Um router de borda - Vários routers internos - PPPoE e IPs válidos

[arturportella]

Saudações a todos do Under-Linux.org, acho que já estava na hora de criar uma conta aqui e começar a participar, sempre busquei sanar minhas dúvidas e acabei que não compartilhando diversas soluções. Mas vamos lá...

Atualmente tenho um ISP com diversos clientes atrás de NAT. O grande problema disso tudo é a falta de controle sobre as conexões. Vamos migrar TUDO para PPPoE e deixar de utilizar bridges na nossa infraestrutura. Até aí sem novidades.

O problema é que vamos alocar mais um bloco de IPs válidos para serem distribuídos de forma dinâmica entre nossos clientes. A pergunta é a seguinte:

- Servidor de borda dos clientes RB1100ahX2
- Servidores de condomínios com NAT - Modelos diversos de RB (433ah, 750gl, 2100, etc)
- Infraestrutura dos condomínios totalmente em bridge

Até aí tudo bem. O servidor de borda dos clientes de condomínio receberia um determinado bloco (um /21 por exemplo) e faria a alocação dinâmica desses clientes conforme for solicitado a autenticação no radius. Ok.

Porém, atualmente cada condomínio está com uma RouterBoard com um IP válido e possui uma NAT do lado dos clientes. Cada servidor faz seu próprio controle de banda independente com mac/ip. Quero mudar isso, alocando um end. de IP válido desse bloco que será disponibilizado para esse servidor, mas alocar DENTRO de um servidor de condomínio de forma dinâmica e que o controle de banda seja feito DENTRO do servidor do condomínio, para evitar que o roteador de borda faça todo o trabalho (servidor radius, controle de banda e roteamento). Atualmente com uma infra com mais de 1000 clientes conectados em uma só RB seria demasiadamente desastroso em questão de desempenho alocar tudo isso autenticando num roteador centralizado. A idéia é dividir o processamento de controle de banda entre as RB's e alocar dinamicamente o endereço de acordo com a disponibilidade do Router que está na borda. Como devo proceder?

Abraços!

[naldo864]

voce tem que ter um autenticador radius que faça isto para voce como myauth ,vigo ,mkauth etc ,ai voce configura suas rbs para checar os parametros de velocidade e acesso do cliente pelo radius no servidor de autenticação .
a parte de roteamento ai sim fica a conta do mikrotik e as rbs ,fazendo assim todo controle de banda e distribuição de ips sai das costas da sua rb principal .
voce pode tambem para facilitar configurar um ip valido em cada rb autenticadora e usar o radius para autenticar em seu servidor de autenticação radius ok.

[klabundee]

Saudações a todos do Under-Linux.org, acho que já estava na hora de criar uma conta aqui e começar a participar, sempre busquei sanar minhas dúvidas e acabei que não compartilhando diversas soluções. Mas vamos lá...

Atualmente tenho um ISP com diversos clientes atrás de NAT. O grande problema disso tudo é a falta de controle sobre as conexões. Vamos migrar TUDO para PPPoE e deixar de utilizar bridges na nossa infraestrutura. Até aí sem novidades.

O problema é que vamos alocar mais um bloco de IPs válidos para serem distribuídos de forma dinâmica entre nossos clientes. A pergunta é a seguinte:

- Servidor de borda dos clientes RB1100ahX2
- Servidores de condomínios com NAT - Modelos diversos de RB (433ah, 750gl, 2100, etc)
- Infraestrutura dos condomínios totalmente em bridge

Até aí tudo bem. O servidor de borda dos clientes de condomínio receberia um determinado bloco (um /21 por exemplo) e faria a alocação dinâmica desses clientes conforme for solicitado a autenticação no radius. Ok.

Porém, atualmente cada condomínio está com uma RouterBoard com um IP válido e possui uma NAT do lado dos clientes. Cada servidor faz seu próprio controle de banda independente com mac/ip. Quero mudar isso, alocando um end. de IP válido desse bloco que será disponibilizado para esse servidor, mas alocar DENTRO de um servidor de condomínio de forma dinâmica e que o controle de banda seja feito DENTRO do servidor do condomínio, para evitar que o roteador de borda faça todo o trabalho (servidor radius, controle de banda e roteamento). Atualmente com uma infra com mais de 1000 clientes conectados em uma só RB seria demasiadamente desastroso em questão de desempenho alocar tudo isso autenticando num roteador centralizado. A idéia é dividir o processamento de controle de banda entre as RB's e alocar dinamicamente o endereço de acordo com a disponibilidade do Router que está na borda. Como devo proceder?

Abraços!

Pega um bom sistema de gerencia e faz um OSPF entre tua borda e teus Mikrotik que vão concentrar os PPPoE (Pode ser nos condomínios).
Use uma POOL de ip inteira, não precisa ficar fazendo rota estática nem quebrar esse bloco.
O Radius vai distribuir e usar esse bloco todo em qualquer lugar.
O OSPF se encarrega das rotas.

Quando um cliente do condomínio A desligar seu roteador onde conecta o PPPoE o Radius vai ficar sabendo que aquele IP está livre e vai usar ele em qualquer outro condomínio.

Funciona muito bem.
Mas cuidado com quedas de energia, faça uma boa elétrica nesses pontos, se um concentrador parar do nada.. pode ser que o Radius fique com esses ips que estavam ali sendo usados travados até o timeout.

Att.

[arturportella]

Pega um bom sistema de gerencia e faz um OSPF entre tua borda e teus Mikrotik que vão concentrar os PPPoE (Pode ser nos condomínios).
Use uma POOL de ip inteira, não precisa ficar fazendo rota estática nem quebrar esse bloco.
O Radius vai distribuir e usar esse bloco todo em qualquer lugar.
O OSPF se encarrega das rotas.

Quando um cliente do condomínio A desligar seu roteador onde conecta o PPPoE o Radius vai ficar sabendo que aquele IP está livre e vai usar ele em qualquer outro condomínio.

Funciona muito bem.
Mas cuidado com quedas de energia, faça uma boa elétrica nesses pontos, se um concentrador parar do nada.. pode ser que o Radius fique com esses ips que estavam ali sendo usados travados até o timeout.

Att.

Isso iria fazer com que o controle de banda seja realizado por cada routerboard independente?

[klabundee]

Isso iria fazer com que o controle de banda seja realizado por cada routerboard independente?

Onde o cliente logar, se você deixar os clientes estabelecendo o PPPoE em um servidor em cada condomínio..
Cada condomínio faz o controle de banda dos seus clientes..

[arturportella]

OK! Mas uma dúvida é a seguinte... É possível fazer OSPF nesse cenário que tenho?



Na lógica o R2 (Router condomínios) teria que ter uma ospf com cada router mikrotik de condomínio. Cada router mikrotik atualmente possui um IP público e o cliente fica com um ip privado dentro da NAT. Mas a REDE inteira é bridge. Por onde começar?



Ooooobrigado!

[klabundee]

OK! Mas uma dúvida é a seguinte... É possível fazer OSPF nesse cenário que tenho?



Na lógica o R2 (Router condomínios) teria que ter uma ospf com cada router mikrotik de condomínio. Cada router mikrotik atualmente possui um IP público e o cliente fica com um ip privado dentro da NAT. Mas a REDE inteira é bridge. Por onde começar?



Ooooobrigado!

Bom dia,
como sua rede é bridge.. pode estabelecer o OSPF entre a borda e os concentradores dos condomínios e também entre os condomínios, assim eles distribuem diretamente as rotas e você tem somente um salto para qualquer IP da sua rede.

então..
OSPF:

Borda -> Cond.1
Borda -> Cond.2
Borda -> Cond.3
...
Borda -> Cond.X

E em cada Condomínio:

Cond.1 -> Cond.2
Cond.1 -> Cond.3
...
Cond.1 -> Cond.X

E crie filtros onde distribua somente rotas conectadas e que sejam da sua faixa de IP válido.
Assim, se no Condomínio 1 um usuário estabelecer conexão PPPoE e receber o IP: 1.1.1.1 o roteador do Cond.1 vai informar aos outros Condomínios e a sua borda que esse IP 1.1.1.1 está lá atrás dele.

Eu não tive boa experiencia usando Broadcast e NBMA, o que funcionou legal foi PTMP.

Se quiser posso te dar uma ajuda pelo skype e depois você posta aqui pro pessoal o resultado e compartilha com todos.

Skype: fklabunde