обьедини все физические в port-channel, на него - влан, и на него - и внешники, и серые

и не надо ip unnumbered

фишка в том, что у нас ipoe + opt82 —> ипы клиентов известны, тут всё ок, от них grat.arp поблочить легко, НО - для новых клиентов используется ещё и guest подсеть, из которой доступна только страница активации при подключении

О, а расскажи про активацию - как оно у вас сделано?

Я если кто забыл мамонт - у нас вообще у всех статиками адреса прописываются ?

Вот думаю как и что сделать...Если делать :))

обьедини все физические в port-channel, на него - влан, и на него - и внешники, и серые

а так ты от аннамберед ушел, а проблема неработающего second dot1q осталась. Он когда работает с пппое any кушает, а если Ip, то не знает в какой влан отвечать и при ответе тег=0 О_о

Адрес выдал, бинд есть, а соответствие внутреннему влану просрал )

а так ты от аннамберед ушел, а проблема неработающего second dot1q осталась. Он когда работает с пппое any кушает, а если Ip, то не знает в какой влан отвечать и при ответе тег=0 О_о

ну с секонд dot1q да, у меня такой проблемы нет )

Этот маленький нюанс отделяет от построения сразу правильной конфигурации :)

О, а расскажи про активацию - как оно у вас сделано?

int vlan xxxx ip addr x.x.x.x/24 <- сеть с рабочими ипамы ip addr y.y.y.y/24 <- сеть с "неактивированными" если в opt82 прилетает неизвестный порт (без привязки), dhcp выдаёт ип из y.y.y.y/24 , а из этой сети DNS все запросы перенаправляет на один ип, на котором веб-сервер на все запросы отвечает заглушкой "введите логин и пароль"

ну и дальше уже веб-серверу известен логин и пароль, известны ип, свитч, порт на свитче - всё, что нужно для создания привязки

А, а логин с паролем монтажник выдает?

ну да, у монтага договор с собой

Угу. Это ты так порты собираешь?

давно уже всё собрано; это я так автоматически новых юзеров подключаю

нет необходимости что-то куда-то привязывать руками

В смысле цель - сделать связку логин-порт?

да

Угу

Спс

ну и вводит логин-пароль, выбирает тариф (или он уже есть в заявке), происходит магия, юзер ребутает комп, выдаётся ип уже из "рабочей" сети, на основе только что созданной привязки

блин, как бы чо бы придумать

Круть...

допустим, есть сеть 10.10.0.0/16 ; на dhcp в opt82 прилетает qnq метка — влан 4111.1234 как бы на основе 4111.1234 придумать алгоритм для постоянной выдачи единственного и неповторимого IP-адреса из 10.10/16? :)

гмгм

а

в ip2long, и тупо ip = long2ip( ip2long( 10.10.0.1) + (4111+1234) )

норм

теперь как бы ещё из этого исключить ипы .0, чтоб венды с ума не посходили, этож надо все смещения учесть ><

(бгг, нагочатик превратился в странные мысли вслух)

advanced kostyling :)

да да)

норм )

Насчет кразноглазых и задротов не знаю, а питерские линуксоиды на @spblug

Вот из-за этого народ тут завел отдельный чат по kernel и его внутренностям.

допустим, есть сеть 10.10.0.0/16 ; на dhcp в opt82 прилетает qnq метка — влан 4111.1234 как бы на основе 4111.1234 придумать алгоритм для постоянной выдачи единственного и неповторимого IP-адреса из 10.10/16? :)

никак, потому что 4096*4096>256*256 =)

гм

4096 + 4096

тогда же для одного svlan все ипы будут уникальны

не?

если +, тогда должны)

ох и костылинг

но походу что-то вырисовывается :D

/* если вам нужны адовые, но рабочие костыли, обращайтесь, нодорого :D */

/* если вам нужны адовые, но рабочие костыли, обращайтесь, нодорого :D */

да накостылить можно всё что угодно)))

мы вот как-то файловую систему поверх dns костылили

0_о

это как?

правда, если бы оно пошло в прод, то isp возненавидели нас

передача данных по udp/53?

это как?

нууу... 512 байт для udp без фрагментации. ок, отрежем заголовки итп. допустим, 384 байт мы можем своего payload.

т.е. полезного в блок фс, допустим, 320 байт. 1 блок - 1 запись (txt/srv whatever). имя записи - это какой-нибудь sha1.

ладно, не надо подробностей :D

но причем тут днс?)

т.е. днс нам предоставляет хранилище относительно коротких блоков

а

хы

дошло

в ip2long, и тупо ip = long2ip( ip2long( 10.10.0.1) + (4111+1234) )

и чем это будет отличаться от ip = long2ip( ip2long( 10.10.0.1) + (1234+4111) ) ? :)

т.к. все кладут на ttl, но придётся прикрутить версионирование

и чем это будет отличаться от ip = long2ip( ip2long( 10.10.0.1) + (1234+4111) ) ? :)

svlan разные, и подсети для них разные

а вторые 2 октета пусть будут одинаковыми, пох

функция то один и тот же адрес возвращает

ну в 10.10.0.1 - для разных svlan октеты "10.10." будут разными

т.к. все кладут на ttl, но придётся прикрутить версионирование

вы не вздумайте такое запускать :D

ну в 10.10.0.1 - для разных svlan октеты "10.10." будут разными

ясно

вы не вздумайте такое запускать :D

я ж сказал - isp на нас обидятся )) положить туда сотню мб - и привет. хотя, для малвари это весьма привлекательный концепт )

да

не то что запускать, рассказывать идею тоже не вздумайте :))

хотяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяя

идея

запуште в днсы какойнить экстремизм

и жалуйтесь в РКН

это будет смешно :)

ггг

ыыыы

?

фильтрация выйдет на новый уровень

можно даже проще

и жалуйтесь в РКН

Сильно))

в txt кусок экстремизма забить плейнтекстом

4096 + 4096

а ты не можешь использовать для vlan номера, которые можно использовать сразу же и для октетов 3 и 4, т.е. 2-254?

запуште в днсы какойнить экстремизм

суп из конопли в txt-записях? )

и можно жаловаться :)

а ты не можешь использовать для vlan номера, которые можно использовать сразу же и для октетов 3 и 4, т.е. 2-254?

для какого vlan? S или C?

суп из конопли в txt-записях? )

типа)

и для того и для того

ну

внешний 200, внутренний 100, IP 10.10.200.100

ты хочешь ограничить мне число и s-вланов, и c-вланов, мизерным числом 254? :)

смысл тогда в qinq?

шоп был же )

да, что-то не срастается)

а вы ipv6 в этой схеме никак не рассматриваете?

это следующий этап

сначала надо понять, что с ипв4 делать, а с ипв6 наверное я вообще повешусь %)

Может изначально выключить ipv4? ?

но хочется, да

ы

ну можно и рубильник в серверной выключить )