/31

newer
Приму хлам в подарок или за пиво :)

older
RE: [uanog] Re: RE: Неуправляемые...

Pavel Gulchouck

3 Nov 2006 3 Nov '06

8:32 a.m.

Hi! Какие есть грабли при использовании на eth-интерфейсе /31 вместо /30? Проверил на циске - работает, хотя и говорит % Warning: use /31 mask on non point-to-point interface cautiously Почему никто такое не использует? Или используют, просто я не сталкивался? Чем вызван warning? Описано ли это в rfc? Как ведут себя другие вендоры? -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Show replies by date

Dmitry Pryanishnikov

3 Nov 3 Nov

8:38 a.m.

Привет! On Fri, 3 Nov 2006, Pavel Gulchouck wrote:

...

Какие есть грабли при использовании на eth-интерфейсе /31 вместо /30?

И какой же при этом бродкаст-адрес получается, если их всего 2, и оба задействованы под юникаст?

...

Проверил на циске - работает, хотя и говорит % Warning: use /31 mask on non point-to-point interface cautiously

Почему никто такое не использует? Или используют, просто я не сталкивался? Чем вызван warning? Описано ли это в rfc? Как ведут себя другие вендоры?

Получается, на циске можно как-то отключить бродкасты на eth? Sincerely, Dmitry -- Atlantis ISP, System Administrator e-mail: dmitry@atlantis.dp.ua nic-hdl: LYNX-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Pavel Gulchouck

9:06 a.m.

Hi! On Fri, Nov 03, 2006 at 10:38:31AM +0200, Dmitry Pryanishnikov writes: DP> >Какие есть грабли при использовании на eth-интерфейсе /31 вместо /30? DP> DP> И какой же при этом бродкаст-адрес получается, если их всего 2, и оба DP> задействованы под юникаст? "Отправить всем" и "отправить удаленной стороне" для /31 становятся одинаковыми, и необходимость в отдельном броадкастовом IP отпадает. Это как eth-хаб на два порта - может быть без питания вообще. :) -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Dmitry Cherkasov

9:24 a.m.

03.11.06, Pavel Gulchouck написал(а):

...

Hi!

On Fri, Nov 03, 2006 at 10:38:31AM +0200, Dmitry Pryanishnikov writes: DP> >Какие есть грабли при использовании на eth-интерфейсе /31 вместо /30? DP> DP> И какой же при этом бродкаст-адрес получается, если их всего 2, и оба DP> задействованы под юникаст?

"Отправить всем" и "отправить удаленной стороне" для /31 становятся одинаковыми, и необходимость в отдельном броадкастовом IP отпадает.

Это ж в одну сторону. А в другую -- бродкаст будет показывать сам на себя, вроде..

...

Это как eth-хаб на два порта - может быть без питания вообще. :)

Прикольно. И шо, работает? Это ж какая экономия может быть, например, на клиентских подключениях.. -- Dmitry Cherkasov =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Michael Petuschak

9:51 a.m.

Hi Pavel,

...

Какие есть грабли при использовании на eth-интерфейсе /31 вместо /30?

А кстати, почему unnumbered не использовать? -- Michael Это твое заднее слово? =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Dmitry Pryanishnikov

9:55 a.m.

Привет! On Fri, 3 Nov 2006, Dmitry Cherkasov wrote:

...

...
одинаковыми, и необходимость в отдельном броадкастовом IP отпадает.

Это ж в одну сторону. А в другую -- бродкаст будет показывать сам на себя, вроде..

При бродкасте/мультикасте AFAIK передающая сторона тоже слышит свои пакеты. Получается, CISCO сделала опциональным само понятие бродкаста на ethernet? IMHO пока такое не узаконено RFC, нет смысла ждать имплементации от других вендоров.

...

...
Это как eth-хаб на два порта - может быть без питания вообще. :)

Прикольно. И шо, работает? Это ж какая экономия может быть, например, на клиентских подключениях..

В том то и дело, что, похоже, придется клиентам тоже циску ставить ;) Винда AFAIK не дает выставить маску 255.255.255.254 на интерфейсе. Фришка дает, но я не представляю себе, как таким линком пользоваться. Пусть с моей стороны, например, стоит 192.168.180.0/31, что делать с бродкастами? Если оставить умолчание 192.168.180.1, то в ARP-таблице для него MAC будет, как и положено, ff:ff:ff:ff:ff:ff - будет ли система с другой стороны нормально работать при этом? А если занулить: ifconfig myk1 inet 192.168.180.0/31 broadcast 0.0.0.0 естественно, не работает ARP. Шо так геморой, шо так. Или я неправ? Как CISCO решает проблему ARP на eth/31?

...

Dmitry Cherkasov

Sincerely, Dmitry -- Atlantis ISP, System Administrator e-mail: dmitry@atlantis.dp.ua nic-hdl: LYNX-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Andrew Stesin

10:03 a.m.

03.11.06, Dmitry Cherkasov написал(а):

...

Прикольно. И шо, работает? Это ж какая экономия может быть, например, на клиентских подключениях..

/31 imho это как метровый эээ... мужское достоинство штука несомненно впечатляющая, но практически неприменимая в быту для клиентских подключений goto PPPoE как тебе свежая мысль? ;) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Dmitry Cherkasov

10:11 a.m.

03.11.06, Andrew Stesin написал(а):

...

03.11.06, Dmitry Cherkasov написал(а):

...
Прикольно. И шо, работает? Это ж какая экономия может быть, например, на клиентских подключениях..

/31 imho это как метровый эээ... мужское достоинство

штука несомненно впечатляющая, но практически неприменимая в быту

для клиентских подключений goto PPPoE как тебе свежая мысль? ;)

свежесть бывает только первая, а здесь явно не тот случай ;-) на экономии адресов ценность PPPoE начинается и заканчивается. Имхо. -- Dmitry Cherkasov =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Andrew Stesin

10:26 a.m.

03.11.06, Dmitry Cherkasov написал(а):

...

...
для клиентских подключений goto PPPoE как тебе свежая мысль? ;) свежесть бывает только первая, а здесь явно не тот случай ;-) на экономии адресов ценность PPPoE начинается и заканчивается. Имхо.

почему же. оно а) работает и б) общеизвестно, стандартизовано, всеми-всеми производителями поддержано. это тоже очень ценные оба свойства. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Dmitry Cherkasov

11:17 a.m.

03.11.06, Andrew Stesin написал(а):

...

03.11.06, Dmitry Cherkasov написал(а):

...
...
для клиентских подключений goto PPPoE как тебе свежая мысль? ;) свежесть бывает только первая, а здесь явно не тот случай ;-) на экономии адресов ценность PPPoE начинается и заканчивается. Имхо.

почему же. оно а) работает и б) общеизвестно, стандартизовано, всеми-всеми производителями поддержано. это тоже очень ценные оба свойства.

угу. а дальше начинаем: - MTU (проблемы с большими пакетами) - CPU (PPPoE рутер типа 7301 и ниже загружается по самое по инкапсуляцией/декапсуляцией, т.е. нужно что-то с ASIC-реализацией, а это дороже) - Netflow accounting не знаю, как у кого, а мы в своем лабе не смогли добиться вменяемости на ряде иосов - с лицензиями там тоже что-то, AFAIR -- для большого количества (свыше 1К для 7301, например) докупать надо - с VRF много не покрутишь, а иногда надо. Поэтому, имхо лучшим решением есть ethernet + DHCP + DHCP accounting + DHCP-authorized ARP (почти что DHCP, DHCP и еще раз DHCP ;-)

...

=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

-- Dmitry Cherkasov =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Andrew Stesin

11:22 a.m.

...

- MTU (проблемы с большими пакетами)

... это не "с пакетами" а с головой и руками кое-у-кого

...

- CPU (PPPoE рутер типа 7301 и ниже загружается по самое по инкапсуляцией/декапсуляцией, т.е. нужно что-то с ASIC-реализацией, а это дороже)

это не аргумент

...

- Netflow accounting не знаю, как у кого, а мы в своем лабе не смогли добиться вменяемости на ряде иосов

вопрос к уважаемому вендору на букву "с" ;) а вообще - зачем нужна эта возня с нетфловом? может проще перестать заниматься дроче... ой я хотел сказать учетом трафика?

...

- с лицензиями там тоже что-то, AFAIR -- для большого количества (свыше 1К для 7301, например) докупать надо

надо, а что?

...

- с VRF много не покрутишь, а иногда надо.

"много покрутишь" это для лаба, а не для пром. эксплуатации...

...

Поэтому, имхо лучшим решением есть ethernet + DHCP + DHCP accounting + DHCP-authorized ARP (почти что DHCP, DHCP и еще раз DHCP ;-)

как ни крути, эзернет - это изначально технология _локальных_ сетей... =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Dmitry Cherkasov

11:23 a.m.

03.11.06, Dmitry Cherkasov написал(а):

...

03.11.06, Andrew Stesin написал(а):

...
03.11.06, Dmitry Cherkasov написал(а):

...
...
для клиентских подключений goto PPPoE как тебе свежая мысль? ;) свежесть бывает только первая, а здесь явно не тот случай ;-) на экономии адресов ценность PPPoE начинается и заканчивается. Имхо.

почему же. оно а) работает и б) общеизвестно, стандартизовано, всеми-всеми производителями поддержано. это тоже очень ценные оба свойства.

угу. а дальше начинаем: - MTU (проблемы с большими пакетами) - CPU (PPPoE рутер типа 7301 и ниже загружается по самое по инкапсуляцией/декапсуляцией, т.е. нужно что-то с ASIC-реализацией, а это дороже) - Netflow accounting не знаю, как у кого, а мы в своем лабе не смогли добиться вменяемости на ряде иосов - с лицензиями там тоже что-то, AFAIR -- для большого количества (свыше 1К для 7301, например) докупать надо - с VRF много не покрутишь, а иногда надо.

Поэтому, имхо лучшим решением есть ethernet + DHCP + DHCP accounting + DHCP-authorized ARP (почти что DHCP, DHCP и еще раз DHCP ;-)

тут, на самом деле, уже мухи с котлетами пошли. DHCP можно туда, где уже есть PPPoE и наоборот. А там, где /30, там может ни то, ни другое не подойти. /31 подошло бы, если бы работало ;-)

...

...
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

-- Dmitry Cherkasov

Dmitry Cherkasov

11:35 a.m.

03.11.06, Andrew Stesin написал(а):

...

...
- MTU (проблемы с большими пакетами)

... это не "с пакетами" а с головой и руками кое-у-кого

например, у тех, кто делает CPE фирмы Zyxel (это из того, что успел попробовать сам). Попробуй подключить клиента к себе по PPPoE, а потом попробуй через WAN интерфейс конфигурацию или прошивку на его CPE по FTP подгрузить/забрать. учить клиента правильно строить PPPoE на своем Win/Unix и строить через это VPN куда-нибудь -- не надо предлагать.

...

...
- CPU (PPPoE рутер типа 7301 и ниже загружается по самое по инкапсуляцией/декапсуляцией, т.е. нужно что-то с ASIC-реализацией, а это дороже)

это не аргумент

to whom how использовать старую 3640, которая лежит в шкафчике, или чего-то закупать?

...

...
- Netflow accounting не знаю, как у кого, а мы в своем лабе не смогли добиться вменяемости на ряде иосов

вопрос к уважаемому вендору на букву "с" ;) а вообще - зачем нужна эта возня с нетфловом? может проще перестать заниматься дроче... ой я хотел сказать учетом трафика?

во-первых, когда и как этот вендор ответит, а работать надо сейчас во-вторых, можно торговать сплошными анлимами, но при этом нижняя граница цены клиенту поднимется --> часть клиентов пройдет мимо. какой анлим можно продать за 50 грн.?

...

...
- с лицензиями там тоже что-то, AFAIR -- для большого количества (свыше 1К для 7301, например) докупать надо

надо, а что?

деньги. их иногда надо беречь ;-)

...

...
- с VRF много не покрутишь, а иногда надо.

"много покрутишь" это для лаба, а не для пром. эксплуатации...

иногда оч. удобно. например, отдельный врф с уменьшенным интернетом для неплательщиков.

...

...
Поэтому, имхо лучшим решением есть ethernet + DHCP + DHCP accounting + DHCP-authorized ARP (почти что DHCP, DHCP и еще раз DHCP ;-)

как ни крути, эзернет - это изначально технология _локальных_ сетей...

...была сейчас уже все относительно. -- Dmitry Cherkasov =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Alexandre Snarskii

11:41 a.m.

On Fri, Nov 03, 2006 at 10:32:31AM +0200, Pavel Gulchouck wrote:

...

Hi!

Какие есть грабли при использовании на eth-интерфейсе /31 вместо /30?

Проверил на циске - работает, хотя и говорит % Warning: use /31 mask on non point-to-point interface cautiously

Почему никто такое не использует? Или используют, просто я не сталкивался? Чем вызван warning? Описано ли это в rfc? Как ведут себя другие вендоры?

RFC3021, Using 31-Bit Prefixes on IPv4 Point-to-Point Links. Не все это поддерживают, но если с обоих сторон линка стоит нормальное оборудование и есть сильное желание сэкономить на адресах - почему бы и нет ? :) PS: на линках в сторону клиентов лучше не использовать. Клиент, как правило, про существование этого RFC не знает, и решает что ты ему мозги пудришь... :) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Dmitry Pryanishnikov

noon

Привет! On Fri, 3 Nov 2006, Alexandre Snarskii wrote:

...

RFC3021, Using 31-Bit Prefixes on IPv4 Point-to-Point Links. Клиент, как правило, про существование этого RFC не знает, и решает что ты ему мозги пудришь... :)

О, спасибо! Как показывает практика, не только клиент этого не знает ;) Sincerely, Dmitry -- Atlantis ISP, System Administrator e-mail: dmitry@atlantis.dp.ua nic-hdl: LYNX-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Alexandre Snarskii

12:09 p.m.

On Fri, Nov 03, 2006 at 01:17:01PM +0200, Dmitry Cherkasov wrote:

...

03.11.06, Andrew Stesin написал(а):

...
03.11.06, Dmitry Cherkasov написал(а):

...
...
для клиентских подключений goto PPPoE как тебе свежая мысль? ;) свежесть бывает только первая, а здесь явно не тот случай ;-) на экономии адресов ценность PPPoE начинается и заканчивается. Имхо.

почему же. оно а) работает и б) общеизвестно, стандартизовано, всеми-всеми производителями поддержано. это тоже очень ценные оба свойства.

угу. а дальше начинаем: - MTU (проблемы с большими пакетами)

ip tcp adjust-mss уже отменили ? :)

...

- CPU (PPPoE рутер типа 7301 и ниже загружается по самое по инкапсуляцией/декапсуляцией, т.е. нужно что-то с ASIC-реализацией, а это дороже)

encaps/decas давно вывели на cef-layer, то есть проц оно загружает не то, чтобы уж очень сильно.

...

- Netflow accounting не знаю, как у кого, а мы в своем лабе не смогли добиться вменяемости на ряде иосов

А нефиг пытаться использовать эту технологию :) Счетчики траффика прекрасно приходят в radius stop/interim packet'ах.

...

- с лицензиями там тоже что-то, AFAIR -- для большого количества (свыше 1К для 7301, например) докупать надо

GW033-312#show idb Maximum number of Software IDBs 20050. In use 825. То есть до 20050 на обычном ios'е оно должно потянуть :)

...

- с VRF много не покрутишь, а иногда надо.

Что значит "много не покрутишь" ? Кто-то мешает выдавать "ip vrf forwarding <NAME>" на этапе аутенификации ? :) (да, там есть одна тонкость, но - я ее за десять минут понял, не думаю, что у кого-то на это уйдет много больше времени).

...

Поэтому, имхо лучшим решением есть ethernet + DHCP + DHCP accounting + DHCP-authorized ARP (почти что DHCP, DHCP и еще раз DHCP ;-)

ja-ja, naturlish :) Клиенты уже разучились выставлять чужие mac-addres'а ? :) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Pavel Gulchouck

12:15 p.m.

On Fri, Nov 03, 2006 at 03:09:06PM +0300, Alexandre Snarskii writes: [...]

...

...
Поэтому, имхо лучшим решением есть ethernet + DHCP + DHCP accounting + DHCP-authorized ARP (почти что DHCP, DHCP и еще раз DHCP ;-)

AS> ja-ja, naturlish :) Клиенты уже разучились выставлять чужие mac-addres'а ? :) 802.1x? -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Maxim Tuliuk

1:57 p.m.

On Fri, Nov 03, 2006 at 13:22 +0200, Andrew Stesin wrote:

...

...
- CPU (PPPoE рутер типа 7301 и ниже загружается по самое по инкапсуляцией/декапсуляцией, т.е. нужно что-то с ASIC-реализацией, а это дороже)

это не аргумент

т.е. стоимость конечного решение не аргумент? :)

...

...
- Netflow accounting не знаю, как у кого, а мы в своем лабе не смогли добиться вменяемости на ряде иосов

вопрос к уважаемому вендору на букву "с" ;) а вообще - зачем нужна эта возня с нетфловом? может проще перестать заниматься дроче... ой я хотел сказать учетом трафика?

Потому что есть клиенты, которые спросят "откуда у них взялось в 3 раза больше трафика чем за предыдущий период" и если ответ их неудолетворят, то могут пойти в суд, а для чего нужны такие крайности, если "web-формочка с цыферками и временем" сразу решает все вопросы

...

...
- с VRF много не покрутишь, а иногда надо.

"много покрутишь" это для лаба, а не для пром. эксплуатации...

...
Поэтому, имхо лучшим решением есть ethernet + DHCP + DHCP accounting + DHCP-authorized ARP (почти что DHCP, DHCP и еще раз DHCP ;-)

как ни крути, эзернет - это изначально технология _локальных_ сетей...

... а "VoIP - телефония для бедных" - правильно? :) -- Maxim Tuliuk WWW: http://primats.org.ua/~mt/ ICQ: 21134222 Bike is the freedom of moving =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Andrew Stesin

2:05 p.m.

03.11.06, Maxim Tuliuk написал(а):

...

On Fri, Nov 03, 2006 at 13:22 +0200, Andrew Stesin wrote:

...
...
- CPU (PPPoE рутер типа 7301 и ниже загружается по самое по инкапсуляцией/декапсуляцией, т.е. нужно что-то с ASIC-реализацией, а это дороже)

это не аргумент

т.е. стоимость конечного решение не аргумент? :)

конечно, не аргумент. дешева рибка - погана юшка. ROI - вот аргумент

...

...
...
- Netflow accounting не знаю, как у кого, а мы в своем лабе не смогли добиться вменяемости на ряде иосов

вопрос к уважаемому вендору на букву "с" ;) а вообще - зачем нужна эта возня с нетфловом? может проще перестать заниматься дроче... ой я хотел сказать учетом трафика?

Потому что есть клиенты, которые спросят "откуда у них взялось в 3 раза больше трафика чем за предыдущий период" и если ответ их неудолетворят, то могут пойти в суд, а для чего нужны такие крайности, если "web-формочка с цыферками и временем" сразу решает все вопросы

почитай чего snar@ говорит, а он дело говорит ;)

...

...
как ни крути, эзернет - это изначально технология _локальных_ сетей...

... а "VoIP - телефония для бедных" - правильно? :)

бросьте, дружище, ваши фантазийные приписки. это ваши, именно ваши слова. не мои. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Dmitry Cherkasov

3:13 p.m.

03.11.06, Alexandre Snarskii написал(а):

...

On Fri, Nov 03, 2006 at 01:17:01PM +0200, Dmitry Cherkasov wrote:

...
03.11.06, Andrew Stesin написал(а):

...
03.11.06, Dmitry Cherkasov написал(а):

...
...
для клиентских подключений goto PPPoE как тебе свежая мысль? ;) свежесть бывает только первая, а здесь явно не тот случай ;-) на экономии адресов ценность PPPoE начинается и заканчивается. Имхо.

почему же. оно а) работает и б) общеизвестно, стандартизовано, всеми-всеми производителями поддержано. это тоже очень ценные оба свойства.

угу. а дальше начинаем: - MTU (проблемы с большими пакетами)

ip tcp adjust-mss уже отменили ? :)

не пробовал, честно скажу

...

...
- CPU (PPPoE рутер типа 7301 и ниже загружается по самое по инкапсуляцией/декапсуляцией, т.е. нужно что-то с ASIC-реализацией, а это дороже)

encaps/decas давно вывели на cef-layer, то есть проц оно загружает не то, чтобы уж очень сильно.

если пускать потоковое ТВ, тоже не сильно скажется?

...

...
- Netflow accounting не знаю, как у кого, а мы в своем лабе не смогли добиться вменяемости на ряде иосов

А нефиг пытаться использовать эту технологию :) Счетчики траффика прекрасно приходят в radius stop/interim packet'ах.

Не прекрасно. Теряется пакетов много. Плюс, если надо делить на мир и Украину (ну да, ну да, скоро это уйдет, но пока есть), то радиус не подходит.

...

...
- с лицензиями там тоже что-то, AFAIR -- для большого количества (свыше 1К для 7301, например) докупать надо

GW033-312#show idb

Maximum number of Software IDBs 20050. In use 825.

То есть до 20050 на обычном ios'е оно должно потянуть :)

я сам не проверял, в cisco-nsp как-то обсуждали

...

...
- с VRF много не покрутишь, а иногда надо.

Что значит "много не покрутишь" ? Кто-то мешает выдавать "ip vrf forwarding <NAME>" на этапе аутенификации ? :) (да, там есть одна тонкость, но - я ее за десять минут понял, не думаю, что у кого-то на это уйдет много больше времени).

может быть.

...

...
Поэтому, имхо лучшим решением есть ethernet + DHCP + DHCP accounting + DHCP-authorized ARP (почти что DHCP, DHCP и еще раз DHCP ;-)

ja-ja, naturlish :) Клиенты уже разучились выставлять чужие mac-addres'а ? :)

фильтр на нужный мак на порту подключения и пусть выставляют сколько угодно. в принципе, можно использовать опцию 82 DHCP для привязки к порту, но эффективно (т.е. так, чтоб можно было и авторизаваться по ней) это работает только на взрослых цисках. -- Dmitry Cherkasov =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Alexandre Snarskii

5:16 p.m.

On Fri, Nov 03, 2006 at 02:15:53PM +0200, Pavel Gulchouck wrote:

...

On Fri, Nov 03, 2006 at 03:09:06PM +0300, Alexandre Snarskii writes: [...]

...
...
Поэтому, имхо лучшим решением есть ethernet + DHCP + DHCP accounting + DHCP-authorized ARP (почти что DHCP, DHCP и еще раз DHCP ;-)

AS> ja-ja, naturlish :) Клиенты уже разучились выставлять чужие mac-addres'а ? :)

802.1x?

In multiple-hosts mode, you can attach multiple hosts to a single IEEE 802.1x-enabled port. Figure 9-3 shows IEEE 802.1x port-based authentication in a wireless LAN. In this mode, only one of the attached clients must be authorized for all clients to be granted network access. То есть - Вася аутенифицировался по 802.1x и этим фактом предоставил доступ так же Пете и Мише с Машей :) При этом Миша может использовать Машин mac, а Маша - Мишин, для того, чтобы ты потом хрен понял, кому из них выставлять счет за гигазы вареза... А если ты используешь 802.1x в single-host mode, то стоимость подключения каждого клиента больше или равна стоимости порта хорошего свитча... (порядка $50/клиент). А в этом случае уже проще не париться, и просто подключать каждого клиента в отдельный vlan... =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Alexandre Snarskii

5:25 p.m.

On Fri, Nov 03, 2006 at 05:13:21PM +0200, Dmitry Cherkasov wrote:

...

03.11.06, Alexandre Snarskii написал(а):

...
On Fri, Nov 03, 2006 at 01:17:01PM +0200, Dmitry Cherkasov wrote:

...
03.11.06, Andrew Stesin написал(а):

...
03.11.06, Dmitry Cherkasov написал(а):

...
...
для клиентских подключений goto PPPoE как тебе свежая мысль? ;) свежесть бывает только первая, а здесь явно не тот случай ;-) на экономии адресов ценность PPPoE начинается и заканчивается. Имхо.

почему же. оно а) работает и б) общеизвестно, стандартизовано, всеми-всеми производителями поддержано. это тоже очень ценные оба свойства.

угу. а дальше начинаем: - MTU (проблемы с большими пакетами)

ip tcp adjust-mss уже отменили ? :)

не пробовал, честно скажу

Попробуй, понравится ;)

...

...
...
- CPU (PPPoE рутер типа 7301 и ниже загружается по самое по инкапсуляцией/декапсуляцией, т.е. нужно что-то с ASIC-реализацией, а это дороже)

encaps/decas давно вывели на cef-layer, то есть проц оно загружает не то, чтобы уж очень сильно.

если пускать потоковое ТВ, тоже не сильно скажется?

А ТВ вообще нужно раздавать mvr'ом на edge switches :)

...

...
...
- Netflow accounting не знаю, как у кого, а мы в своем лабе не смогли добиться вменяемости на ряде иосов

А нефиг пытаться использовать эту технологию :) Счетчики траффика прекрасно приходят в radius stop/interim packet'ах.

Не прекрасно. Теряется пакетов много.

Не замечал :) Честно говоря, сложно потерять пакеты на интерфейсном счетчике...

...

Плюс, если надо делить на мир и Украину (ну да, ну да, скоро это уйдет, но пока есть), то радиус не подходит.

RTFM ISG. Я об этом уже писал. Да, есть недостаток, что оно работает только на 7301/7200/10k, но, 7301 по GPL стоит 18k$. То есть - на 2k пользователей затраты получаются порядка 9$ (прописью - девять долларов США, двести сорок рублей и тридцать одна копейка РФ, сорок пять гривен и сорок пять копеек Украины) на пользователя. Если потребуется купить broadband license на 16k users, то она по GPL стоит $5K, то есть (с учетом стоимости самой 7301) мы получаем $1.4375 на пользователя... Прописью - один доллар и сорок четыре цента США. А с учетом того, что скидку менее 20% от GPL сейчас не получает только совсем ленивый - они получаются еще дешевле :)

...

...
...
- с лицензиями там тоже что-то, AFAIR -- для большого количества (свыше 1К для 7301, например) докупать надо

GW033-312#show idb

Maximum number of Software IDBs 20050. In use 825.

То есть до 20050 на обычном ios'е оно должно потянуть :)

я сам не проверял, в cisco-nsp как-то обсуждали

"Я, конечно, Пастернака не читал, но осуждаю..." :) Устроить что-ли пользователям аварию, чтобы всех приняла одна 7301... :)

...

...
...
Поэтому, имхо лучшим решением есть ethernet + DHCP + DHCP accounting + DHCP-authorized ARP (почти что DHCP, DHCP и еще раз DHCP ;-)

ja-ja, naturlish :) Клиенты уже разучились выставлять чужие mac-addres'а ? :)

фильтр на нужный мак на порту подключения и пусть выставляют сколько угодно. в принципе, можно использовать опцию 82 DHCP для привязки к порту, но эффективно (т.е. так, чтоб можно было и авторизаваться по ней) это работает только на взрослых цисках.

Стоимость поддержки таких фильтров ты себе представляешь ? Я - представляю... Не, для себя, своей собаки, и еще десятка соседей по дому - это будет работать, даже более-менее хорошо работать. Но в продакшене - неприменимо. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Dmitry Cherkasov

5:36 p.m.

03.11.06, Dmitry Cherkasov написал(а):

...

03.11.06, Alexandre Snarskii написал(а):

...
On Fri, Nov 03, 2006 at 01:17:01PM +0200, Dmitry Cherkasov wrote:

...
03.11.06, Andrew Stesin написал(а):

...
03.11.06, Dmitry Cherkasov написал(а):

...
...
для клиентских подключений goto PPPoE как тебе свежая мысль? ;) свежесть бывает только первая, а здесь явно не тот случай ;-) на экономии адресов ценность PPPoE начинается и заканчивается. Имхо.

почему же. оно а) работает и б) общеизвестно, стандартизовано, всеми-всеми производителями поддержано. это тоже очень ценные оба свойства.

угу. а дальше начинаем: - MTU (проблемы с большими пакетами)

ip tcp adjust-mss уже отменили ? :)

не пробовал, честно скажу

кстати, и не попробую, ибо 1) работает только для 7600, а у меня другие 2) все равно костыль. ну, к модему по фтп я-то доступлюсь, а у клиента при попытке впн в мир (не часто, но регулярно такие встречаются) все равно полезут грабли

...

...
...
- CPU (PPPoE рутер типа 7301 и ниже загружается по самое по инкапсуляцией/декапсуляцией, т.е. нужно что-то с ASIC-реализацией, а это дороже)

encaps/decas давно вывели на cef-layer, то есть проц оно загружает не то, чтобы уж очень сильно.

если пускать потоковое ТВ, тоже не сильно скажется?

...
...
- Netflow accounting не знаю, как у кого, а мы в своем лабе не смогли добиться вменяемости на ряде иосов

А нефиг пытаться использовать эту технологию :) Счетчики траффика прекрасно приходят в radius stop/interim packet'ах.

Не прекрасно. Теряется пакетов много. Плюс, если надо делить на мир и Украину (ну да, ну да, скоро это уйдет, но пока есть), то радиус не подходит.

...
...
- с лицензиями там тоже что-то, AFAIR -- для большого количества (свыше 1К для 7301, например) докупать надо

GW033-312#show idb

Maximum number of Software IDBs 20050. In use 825.

То есть до 20050 на обычном ios'е оно должно потянуть :)

я сам не проверял, в cisco-nsp как-то обсуждали

3640#sh idb Maximum number of Software IDBs 800. In use 20. ... 7301#sh idb Maximum number of Software IDBs 10000. In use 349. ну т.е. должно хватать

...

...
...
- с VRF много не покрутишь, а иногда надо.

Что значит "много не покрутишь" ? Кто-то мешает выдавать "ip vrf forwarding <NAME>" на этапе аутенификации ? :) (да, там есть одна тонкость, но - я ее за десять минут понял, не думаю, что у кого-то на это уйдет много больше времени).

может быть.

...
...
Поэтому, имхо лучшим решением есть ethernet + DHCP + DHCP accounting + DHCP-authorized ARP (почти что DHCP, DHCP и еще раз DHCP ;-)

ja-ja, naturlish :) Клиенты уже разучились выставлять чужие mac-addres'а ? :)

фильтр на нужный мак на порту подключения и пусть выставляют сколько угодно. в принципе, можно использовать опцию 82 DHCP для привязки к порту, но эффективно (т.е. так, чтоб можно было и авторизаваться по ней) это работает только на взрослых цисках.

Sergey Kovalenko

5:49 p.m.

Dmitry Cherkasov wrote:

...

кстати, и не попробую, ибо 1) работает только для 7600, а у меня другие Вообще-то, есть целая куча CPE-шек (в т.ч. недорогие), которые умеют исполнять эту фичу.

-- Best wishes, Sergey Kovalenko GTU network engineer =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Alexandre Snarskii

6:05 p.m.

On Fri, Nov 03, 2006 at 07:36:49PM +0200, Dmitry Cherkasov wrote:

...

...
...
...
...
...
> для клиентских подключений goto PPPoE как тебе свежая мысль? ;) свежесть бывает только первая, а здесь явно не тот случай ;-) на экономии адресов ценность PPPoE начинается и заканчивается. Имхо.

почему же. оно а) работает и б) общеизвестно, стандартизовано, всеми-всеми производителями поддержано. это тоже очень ценные оба свойства.

угу. а дальше начинаем: - MTU (проблемы с большими пакетами)

ip tcp adjust-mss уже отменили ? :)

не пробовал, честно скажу

кстати, и не попробую, ибо 1) работает только для 7600, а у меня другие

У меня эта команда стоит по всей ферме, в том числе на доисторических 7120.. А на 7600 нормального PPPoE (без MWAM) вообще не бывает...

...

2) все равно костыль. ну, к модему по фтп я-то доступлюсь, а у клиента при попытке впн в мир (не часто, но регулярно такие встречаются) все равно полезут грабли

Если с той стороны стоит жесткий firewall, который фильтрует в том числе icmp unreachable/fragmentation required but DF set - да, будут. Но тут, извините, админ этого firewall'а сам себе злобный буратина.. В остальных случаях - нет, не будут. PS: пользователей у нас много, разнообразных. Таких ситуаций мне саппорт не сдавал. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Dmitry Cherkasov

6:46 p.m.

03.11.06, Alexandre Snarskii написал(а):

...

On Fri, Nov 03, 2006 at 05:13:21PM +0200, Dmitry Cherkasov wrote:

...
03.11.06, Alexandre Snarskii написал(а):

...
On Fri, Nov 03, 2006 at 01:17:01PM +0200, Dmitry Cherkasov wrote:

...
03.11.06, Andrew Stesin написал(а):

...
03.11.06, Dmitry Cherkasov написал(а):

...
> для клиентских подключений goto PPPoE как тебе свежая мысль? ;) свежесть бывает только первая, а здесь явно не тот случай ;-) на экономии адресов ценность PPPoE начинается и заканчивается. Имхо.

почему же. оно а) работает и б) общеизвестно, стандартизовано, всеми-всеми производителями поддержано. это тоже очень ценные оба свойства.

угу. а дальше начинаем: - MTU (проблемы с большими пакетами)

ip tcp adjust-mss уже отменили ? :)

не пробовал, честно скажу

Попробуй, понравится ;)

уже написал, не судьба пока ;-)

...

...
...
...
- CPU (PPPoE рутер типа 7301 и ниже загружается по самое по инкапсуляцией/декапсуляцией, т.е. нужно что-то с ASIC-реализацией, а это дороже)

encaps/decas давно вывели на cef-layer, то есть проц оно загружает не то, чтобы уж очень сильно.

если пускать потоковое ТВ, тоже не сильно скажется?

А ТВ вообще нужно раздавать mvr'ом на edge switches :)

возможно. не самый лучший пример.

...

...
...
...
- Netflow accounting не знаю, как у кого, а мы в своем лабе не смогли добиться вменяемости на ряде иосов

А нефиг пытаться использовать эту технологию :) Счетчики траффика прекрасно приходят в radius stop/interim packet'ах.

Не прекрасно. Теряется пакетов много.

Не замечал :) Честно говоря, сложно потерять пакеты на интерфейсном счетчике...

На интерфейсном счетчике, наверное, не теряется. А до аккаунтингового сервера пакет не доходит. Наблюдается на диалапе, наблюдали и при макетировании PPPoE. О причинах можно подискутировать, только UDP -- он и в Африке UDP.

...

...
Плюс, если надо делить на мир и Украину (ну да, ну да, скоро это уйдет, но пока есть), то радиус не подходит.

RTFM ISG. Я об этом уже писал.

RTFM ISG уже сделан, спасибо докладам Вовы Литовки на семинарах ;-) Только пока дороговато. Масштаб нужен на уровне тысяч -- десятков тысяч пользователей. Для надежности их еще желательно парочку в параллель поставить.

...

Да, есть недостаток, что оно работает только на 7301/7200/10k, но, 7301 по GPL стоит 18k$. То есть - на 2k пользователей затраты получаются порядка 9$ (прописью - девять долларов США, двести сорок рублей и тридцать одна копейка РФ, сорок пять гривен и сорок пять копеек Украины) на пользователя. Если потребуется купить broadband license на 16k users, то она по GPL стоит $5K, то есть (с учетом стоимости самой 7301) мы получаем $1.4375 на пользователя... Прописью - один доллар и сорок четыре цента США. А с учетом того, что скидку менее 20% от GPL сейчас не получает только совсем ленивый - они получаются еще дешевле :)

Так и планируется, на самом деле. Просто момент еще не настал ;-)

...

...
...
...
- с лицензиями там тоже что-то, AFAIR -- для большого количества (свыше 1К для 7301, например) докупать надо

GW033-312#show idb

Maximum number of Software IDBs 20050. In use 825.

То есть до 20050 на обычном ios'е оно должно потянуть :)

я сам не проверял, в cisco-nsp как-то обсуждали

"Я, конечно, Пастернака не читал, но осуждаю..." :)

Устроить что-ли пользователям аварию, чтобы всех приняла одна 7301... :)

...
...
...
Поэтому, имхо лучшим решением есть ethernet + DHCP + DHCP accounting + DHCP-authorized ARP (почти что DHCP, DHCP и еще раз DHCP ;-)

ja-ja, naturlish :) Клиенты уже разучились выставлять чужие mac-addres'а ? :)

фильтр на нужный мак на порту подключения и пусть выставляют сколько угодно. в принципе, можно использовать опцию 82 DHCP для привязки к порту, но эффективно (т.е. так, чтоб можно было и авторизаваться по ней) это работает только на взрослых цисках.

Стоимость поддержки таких фильтров ты себе представляешь ? Я - представляю...

Не, для себя, своей собаки, и еще десятка соседей по дому - это будет работать, даже более-менее хорошо работать. Но в продакшене - неприменимо.

Один раз мак прописывается при подключении, в будущем возможна правка при смене CPE (что происходит не часто). В чем проблема? Речь об ADSL. -- Dmitry Cherkasov =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Dmitry Cherkasov

6:56 p.m.

03.11.06, Alexandre Snarskii написал(а):

...

On Fri, Nov 03, 2006 at 07:36:49PM +0200, Dmitry Cherkasov wrote:

...
...
...
...
...
> > для клиентских подключений goto PPPoE как тебе свежая мысль? ;) > свежесть бывает только первая, а здесь явно не тот случай ;-) > на экономии адресов ценность PPPoE начинается и заканчивается. Имхо.

почему же. оно а) работает и б) общеизвестно, стандартизовано, всеми-всеми производителями поддержано. это тоже очень ценные оба свойства.

угу. а дальше начинаем: - MTU (проблемы с большими пакетами)

ip tcp adjust-mss уже отменили ? :)

не пробовал, честно скажу

кстати, и не попробую, ибо 1) работает только для 7600, а у меня другие

У меня эта команда стоит по всей ферме, в том числе на доисторических 7120.. А на 7600 нормального PPPoE (без MWAM) вообще не бывает...

я по feature navigator смотрел. реально таки да, есть.

...

...
2) все равно костыль. ну, к модему по фтп я-то доступлюсь, а у клиента при попытке впн в мир (не часто, но регулярно такие встречаются) все равно полезут грабли

Если с той стороны стоит жесткий firewall, который фильтрует в том числе icmp unreachable/fragmentation required but DF set - да, будут. Но тут, извините, админ этого firewall'а сам себе злобный буратина.. В остальных случаях - нет, не будут.

PS: пользователей у нас много, разнообразных. Таких ситуаций мне саппорт не сдавал.

Т.е., ты таки считаешь, что PPPoE все же перспективно? ;-) -- Dmitry Cherkasov =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Dmitry Cherkasov

7:09 p.m.

03.11.06, Sergey Kovalenko написал(а):

...

Dmitry Cherkasov wrote:

...
кстати, и не попробую, ибо 1) работает только для 7600, а у меня другие Вообще-то, есть целая куча CPE-шек (в т.ч. недорогие), которые умеют исполнять эту фичу.

Назови какие-нибудь? Мне действительно интересно, а-то правильно построить запрос в гугль в пятницу вечером мозг не способен ;-) -- Dmitry Cherkasov =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Michael Petuschak

4 Nov 4 Nov

8:35 a.m.

Hi Dmitry,

...

Т.е., ты таки считаешь, что PPPoE все же перспективно? ;-)

Вообще-то, по моему, опыту случаи выдачи /30х p2p на DSL единичны. Как писал один известный специалист по реакторам, "Во всём мире никто так не работает". -- Michael ...и молодая не узнает, какой у паpня был CONNECT... =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Dmitry Cherkasov

11:09 a.m.

04.11.06, Michael Petuschak написал(а):

...

Hi Dmitry,

...
Т.е., ты таки считаешь, что PPPoE все же перспективно? ;-)

Вообще-то, по моему, опыту случаи выдачи /30х p2p на DSL единичны. Как писал один известный специалист по реакторам, "Во всём мире никто так не работает".

Это то, что я имел в виду, когда написал, что тут уже смешались мухи и котлеты. Конечно же на массовом DSL надо выдавать из расчета 1 адрес в руки. Только это может быть либо PPPoE, либо обычная сетка /<сколько-то>. /30 выдается избранным ;-) -- Dmitry Cherkasov =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Vladimir Garnick

5:56 p.m.

Alexandre Snarskii wrote:

...

On Fri, Nov 03, 2006 at 07:36:49PM +0200, Dmitry Cherkasov wrote:

...
2) все равно костыль. ну, к модему по фтп я-то доступлюсь, а у клиента при попытке впн в мир (не часто, но регулярно такие встречаются) все равно полезут грабли

Если с той стороны стоит жесткий firewall, который фильтрует в том числе icmp unreachable/fragmentation required but DF set - да, будут. Но тут, извините, админ этого firewall'а сам себе злобный буратина.. В остальных случаях - нет, не будут.

Это с точки зрения ISP - "админ злобный буратина". Но, во-первых, такие firewall'ы могут стоять не у самого пользователя, а, к примеру, в головной конторе куда строится VPN, где никто ничего менять не будет. Во-вторых, у пользователя может быть канал от другого ISP, на котором все работает (MTU 1500), и ему сложно рассказать, почему там работает, а здесь нет. В таких случаях пользователь обычно предпочитает сменить ISP, а не уволить кривого админа. Наблюдал подобную ситуацию в одном из банков. Конечно, речь не идет о домашних сетях на неуправляемых свичах с клиентскими платежами в $5-10/мес, там всяким PPPoE/PPPtP/etc обычно нет альтернатив. P.S. Ссылка по теме http://www.certification.ru/cgi-bin/forum.cgi?action=thread&id=22205 -- Vladimir N. Garnick [nic-hdl: VG-RIPE, VG-UANIC] =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Michael Petuschak

9:53 p.m.

Hi Vladimir,

...

P.S. Ссылка по теме http://www.certification.ru/cgi-bin/forum.cgi?action=thread&id=22205

Очень милая цитата: "Если вы умеет пользоваться Ethereal'ом (www.ethereal.com), читать RFC (www.ietf.org) и понимаете чем PPTP-версия GRE (расширенная) отличается от простого GRE (www.cisco.com) - то D-Link вполне нормальная и достаточно простая в эксплуатации железка для домашней сети. Почти plug-and-play." :) -- Michael Червяка мутило от слов "рыболов-спортсмен". =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Sergey Kovalenko

5 Nov 5 Nov

12:38 p.m.

Я не занимаюсь CPE-шками, поэтому едва ли смогу привести здесь более менее исчерпывающий список. И того, что осталось в памяти - весьма древние Ericsson HM210/HM230. Точно знаю, что есть и в CPE от Dynamics, Zyxel, Paradyne, но конкретные модели, увы, не знаю. -- Best wishes, Sergey Kovalenko GTU network engineer Dmitry Cherkasov wrote:

...

03.11.06, Sergey Kovalenko написал(а):

...
Dmitry Cherkasov wrote:

...
кстати, и не попробую, ибо 1) работает только для 7600, а у меня другие Вообще-то, есть целая куча CPE-шек (в т.ч. недорогие), которые умеют исполнять эту фичу.

Назови какие-нибудь? Мне действительно интересно, а-то правильно построить запрос в гугль в пятницу вечером мозг не способен ;-) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

6528

Age (days ago)

6530

Last active (days ago)

List overview

Download

32 comments

9 participants

participants (9)

Alexandre Snarskii
Andrew Stesin
Dmitry Cherkasov
Dmitry Pryanishnikov
Maxim Tuliuk
Michael Petuschak
Pavel Gulchouck
Sergey Kovalenko
Vladimir Garnick

/31

Pavel Gulchouck

Dmitry Pryanishnikov

Pavel Gulchouck

Michael Petuschak

Dmitry Pryanishnikov

Alexandre Snarskii

Dmitry Pryanishnikov

Alexandre Snarskii

Pavel Gulchouck

Alexandre Snarskii

Alexandre Snarskii

Sergey Kovalenko

Alexandre Snarskii

Michael Petuschak

Vladimir Garnick

Michael Petuschak

Sergey Kovalenko

tags

participants (9)