Jump to content

Раздать белые IP через L3

Skyrider
 Share

Recommended Posts

Skyrider

Skyrider

Posted
Posted

Есть две площадки в разных ДЦ, на каждой стоит сisco 3750, которые объеденены в L3 кольцо(OSPF), за цисками стоят серваки с различными сервисами.

 

На первой площадке провайдер дает сеть /29 с белыми ip. Эта сеть принимается в отдельный влан 100, и в нем же висят серваки одной сетевухой (забирают белые IP).

 

Нужно парочку ip сдать в аренду клиенту на второй площадке. Тянуть 100 влан до второй площадки не хочу, т.к. не будет отказоустойчивости и есть вероятность, что клиент будет снифать трафик, что выходит с наших серверов.

 

Каким образом лучше "прокинуть" эти ip до клиента?

 

Есть вариант поставить на первой площадке цисковский роутер и сделать snat.

 

Вообщем интересует нормальная реализация с заделом на будущее.

P.S. Как данная функция организрвана у крупных провайдеров?

rdntw

rdntw

Posted
Posted

Уже думал про это, но нужен потом l2vpn что-бы прокинуть влан с этим ip, а у меня только L3 кольцо...

прибейте там же шлюз, но анонсите по /32 которые дали клиентам

Saab95

Saab95

Posted
Posted

Включаете на влане 100 прокси-арп, настраиваете OSPF, вешаете IP адреса на нужном интерфейсе второй площадки и предоставляете их абоненту.

 

Например вам дают сеть 11.22.33.1/29, вам нужно выдать адреса 2 и 3 на второй площадке. На второй вешаете на интерфейс адрес 11.22.33.1, а нетворк указываете 11.22.33.2 и так же делаете еще одну копию настроек, адрес такой же 11.22.33.1 а нетворк 11.22.33.3. Соответственно абонент прописывает у себя в настройках адрес 11.22.33.2, маску /29 и шлюз 11.22.33.1. Он сможет получить доступ в интернет с этих адресов. Если нужно что бы он имел доступ и на другие IP адреса этой подсети, то включаете прокси арп и на второй площадке.

 

Если на второй площадке так же есть выход в интернет, то нужно завернуть правилами трафик по этим адресам на первую площадку.

 

На микротике такая задача легко решается.

 

А между площадками нет L2?

 

L2 - устаревшая технология.

 

Уже думал про это, но нужен потом l2vpn что-бы прокинуть влан с этим ip, а у меня только L3 кольцо...

 

Поверх L3 можно прокинуть все, что угодно.

rz3dwy

rz3dwy

Posted
Posted

L2 - устаревшая технология.

 

Браво, Антон! Вчера вы меня вечером развлекали про главный роутер, сегодня про устаревание L2. Спасибо за настроение ))))))

Skyrider

Skyrider

Posted
  • Author
Posted

А между площадками нет L2?

 

Пока есть, но в планах отказаться(оsfp через SVI пока поднято). Да и нет желания городить отказоустойчивость через stp.

 

прибейте там же шлюз, но анонсите по /32 которые дали клиентам

 

А можно по подробнее?

 

... а нетворк указываете 11.22.33.2 ...

 

Это что-то специфичное для микротиков?

rz3dwy

rz3dwy

Posted
Posted

Пока есть, но в планах отказаться(оsfp через SVI пока поднято). Да и нет желания городить отказоустойчивость через stp

Давайте спрошу по-другому. Вы можете несколько vlan пустить между вашими площадками или только один?

Saab95

Saab95

Posted
Posted

Это что-то специфичное для микротиков?

 

Вообще тут ходит мнение что циска круче микротика и все умеет, странно, что возник вопрос как адреса пробросить. На L3 сети таких проблем не возникает. Описанный мною способ самый оптимальный для этой цели.

dmvy

dmvy

Posted
Posted

L2 - устаревшая технология.

 

Браво, Антон! Вчера вы меня вечером развлекали про главный роутер, сегодня про устаревание L2. Спасибо за настроение ))))))

еще кусочек жести:

http://forum.nag.ru/forum/index.php?showtopic=114377&view=findpost&p=1257916

При этом мультикаст является устаревшей технологией

rz3dwy

rz3dwy

Posted
Posted (edited)

Да, могу.

Тогда в чем проблема? Используйте ip unnumbered.

 

1.1.1.1/30 - адрес аплинка

1.1.1.2/30 - ваш адрес

 

Выделенная вам подсеть 2.2.2.0/29

 

interface Vlan1000

description "Inet from Uplink"

ip vrf forwarding Inet

ip address 1.1.1.2 255.255.255.252

 

interface Loopback0

ip vrf forwarding Inet

ip address 2.2.2.1 255.255.255.248

 

interface Vlan1502

description "Inet_2"

ip vrf forwarding Inet

ip unnumbered Loopback0

!

interface Vlan1503

description "Inet_3"

ip vrf forwarding Inet

ip unnumbered Loopback0

 

 

ip route 0.0.0.0 0.0.0.0 1.1.1.1

ip route vrf Inet 2.2.2.2 255.255.255.255 Vlan1502 2.2.2.2

ip route vrf Inet 2.2.2.3 255.255.255.255 Vlan1503 2.2.2.3

 

 

 

Создавайте vlan id 1502, 1503 и пуляйте на вторую пллощадку, там раздавайте своим абонентам

 

Уберите vrf Inet, это у меня так. У вас, может, в GRT все

 

еще кусочек жести:

http://forum.nag.ru/...dpost&p=1257916

Да я как раз про это и говорю. Знатно повеселила дискуссия )))))))))))

Edited by rz3dwy
Skyrider

Skyrider

Posted
  • Author
Posted

Тогда в чем проблема? Используйте ip unnumbered.

тогда не будет резервирования, т.к. используется только один канал. STP не вариант, я выше писал. Да и в планах перевести интерфейсы в л3 режим.

 

xconnect, VPLS

Т.е. MPLS

 

Пока единственный вариант добавить роутер на первой площадке и сделать нат 1к1, как я понимаю.

rz3dwy

rz3dwy

Posted
Posted

тогда не будет резервирования, т.к. используется только один канал. STP не вариант, я выше писал. Да и в планах перевести интерфейсы в л3 режим.

 

У вас по вашим же данным 2(ДВА) устройства. И Наверняка ОДИН физический линк между ними. О каком резервировании может идти речь? И давайте не будем забывать про иерархичность уровней связи. L3(IP) не может бегать по L1 минуя L2. L2 обычно Ethernet. У вас точно он. Если вы делаете резервирование путем организации нескольких L3-линков и настраиваете динамическую маршрутизацию, то при падении L1, а за ним, конечно же, L2, все ваши линки одновременно падут. Резерв необходимо вводить начиная с физики.

Впрочем, если для вас STP, Multicast, IPsec или вообще канальный уровень это устаревшие технологии, то тут нужно звать Saab95. Он скажет сколько купить микротиков и настроить все это.

Skyrider

Skyrider

Posted
  • Author
Posted (edited)

У меня два устройства(территориально разнесены) и два физически разных линка между ними.

Так же у меня OSPF, и логично, что при падении одного из л1 - л3 резервируется.

 

А теперь по поводу STP в данной задаче.

За свичами стоят полки(хранилища) и серверные фермы с виртуализацией.

Эти два канала проходят по сетям других операторов. Если стп не отработает по каким либо причинам, то последствия - на паре тысяч виртуалок летит фс. (это уже из горького опыта)

Каждой задаче своя технология, имхо, городить STP кольцо на пол континента - не вариант.

 

Где я написал, что

если для вас STP, Multicast, IPsec или вообще канальный уровень это устаревшие технологии,

и какое отношение ко мне имеют микротики?

Edited by Skyrider
Saab95

Saab95

Posted
Posted

и какое отношение ко мне имеют микротики?

 

Это я написал на примере микротиков.

Вообще не понятен смысл сей дискуссии, если у вас L3 сеть с OSPF и уже есть резерв, то можно либо через MPLS передавать L2 или там L3, либо через OSPF анонсить указанные адреса на втором устройстве. Задачка уровня первого курса соответствующего института. А уже приплели какие-то L2 и прочие устаревшие технологии. Вот если ваше оборудование, циски там и т.п. не умеют MPLS или анонсить адреса, то нужно использовать микротики, в них весь функционал открыт даже в самых младших моделях.

tartila

tartila

Posted
Posted

Есть две площадки в разных ДЦ, на каждой стоит сisco 3750, которые объеденены в L3 кольцо(OSPF), за цисками стоят серваки с различными сервисами.

 

На первой площадке провайдер дает сеть /29 с белыми ip. Эта сеть принимается в отдельный влан 100, и в нем же висят серваки одной сетевухой (забирают белые IP).

 

Нужно парочку ip сдать в аренду клиенту на второй площадке. Тянуть 100 влан до второй площадки не хочу, т.к. не будет отказоустойчивости и есть вероятность, что клиент будет снифать трафик, что выходит с наших серверов.

 

Каким образом лучше "прокинуть" эти ip до клиента?

 

Есть вариант поставить на первой площадке цисковский роутер и сделать snat.

 

Вообщем интересует нормальная реализация с заделом на будущее.

P.S. Как данная функция организрвана у крупных провайдеров?

 

Простите, а чем вас не устраивает просто прокинуть /32 клиентам? Зачем тут mpls, Saab95 и Микротики? :)

Skyrider

Skyrider

Posted
  • Author
Posted

Изначально я именно это и хотел, собственно ждал нормального описания с примером :)

Попутно думал узнать как вообще это правильно делать.

 

А тема скатилась в очередной холивар...

YuryD

YuryD

Posted
Posted

Простите, а чем вас не устраивает просто прокинуть /32 клиентам? Зачем тут mpls, Saab95 и Микротики? :)

Мокротик тут причём, он классическую маршутизацию не знает. Были у меня пара таких умных, типа смаршртизуй /29 из одной подсети в один из тех-же IP. А за жопами недоступности - они чего-то непонятны были. В стиле - тут работает, а тут не работает...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.