圣者
精华
|
战斗力 鹅
|
回帖 0
注册时间 2008-9-16
|
本帖最后由 Gato_shin 于 2018-1-13 17:34 编辑
LZ家住魔都,这个应该很多人都知道的。LZ家之前用的电信100/4(免费升10一年)到期了,电信打电话来问要不要升级,问了下价格200/20和500/20价格差不太多,尤其是500/20年付减免一个月,算下来一年差几十块,果断上了500/20。然后这就成了折腾的起因。折腾的内容充斥着各种犯傻和早知道,估计给各位CCIE看了就是小孩子过家家,但对个外行而言还是苦乐参半的,写出来给大家图个乐。文字较多,没兴趣的请直接右上或者CTRL+W,谢谢。
先上图简单描述一下LZ家之前的网络结构和设备构成吧:
猫:电信给的一体路由猫,网络(路由模式)+VoIP+IPTV,已经改了桥接模式,VoIP不受影响,IPTV暂时是废的(后详)。
路由:优倍快(Ubnt)ERL-3(Edge Router Lite-3),三端口纯有线路由。
主交换机:网件M4100-26G部分三层网管机,26千兆电口+4千兆光口(和最后四个电口共用端口号)。
级联交换机:网件GS108T二层网管机,8口千兆。
AP:优倍快(Ubnt)UAP-AC-Lite *2,坑货当初不知道这货是非标PoE,早知道就买Pro了。
其中:
猫、路由、主交换和NAS一起放在客厅的网络柜里,一体机在旁边;
级联交换机在书房,通过一组两条千兆链路聚合上联至主交换;
自家用全都跑在Native Untagged的Vlan1上,Vlan21是给访客网络用的,特意走到自己常用的Mac上方便确认工作状况;
有线部分除了监控用的Mac外没有Vlan21端口,无线分两路SSID,访客进Vlan21,自家用WPA-Enterprise进Vlan1,认证通过NAS上的Radiusd做。
接下来从100M升到了500M,跑测速时候就觉得不太对,怎么只能勉强跑到300?不过家里干扰因素太多,就也没急着跟电信搞,反正上行有20了,下行差那点也不是啥大事。但这么个事儿是记下了。
然后想法就多了,琢磨着怎么把Vlan再多玩出点花样出来,想再掰个管理Vlan出来,把设备管理端口和平常家里用隔离开啥的,那么好说干就干,找了个周末就开干了。
然而这就是地狱的开始(笑)。
一通瞎设之后,全家都分不到IP了(笑炸)……
嘛,算了,正好借这个机会直接电脑接猫测个速,一跑还是300,这下没啥话说了,打电信电话报修不提。
等电信攻城狮上门时候开始重新设置,管理Vlan保留在Untagged的Vlan1上,日常划了个Vlan11,照旧搭好之后跑个测速看看……
傻了。
从Vlan跑测速最多跑到150,连300都跑不到。既然直连猫能到300,内网传输能跑满千兆,看来问题多半是出在路由上了,开着状态监控再跑,发现问题了:Wan2Lan跑满带宽时候,路由CPU负载峰值60%平均30%-40%;但到了Wan2Vlan,跑到150时候CPU就炸了,直接满载,速度也就被卡在这了。
这时候攻城狮也来了,来回测试好多遍,用我的电脑、他的电脑,换他的猫,换千兆测试账号,跑下来都是300,认定线路有问题,回报局端处理,然后扔下句等通知人就走了。然后大概俩小时后电话通知过来说改好了。
速度这事儿有定论了,管理Vlan分离又遇到了困难,一家上有老下有小等着用网,算了先照原样改回去吧,只能暂时作罢。
但人一旦折腾心起来了,不弄出点啥肯定是不开心的。
前面不是说IPTV暂时废着么,魔都的IPTV印象中应该是三代,最老的不受桥接影响,接到IPTV口上就能用;新一点的(小红)和最新的(4K)都需要路由模式,改桥接就不能认证,自然也没法用了。电信送了我家两个4K的,拿回来一直没用扔在那。
隔壁臭哄哄论坛有个CCIE用路由上的第三方固件实现Vlan穿透让IPTV在桥接模式下重新工作的帖子,然后我认真想了一下,我有网管机啊,Vlan好像并不一定需要穿透路由啊,反正只要到得了IPTV盒子就行,那么绕开路由只要在去IPTV那里再合回去就是了。
于是重新研读臭哄哄那个帖子,发现帖子里也有人提出过用网管机绕开路由的解决方案,不过给出的结构图多半是单臂路由通过Vlan区隔Wan和Lan的。趴地上想了一下应该是因为那边都是用的8口交换机,没那么多口可浪费,而且带宽大概也不很高单条千兆隔Vlan也没啥影响。但我家已经500,回头讲不定千兆降价了上千兆那单臂肯定带宽要炸,而且主交换上口多不怕,于是就决定从猫额外拉一根线,从猫上的IPTV口到主交换。
然而事情显然并不只是这么简单,光有Vlan就能干活的那是老古董标清IPTV,4K还有额外的小动作。按照那位CCIE的总结和楼里其他人的补充,IPTV的工作流程是这样的:
先从Untagged线路获取IP;
如果在Untagged线路获取IP时得到了一个特殊的DHCP响应(Option 125)的话,就尝试去Vlan85获取IPTV专网的IP;
如果前面两步都成功,就开始进行身份认证(应该是基于设备的);
认证通过,开始使用。
原理研究明白了,就先接线吧。先用TelecomAdmin账号进猫里确认了一下,IPTV口上绑了一个Vlan85没错,还有一个组播Vlan51,按臭哄哄的说法好像Vlan51没有也没关系的样子,不过稳妥起见还是接过去了。
然后就是那个Option 125的问题了。虽然按照那边的说法,多了这个Option应该对普通的设备不会产生影响,但出于稳妥起见我决定单独给IPTV的数据线路分个Vlan11,Option只通过这个Vlan的DHCPD进行下发。
不过臭哄哄那边那位用的是DDWRT,基本除了响应内容外都没法借鉴,只能自己去网上找优倍快上的相关资料试实现方法,生生从下午搞到晚上,又是搞端口镜像又是抓包分析,才终于让IPTV获取到这个响应。之后就一帆风顺拿到Vlan85专网IP,认证通过可以播放了。
但是又有蛋疼问题来了,客厅电视上原来接的东方有线,后面只留了一个网口被天猫魔盒霸占了,于是无奈只好又加了个简单网管机在这里,用的是网件GS108e。全部接好以后的网络结构变成了下面这个样子:
嗯,不错,算是大体折腾出个结果了。但是Wan2Vlan这个性能瓶颈总归是个事儿卡在那让人很是不爽。我趴在地上想了又想,突然想起来,我的主交换机特么是三层啊,有Routing啊,可以把Vlan Routing都做掉,交到路由的数据包都是Untagged的话,那路由的CPU不就不会爆炸了么……
于是再开一个Vlan6开始试验,就在设置完了新的Vlan6,在路由那边设置回包路由设置的时候,在角落里发现了一个选项:Vlan Offload。
WTF?这特么是啥,赶紧一查,好像是Vlan转发的硬加速,默认居然是Disabled……难怪Wan2Vlan转发CPU要炸,淦他娘的优倍快居然默认没把这个选项打开……
那特么还废话啥,赶快打开啊。打开之后,Wan2Lan、Wan2Vlan、Wan2VlanRouting分别测速,CPU负载没有明显区别,都是峰值50%-60%,平均30%-40%这样了,Wan2VlanRouting时候主交换的CPU占用也不过20%出头。
此刻我的心头一万匹草泥马奔过。
旱时旱死,涝时涝死。之前全是问题,现在突然发现全不是问题。接下来这Vlan怎么隔离我估计还得再想想,但至少路算是探明白怎么都能走了。
于是今天的报告先暂且到这里吧,附上臭哄哄的帖子>>链接<<以及优倍快路由的电信IPTV设置方式以供各位筒子参考。
通过Config Tree进行设置:
service
dhcp-server
为global-parameters项添加两段值
- option option-55 code 55 = array of unsigned integer 16;
- option option-125 code 125 = string;
service
dhcp-server
shared-network-name
IPTV(这一层是你自己给IPTV设定的DHCP服务项名字)
subnet
10.0.0.0/24(这一层是你自己给IPTV设定的网段)
为subnet-parameters项添加两段值
- option option-55 3,6,58,59,125;
- option option-125 00:00:00:00:14:02:06:48:47:57:2d:43:54:0a:02:20:00:0b:02:00:55:0d:02:00:2e;
感谢大家捧场。
欢迎讨论,谢绝批评,说我是神经病我会当作表扬欣然接受的。
|
评分
-
查看全部评分
|
沪公网安备 31010702007642号 )
发表于 2018-1-13 17:16
发表于 2018-1-13 21:12
