Страница 1 из 1

VPU или IP unnumbered

Добавлено: 28 сен 2018, 09:43
Sir_Prikol
Доброго времени суток.

Ткните мордой в мануал, где нормально описано создание vlan per user на микротах. Что-то я мысль потерял, в голове схема есть, в реалии без мануала положить всю сеть неохота.

З.Ы. Хочу эксперимент с адекватным изолированием клиентов, хоть они сейчас и поднимаются по vpn, но риск остаётся :)

Re: VPU или IP unnumbered

Добавлено: 28 сен 2018, 10:58
Chupaka
Доброго.

А о каком количестве клиентов речь? Роутер столько интерфейсов выдержит? :)

Ближе всего по идеологии к IP unnumbered вариант с созданием VLAN'ов и навешиванием на них адресов вида "/ip address add interface=userVLAN112 address=192.168.0.1/32 network=192.168.x.y", где x.y - адрес клиента. Там ещё начнутся игры с proxy-arp, в общем, костыльная схема получается :)

Вариант изолирования проще и понятнее - создать кучу VLAN'ов, добавить все в бридж с одинаковым значением Horizon - и на бридж навесить адрес роутера. С одного VLAN'а в другой в рамках бриджа трафик ходить не будет. Даже при большом желании :)

Если же надо разрешить что-то, а остальное запретить - тогда обычный бридж, и уже фильтром бриджа решать, кому куда в рамках бриджа можно или нельзя.

Re: VPU или IP unnumbered

Добавлено: 28 сен 2018, 11:13
Sir_Prikol
Берём маленькую схему - 300 клиентов
утрированно 1 uplink, 5 LAN
За каждым LAN тупой свитч (чтоб не прописывать теги на портах)
Клиентский - микроб типа maplite
Главная задача чтоб клиент просто воткнулся в порт и получил интернет, а для этого, как я понимаю, мне надо изначально создать толпу интерфейсов, ну или через api делать, как только новое устройство, то скриптом создаётся vlan

Как я вижу:

1. Создаём бридж
2. Создается влан (110) на этот бридж или всё-таки создаём vlan на интерфейсе и потом бриджуем все вланы (вот тут затык что лучше) (навскидку не помню какие номера у служебных были, что-то 40хх).
3. Прописывается на vlan IP = всей подсети, например 10.10.10.0/24
3. Создается маршрут на IP абонента на этот влан, например 10.10.10.10/32 (по идее при dhcp-server он должен сам создаться)
4. Создается DHCP сервер на влане с пулом = одному адресу абонента и указанием статической записи ARP. Время аренды - 5 минут.

Это как я понял :)

Интерфейсы выдержит, на крайняк заменю на x86, лицензии есть :)

Re: VPU или IP unnumbered

Добавлено: 28 сен 2018, 11:16
Sir_Prikol
UPD - железо менять придётся, так как туда ещё сегодня fullview таблицы полезут как ipv4, так и ipv6 :) А это, на минуточку, порядка 700-800к записей :)

Re: VPU или IP unnumbered

Добавлено: 28 сен 2018, 11:53
Chupaka
Не совсем понял, зачем маршрут /32, если уже адрес /24 там висит.

Re: VPU или IP unnumbered

Добавлено: 28 сен 2018, 12:05
Sir_Prikol
Вот и я не совсем понимаю :) Но по логике - /32 изолирует и не даёт самому прописать чужой ip :) Хотя нахрен костыли городить, вечером оттестирую на 10 устройствах :)