитчах по пути или используете qinq на доступе (на магистральных портах) и перемаркировываете service tag?

Хороший вопрос :) Вот в этом случае и получается нетиповой конфиг, второй свич идет с вланами 1101-1148 и т.д. Более простого решения я пока не нашел, к счастью их не так много.
Link to post
Share on other sites
Abram

Abram 98

Posted
Posted (edited)

 

KaYot,

Уже и я спрошу :). А как быть, если свитчей доступа в цепочке два? Используете VLAN-ы 1049-... и поднимаете их на всех свитчах по пути или используете qinq на доступе (на магистральных портах) и перемаркировываете service tag?

Хороший вопрос :) Вот в этом случае и получается нетиповой конфиг, второй свич идет с вланами 1101-1148 и т.д. Более простого решения я пока не нашел, к счастью их не так много.

 

Я пока придумал два решения:

1) 1101-1148 (в вашей нумерации).

2) Включить на первом свитче qinq. Порт 25 в NNI (терминология dlink, берем des-3200-26 для наглядности) - к комутатору аггрегации. Порт 26 - UNI, к следующеюму коммутатору. Далее - vlan_translation, на пакеты, приходящие из 26 порта, вешать service tag, скажем, 2002. Тогда на коммутаторе аггрегации такие пакеты прилетят уже с cvid 1001-1048 (тут ничего не меняется) и svid 2002 (2002 = второй коммутатор в цепочке). UNI порт на аггрегации должен уметь trust-ить полученному svid и не перемаркировывать его. Аналогично со следующими. Но в любом случае коммутатор должен "знать" свой номер в цепочке :(.

Либо может как-то в vlan_translation можно match-ить по svid - тогда можно будет сделать универсальный конфиг и ставить коммутаторы цепочкой, они будут сами "плюсовать" svid-ы.

Edited by Abram
Link to post
Share on other sites
Abram

Abram 98

Posted
Posted

KaYot,

А можно примеры настройки QinQ на аггрегации? Чего-то у меня на стенде не срастается. Подозреваю, что дело в tpid.

Link to post
Share on other sites
Abram

Abram 98

Posted
Posted

morfey,

Если я не ошибаюсь, accel-ppp может сам выступать в качестве dhcp-сервера. Адреса в таком случае будут браться из RADIUS.

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Followers 1
Go to topic listing

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...