BiTel

несколько дней прикидывал как раздать в сети dhcp оптимальным способом.
входные данные
- 80 сектров(БС базовая станция) mikrotik
- 1500 абонентских комплектов mikrotik sxt lite /lgh/disk по 30 на сектор
- vlan mgmt
- vlan access

общая схема

bgp-------------L3---------несколько bras accel-ppp---------несколько L2----------несколько БС----------------------много АК



Если привязывать к устройству абонента на сервисе , то нужно добавить все АК как шлюз. Не вариант.
Можно привязывать сектора на сервисе , но при добавлении либо перемещении абонента нужно будет менять параметры на сервисе. Не вариант.
Может возможно создать папку с секторами(не пробовал). Но эта информация мне ненужна.

Текущая схема.

1. на AK включен dhcp relay , dhcp запрос уходит по vlan mgmt до bras.
2. bras получает запрос и из пакета берет адрес giaddr(ip addr АК) , подставляя его в качестве username и передает его в БГ по radius.
3. БГ возвращает адрес из пула , днс,скорость. (нужно еще network и gw , но пока не сделал.)
4. accel создает ipoeN интерфейс
5. accounting также через radius,
5.1 в информации по сессии есть ip/mac абонента/bras
PoD и CoA пока не работает.

пока не соображу как передать из BG в accel-ppp
attr-dhcp-router-ip=атрибут
Указывает в каком радиус атрибуте передаётся ип адрес маршрутизатора (актуально только для DHCP).
attr-dhcp-mask=атрибут
Указывает в каком радиус атрибуте передаётся маска сети (актуально только для DHCP).

Указывать макрос для получения параметров из IP-ресурса
параметра Шлюз:
radius.realm.default.attributes.macros=Router-Ip=$ipGate
любого параметра конфигурации:
radius.realm.default.attributes.macros=Router-Ip=$ipParam(routerIp)


Или для получения параметра из агентского устройства, если параметры зависят от него (устройства между accel и абонентом):
radius.realm.default.attributes.macros=Router-Ip=$param($agentDevice,routerIp,0.0.0.0)
В этом случае нужно, чтобы по пакету определялось агентское устройство.

https://docs.bitel.ru/pages/viewpage.ac ... 597961#id-Процессорru.bitel.bgbilling.modules.inet.radius.InetRadiusProcessor-Атрибутыреалма

Навернулась вся схема. accel-ppp слушает dhcp только в vlan абонента.

в vlan mgmt указан в interface акцеля?
shared какой стоит?

да указан
interface=eth0.340
interface=eth0.2
shared=1

перед тем как поднимать dhcp в билинге настроил на isc dhcp


что хотел реализовать.

с адреcа 192.168.242.209 dhcp_relay opt82 прилетает запрос на dhcp сервер 192.168.0.18 , если mac совпадает с agent.circuit-id
то выдаем адрес .

для того чтобы lease приходили не на unicast адрес прописал option dhcp-server-identifier 0.0.0.0


local-address 192.168.0.18;
option subnet-mask 255.255.255.0;
default-lease-time 300;

max-lease-time 3600;
option dhcp-server-identifier 0.0.0.0;
log-facility local7;
#ddns-update-style ad-hoc;
#stash-agent-option;

if exists agent.circuit-id
{

log ( info, concat( "Lease for ", binary-to-ascii (10, 8, ".", leased-address),
" raw option-82 info is CID: ", binary-to-ascii (16, 8, ":", option agent.circuit-id), " AID: ",
binary-to-ascii(16, 8, ":", option agent.remote-id)));
}

shared-network ISP {

subnet 10.1.1.0 netmask 255.255.255.0 {
option broadcast-address 255.255.255.255;
# option broadcast-address 10.1.1.255;
option subnet-mask 255.255.255.0;
option routers 10.1.1.1;



class "192.168.242.209" {

match if binary-to-ascii (16, 8, ":", option agent.circuit-id) = "6c:3b:6b:d1:a3:59";
} # Circuit-ID


pool {
range 10.1.1.5;
allow members of "192.168.242.209";
}


}


subnet 192.168.242.0 netmask 255.255.255.0 {
}

subnet 192.168.0.0 netmask 255.255.255.0 {
}


}



как это перенести в bg ?

Ха ! Я уже 4 года на БЖБ не могу перевести вот такую конструкцию:


Никто из разработчиков даже вникнуть не пытается....

_________________
"Все правые - в резерве!" (c) (translate.google.ru/#en/ru/all%20rigths%20reserved)

задел за больное .
мне нужно раздать адреса по circuitid,как я думаю.

В ХД? У меня сейчас там безумный запрос и разрабы пытаются понять.

Увы нам , увы... незабвенный Zavndw! ( кстати большое спасибо за корректные системд-юниты, любезно предоставленные Вами в вики).
к сожалению попытки уже были и в ХД и здесь на форуме.

После долгих и трагических для моей психики игрищ с ДХЦП-сервером из БЖБ я пришёл к выводу что этот сервер фундаментально не умеет две так нужные для многих вещи:
1. Не умеет отдавать статическую подсеть в влан юзера, основываясь только на имени свитча-релея и влане юзера.
2. Не умеет отдавать любой ип просто в влан юзера без всяких opt82.

Решение архитектурной проблемы всякими мелкими заплатками в ХД суть оголтелое костыление и неэстетичный шабаш.
Мне проще всё это оставить на isc-dhcd, чем долго и нудно объяснять зачем это надо и что я хочу.
Не у всех в головах ещё устаканилась мысль , что у юзера в квартире уже стало обыденностью наличие кучи ип-ов и закреплённый за клиентским договором статический ( пусть даже "серый" ип-префикс ) - залог быстрого и лёгкого ответа на некоторые запросы определённых лиц без поднятия истории сессий.

_________________
"Все правые - в резерве!" (c) (translate.google.ru/#en/ru/all%20rigths%20reserved)

а как связываете внешний dhcp и БГ ?
p.s. глупый вопрос, а зачем выдаете подсеть ? inet + iptv ?

По-топорному просто: БЖБ нечего не знает о isc-dhcpd , а isc-dhcpd ничего не знает о БЖБ.
Допустим у нас есть N вланов на каждого юзера по влану.

Схема сети - смешенная звёздно-гирляндная с зоопарком моделей и прошивок свитчей на агрегации и на доступе. Эти свитчи ничего не знают о dhcp-relay и знать не должны.
opt-82 вствляет один-единственный свитч на всю сеть, включённый одним единственным портом , развиланеным на все вланы юзеров + один влан в котором слушает isc-dhcpd ( этот же влан- управляющий для этого свитча).
Допустим в влане 100 живёт сеть 10.129.0.0/29 ( 10.129.0.1 - адрес шлюза . 10.129.0.2 - 10.129.0.6 - ипы на клиентских устройствах.).
В влане 101 будет жить сеть 10.129.0.8/29 ( 10.129.0.9 - адрес шлюза . 10.129.0.10 - 10.129.0.14 - ипы на клиентских устройствах.)
В влане 102 будет жить сеть 10.129.0.16/29 ( 10.129.0.17 - адрес шлюза . 10.129.0.18 - 10.129.0.22 - ипы на клиентских устройствах.)
и т.д..
Все вланы терминируются на микротиках по 256 вланов на один 1100AHx2 ( ипы клиентских шлюзов стоят на них).
В принципе это роли не играет. Просто терминаторы вланов в виде микротиков выбраны из того грустного факта что люди в нашем саппорте более-менее научились ёрзать мышью по винбоксам и как огня боятся командной строки линуксов.
Файрволл на микротиках сконфигурён так ,что при закрытых инет-сервисах в договорах клиентов им можно ходить куда-угодно, кроме собственно большого инета (т.е ип клиенту выдаётся всегда , выдаётся один и тот-же и не зависит от состояния его инет.сервиса).

Теперь самое плохое , что заставляет меня всё время делать робкие попытки мигрировать всё это дело на БЖБ :

В ресурсах ип-адресов модуля инет приходится делать два списка :
-основной , содержащий записи вида :
10.129.0.0 - 10.129.0.0
10.129.0.8 -10.129.0.8
10.129.0.16 -10.129.0.16
и т.д. с шагом 8
-дочерний вида:
10.129.0.2 - 10.129.0.6
10.129.0.10 - 10.129.0.14
10.129.0.18 - 10.129.0.22
и т.д. с шагом 4

Т.е. сколько юзеров - столько и записей в этих 2-х списках. Руками набивать долго ! .Один раз я сделал это для всех потенциальных юзеров в начале бытия и больше к счастью этим делом заниматься никому не надо, но для новых инсталляций это конечно может привратиться в кошмар!

Основной список нужен для того чтобы в основной инет-сервис договора добавлять ип-адрес клиента и его влан , чтобы на микроте исполнялись правила :


А дочерний список нужен для того, чтобы к основному инет-сервису прибавить дочерний, ведь именно по ип-ам из этого списка идёт переобсчёт сессий по нетфлоу , идущих с бордеров на BGInetAccounting-сервер.

Так же в основной инет-сервис клиента добавляются инерфейс ( порт свитча доступа , в который воткнут клиент ) и индификатор ( ип свитча доступа клиента ).Но они нужны только в целях инвентаризации , чтобы определить куда воткнут клиент и не принимают никакого участия в управлении.

Cписки VLAN ресурсов содержат к счастью только одну запись :от vlan_min до vlan_max.
ЗЫ:
Есть наверное и вторая причина :
Конечно инициализация сессий при таком способе - по трафику из Netflow а не по сигналу , как это имеет место в случае использования БЖБ-DHCP , т.е создаются псевдосессии.
Кто-то когда то на этом фоуме поведал мне потаенную мысль, что псевдосессии хуже чем обычные ( правда не объяснил почему).
Может это действительно плохо, но у нас такая схема в работе с БЖБ 5.2 и ничего плохого мы пока не замечали...

_________________
"Все правые - в резерве!" (c) (translate.google.ru/#en/ru/all%20rigths%20reserved)