VPU или IP unnumbered

RIP, OSFP, BGP, MPLS/VPLS
Ответить
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

VPU или IP unnumbered

Сообщение Sir_Prikol »

Доброго времени суток.

Ткните мордой в мануал, где нормально описано создание vlan per user на микротах. Что-то я мысль потерял, в голове схема есть, в реалии без мануала положить всю сеть неохота.

З.Ы. Хочу эксперимент с адекватным изолированием клиентов, хоть они сейчас и поднимаются по vpn, но риск остаётся :)
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: VPU или IP unnumbered

Сообщение Chupaka »

Доброго.

А о каком количестве клиентов речь? Роутер столько интерфейсов выдержит? :)

Ближе всего по идеологии к IP unnumbered вариант с созданием VLAN'ов и навешиванием на них адресов вида "/ip address add interface=userVLAN112 address=192.168.0.1/32 network=192.168.x.y", где x.y - адрес клиента. Там ещё начнутся игры с proxy-arp, в общем, костыльная схема получается :)

Вариант изолирования проще и понятнее - создать кучу VLAN'ов, добавить все в бридж с одинаковым значением Horizon - и на бридж навесить адрес роутера. С одного VLAN'а в другой в рамках бриджа трафик ходить не будет. Даже при большом желании :)

Если же надо разрешить что-то, а остальное запретить - тогда обычный бридж, и уже фильтром бриджа решать, кому куда в рамках бриджа можно или нельзя.
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: VPU или IP unnumbered

Сообщение Sir_Prikol »

Берём маленькую схему - 300 клиентов
утрированно 1 uplink, 5 LAN
За каждым LAN тупой свитч (чтоб не прописывать теги на портах)
Клиентский - микроб типа maplite
Главная задача чтоб клиент просто воткнулся в порт и получил интернет, а для этого, как я понимаю, мне надо изначально создать толпу интерфейсов, ну или через api делать, как только новое устройство, то скриптом создаётся vlan

Как я вижу:

1. Создаём бридж
2. Создается влан (110) на этот бридж или всё-таки создаём vlan на интерфейсе и потом бриджуем все вланы (вот тут затык что лучше) (навскидку не помню какие номера у служебных были, что-то 40хх).
3. Прописывается на vlan IP = всей подсети, например 10.10.10.0/24
3. Создается маршрут на IP абонента на этот влан, например 10.10.10.10/32 (по идее при dhcp-server он должен сам создаться)
4. Создается DHCP сервер на влане с пулом = одному адресу абонента и указанием статической записи ARP. Время аренды - 5 минут.

Это как я понял :)

Интерфейсы выдержит, на крайняк заменю на x86, лицензии есть :)
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: VPU или IP unnumbered

Сообщение Sir_Prikol »

UPD - железо менять придётся, так как туда ещё сегодня fullview таблицы полезут как ipv4, так и ipv6 :) А это, на минуточку, порядка 700-800к записей :)
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: VPU или IP unnumbered

Сообщение Chupaka »

Не совсем понял, зачем маршрут /32, если уже адрес /24 там висит.
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: VPU или IP unnumbered

Сообщение Sir_Prikol »

Вот и я не совсем понимаю :) Но по логике - /32 изолирует и не даёт самому прописать чужой ip :) Хотя нахрен костыли городить, вечером оттестирую на 10 устройствах :)
Дома: CCR2004 (7-ISP(GPON)белый IP)
Ответить