fox_m Posted January 12, 2016 · Report post Всем привет. Интересует следующий вопрос. На всех физических интерфейсах внутри AS используются "серые" ip адреса. В сети сосуществуют между собой EIGRP и BGP. Через EIGRP расходятся по сети loopback адреса для настройки сессий BGP. Все работает. Но при трасировке "белого" ip адреса из внешней AS, в ответе traceroute появляются мои "серые" ip адреса, что в общем логично. Вопрос, как быть: 1. Оставить все как есть 2. Перейти на глобальную адресацию внутри сети 3. Может есть какие-то средства? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted January 12, 2016 · Report post а чем вам мешают серые хопы? как по мне ничего "криминального", особенно в условиях нехватки IPv4 более чем приемлимо Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
cvb Posted January 12, 2016 · Report post Ещё один довод переходить на IPv6 :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fox_m Posted January 12, 2016 · Report post а чем вам мешают серые хопы? как по мне ничего "криминального", особенно в условиях нехватки IPv4 более чем приемлимо Да даже не знаю. Насколько это с точки зрения безопасности приемлемо? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mikezzzz Posted January 12, 2016 · Report post тоже не вижу ничего плохого, мегафон, видимо, тоже ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
orlik Posted January 12, 2016 · Report post Всем привет. Интересует следующий вопрос. На всех физических интерфейсах внутри AS используются "серые" ip адреса. В сети сосуществуют между собой EIGRP и BGP. Через EIGRP расходятся по сети loopback адреса для настройки сессий BGP. Все работает. Но при трасировке "белого" ip адреса из внешней AS, в ответе traceroute появляются мои "серые" ip адреса, что в общем логично. Вопрос, как быть: 1. Оставить все как есть 2. Перейти на глобальную адресацию внутри сети 3. Может есть какие-то средства? Под другим я вижу только no-propagate-ttl Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fox_m Posted January 12, 2016 · Report post тоже не вижу ничего плохого, мегафон, видимо, тоже ) Да, у коллег и МФ такое часто встречается. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mixae1 Posted January 12, 2016 · Report post 3. Может есть какие-то средства? Завести белый loopback и назначить его ответственным за ответ, если конечно железка так может. Вообще ничего криминального в серых адресах нет, единственное неудобство обратное имя, наверное, не резолвится. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fox_m Posted January 12, 2016 · Report post 3. Может есть какие-то средства? Завести белый loopback и назначить его ответственным за ответ, если конечно железка так может. Вообще ничего криминального в серых адресах нет, единственное неудобство обратное имя, наверное, не резолвится. Такой loopback есть. Интересно, cisco умеет такое делать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Megas Posted January 12, 2016 (edited) · Report post а по jun напомните как это делается, чтобы ответ шел с loopback? Edited January 12, 2016 by Megas Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted January 12, 2016 · Report post Всем привет. Интересует следующий вопрос. На всех физических интерфейсах внутри AS используются "серые" ip адреса. В сети сосуществуют между собой EIGRP и BGP. Через EIGRP расходятся по сети loopback адреса для настройки сессий BGP. Все работает. Но при трасировке "белого" ip адреса из внешней AS, в ответе traceroute появляются мои "серые" ip адреса, что в общем логично. Вопрос, как быть: 1. Оставить все как есть 2. Перейти на глобальную адресацию внутри сети 3. Может есть какие-то средства? Пункт 2. Маршрутизация через серые сети влияет на окна TCP. Визуально это выглядит, как медленная скорость загрузки-аплоуда в однопоточном режиме. Ну и не забыть про внедрение Ipv6. Дойче Телеком в свое время было дешевле построить опорную сеть на IPv6. Подозреваю, что крупные операторы в Европе (Orange, Free.fr, OVH) уже перешли на магистраль в IPv6. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted January 12, 2016 · Report post Всем привет. Интересует следующий вопрос. На всех физических интерфейсах внутри AS используются "серые" ip адреса. В сети сосуществуют между собой EIGRP и BGP. Через EIGRP расходятся по сети loopback адреса для настройки сессий BGP. Все работает. Но при трасировке "белого" ip адреса из внешней AS, в ответе traceroute появляются мои "серые" ip адреса, что в общем логично. Вопрос, как быть: 1. Оставить все как есть 2. Перейти на глобальную адресацию внутри сети 3. Может есть какие-то средства? Пункт 2. Маршрутизация через серые сети влияет на окна TCP. Визуально это выглядит, как медленная скорость загрузки-аплоуда в однопоточном режиме. Ну и не забыть про внедрение Ipv6. Дойче Телеком в свое время было дешевле построить опорную сеть на IPv6. Подозреваю, что крупные операторы в Европе (Orange, Free.fr, OVH) уже перешли на магистраль в IPv6. ска, какой-то поток сознания Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted January 12, 2016 · Report post Всем привет. Интересует следующий вопрос. На всех физических интерфейсах внутри AS используются "серые" ip адреса. В сети сосуществуют между собой EIGRP и BGP. Через EIGRP расходятся по сети loopback адреса для настройки сессий BGP. Все работает. Но при трасировке "белого" ip адреса из внешней AS, в ответе traceroute появляются мои "серые" ip адреса, что в общем логично. Вопрос, как быть: 1. Оставить все как есть 2. Перейти на глобальную адресацию внутри сети 3. Может есть какие-то средства? Пункт 2. Маршрутизация через серые сети влияет на окна TCP. Визуально это выглядит, как медленная скорость загрузки-аплоуда в однопоточном режиме. Ну и не забыть про внедрение Ipv6. Дойче Телеком в свое время было дешевле построить опорную сеть на IPv6. Подозреваю, что крупные операторы в Европе (Orange, Free.fr, OVH) уже перешли на магистраль в IPv6. После такого можно смело удалять аккаунт с нага. Я чуть не блеванул увидев это позорище Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tehmeh Posted January 13, 2016 · Report post С точки зрения безопасности - ничего страшного, даже наоборот, как минимум никто по ssh/telnet/snmp на эти маршрутизаторы не попадет. Правилом хорошего тона считается фильтровать или echo на эти адреса, или echo-reply с них, чтобы скрывать такие хопы. Но серые адреса на P-t-P линках нарушают RFC 1918. Если кто-то фильтрует SRC IP на входе в сеть с таких адресов, как минимум, может не работать Path MTU discovery, и такие адреса у них будут выпадать из traceroute. Вот, например, здоровская нить на эту тему http://www.gossamer-threads.com/lists/cisco/nsp/26987 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted January 13, 2016 · Report post Влад11 или пьян был, или троллил, или кто-то угнал аккаунт. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted January 13, 2016 · Report post Влад11 или пьян был, или троллил, или кто-то угнал аккаунт. Да нет, он часто чушь несет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted January 13, 2016 · Report post Не замечал. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdntw Posted January 13, 2016 · Report post Маршрутизация через серые сети влияет на окна TCP ясно Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fox_m Posted January 13, 2016 · Report post Всем привет. Интересует следующий вопрос. На всех физических интерфейсах внутри AS используются "серые" ip адреса. В сети сосуществуют между собой EIGRP и BGP. Через EIGRP расходятся по сети loopback адреса для настройки сессий BGP. Все работает. Но при трасировке "белого" ip адреса из внешней AS, в ответе traceroute появляются мои "серые" ip адреса, что в общем логично. Вопрос, как быть: 1. Оставить все как есть 2. Перейти на глобальную адресацию внутри сети 3. Может есть какие-то средства? Пункт 2. Маршрутизация через серые сети влияет на окна TCP. Визуально это выглядит, как медленная скорость загрузки-аплоуда в однопоточном режиме. Ну и не забыть про внедрение Ipv6. Дойче Телеком в свое время было дешевле построить опорную сеть на IPv6. Подозреваю, что крупные операторы в Европе (Orange, Free.fr, OVH) уже перешли на магистраль в IPv6. Это как?! Причем тут серые ip и окно tcp?! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dmvy Posted January 13, 2016 · Report post Если есть на железе MPLS, то сделать mpls next-hop. Тогда L3 коммутация будет только на LER и только они будут светиться в трейсе. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
uxcr Posted January 13, 2016 · Report post Это как?! Причем тут серые ip и окно tcp?! path mtu discovery похоже имеется в виду, потенциально большинство tcp-соединений будут устанавливаться с минимальным mtu. Для фряхи это например net.inet.tcp.mssdflt (дефолт 536). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted January 13, 2016 (edited) · Report post похоже это актуально с оборудованием использующем мту отличное от 1500 т.е. проблемы с тунелями только могут возникнуть смотрю у себя ваершакром хожу через один серый хоп - иду к хосту, к которому нужно пройти ещё два серых хопа внутри его сети - мсс 1460 для винды - Typically, an end system uses the "outgoing interface MTU" minus 40 as its reported MSS но ниразу не видел проблем "медленный однопоточный аплоад" однопоточные тесты типо спидтеста показывают скорость (если шейпер вырубить) на скорости порта на гепоне через ону прокачивается порядка 700 мегабит с учетом двух серых хопов так что ИМХО сломаный PMTU в мире с MTU=1500 не актуально, а кому надо - сам на тунелях MSS поправит поэтому считаю бредом то что говорит влад11 Edited January 13, 2016 by GrandPr1de Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fox_m Posted January 13, 2016 · Report post похоже это актуально с оборудованием использующем мту отличное от 1500 т.е. проблемы с тунелями только могут возникнуть смотрю у себя ваершакром хожу через один серый хоп - иду к хосту, к которому нужно пройти ещё два серых хопа внутри его сети - мсс 1460 для винды - Typically, an end system uses the "outgoing interface MTU" minus 40 as its reported MSS но ниразу не видел проблем "медленный однопоточный аплоад" однопоточные тесты типо спидтеста показывают скорость (если шейпер вырубить) на скорости порта на гепоне через ону прокачивается порядка 700 мегабит с учетом двух серых хопов так что ИМХО сломаный PMTU в мире с MTU=1500 не актуально, а кому надо - сам на тунелях MSS поправит поэтому считаю бредом то что говорит влад11 Да, походу так и есть. Если у оператора на сети везде MTU=1500, то опасаться наверно нечего. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dr Tr0jan Posted January 13, 2016 · Report post Хм, даже RFC 6752 (Issues with Private IP Addressing in the Internet) на эту тему есть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted January 13, 2016 · Report post похоже это актуально с оборудованием использующем мту отличное от 1500 т.е. проблемы с тунелями только могут возникнуть смотрю у себя ваершакром хожу через один серый хоп - иду к хосту, к которому нужно пройти ещё два серых хопа внутри его сети - мсс 1460 для винды - Typically, an end system uses the "outgoing interface MTU" minus 40 as its reported MSS но ниразу не видел проблем "медленный однопоточный аплоад" однопоточные тесты типо спидтеста показывают скорость (если шейпер вырубить) на скорости порта на гепоне через ону прокачивается порядка 700 мегабит с учетом двух серых хопов так что ИМХО сломаный PMTU в мире с MTU=1500 не актуально, а кому надо - сам на тунелях MSS поправит поэтому считаю бредом то что говорит влад11 Да, походу так и есть. Если у оператора на сети везде MTU=1500, то опасаться наверно нечего. мне очень сложно представить в 201х году мту меньше чем 1500 на промежуточном оборудовании Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...