Jump to content
Калькуляторы

Раздать белые IP через L3

Есть две площадки в разных ДЦ, на каждой стоит сisco 3750, которые объеденены в L3 кольцо(OSPF), за цисками стоят серваки с различными сервисами.

 

На первой площадке провайдер дает сеть /29 с белыми ip. Эта сеть принимается в отдельный влан 100, и в нем же висят серваки одной сетевухой (забирают белые IP).

 

Нужно парочку ip сдать в аренду клиенту на второй площадке. Тянуть 100 влан до второй площадки не хочу, т.к. не будет отказоустойчивости и есть вероятность, что клиент будет снифать трафик, что выходит с наших серверов.

 

Каким образом лучше "прокинуть" эти ip до клиента?

 

Есть вариант поставить на первой площадке цисковский роутер и сделать snat.

 

Вообщем интересует нормальная реализация с заделом на будущее.

P.S. Как данная функция организрвана у крупных провайдеров?

Share this post


Link to post
Share on other sites

А почему бы не взять блок побольше, либо вообще получить блок на площадки, где клиент?

Share this post


Link to post
Share on other sites

На другой площадке дорого очень, а смысл больше? За побольше платить тоже больше надо :)

А тут смысл сдать в аренду простаивающие.

Share this post


Link to post
Share on other sites

Уже думал про это, но нужен потом l2vpn что-бы прокинуть влан с этим ip, а у меня только L3 кольцо...

прибейте там же шлюз, но анонсите по /32 которые дали клиентам

Share this post


Link to post
Share on other sites

Включаете на влане 100 прокси-арп, настраиваете OSPF, вешаете IP адреса на нужном интерфейсе второй площадки и предоставляете их абоненту.

 

Например вам дают сеть 11.22.33.1/29, вам нужно выдать адреса 2 и 3 на второй площадке. На второй вешаете на интерфейс адрес 11.22.33.1, а нетворк указываете 11.22.33.2 и так же делаете еще одну копию настроек, адрес такой же 11.22.33.1 а нетворк 11.22.33.3. Соответственно абонент прописывает у себя в настройках адрес 11.22.33.2, маску /29 и шлюз 11.22.33.1. Он сможет получить доступ в интернет с этих адресов. Если нужно что бы он имел доступ и на другие IP адреса этой подсети, то включаете прокси арп и на второй площадке.

 

Если на второй площадке так же есть выход в интернет, то нужно завернуть правилами трафик по этим адресам на первую площадку.

 

На микротике такая задача легко решается.

 

А между площадками нет L2?

 

L2 - устаревшая технология.

 

Уже думал про это, но нужен потом l2vpn что-бы прокинуть влан с этим ip, а у меня только L3 кольцо...

 

Поверх L3 можно прокинуть все, что угодно.

Share this post


Link to post
Share on other sites

L2 - устаревшая технология.

 

Браво, Антон! Вчера вы меня вечером развлекали про главный роутер, сегодня про устаревание L2. Спасибо за настроение ))))))

Share this post


Link to post
Share on other sites

А между площадками нет L2?

 

Пока есть, но в планах отказаться(оsfp через SVI пока поднято). Да и нет желания городить отказоустойчивость через stp.

 

прибейте там же шлюз, но анонсите по /32 которые дали клиентам

 

А можно по подробнее?

 

... а нетворк указываете 11.22.33.2 ...

 

Это что-то специфичное для микротиков?

Share this post


Link to post
Share on other sites

Пока есть, но в планах отказаться(оsfp через SVI пока поднято). Да и нет желания городить отказоустойчивость через stp

Давайте спрошу по-другому. Вы можете несколько vlan пустить между вашими площадками или только один?

Share this post


Link to post
Share on other sites

Это что-то специфичное для микротиков?

 

Вообще тут ходит мнение что циска круче микротика и все умеет, странно, что возник вопрос как адреса пробросить. На L3 сети таких проблем не возникает. Описанный мною способ самый оптимальный для этой цели.

Share this post


Link to post
Share on other sites

L2 - устаревшая технология.

 

Браво, Антон! Вчера вы меня вечером развлекали про главный роутер, сегодня про устаревание L2. Спасибо за настроение ))))))

еще кусочек жести:

http://forum.nag.ru/forum/index.php?showtopic=114377&view=findpost&p=1257916

При этом мультикаст является устаревшей технологией

Share this post


Link to post
Share on other sites

Да, могу.

Тогда в чем проблема? Используйте ip unnumbered.

 

1.1.1.1/30 - адрес аплинка

1.1.1.2/30 - ваш адрес

 

Выделенная вам подсеть 2.2.2.0/29

 

interface Vlan1000

description "Inet from Uplink"

ip vrf forwarding Inet

ip address 1.1.1.2 255.255.255.252

 

interface Loopback0

ip vrf forwarding Inet

ip address 2.2.2.1 255.255.255.248

 

interface Vlan1502

description "Inet_2"

ip vrf forwarding Inet

ip unnumbered Loopback0

!

interface Vlan1503

description "Inet_3"

ip vrf forwarding Inet

ip unnumbered Loopback0

 

 

ip route 0.0.0.0 0.0.0.0 1.1.1.1

ip route vrf Inet 2.2.2.2 255.255.255.255 Vlan1502 2.2.2.2

ip route vrf Inet 2.2.2.3 255.255.255.255 Vlan1503 2.2.2.3

 

 

 

Создавайте vlan id 1502, 1503 и пуляйте на вторую пллощадку, там раздавайте своим абонентам

 

Уберите vrf Inet, это у меня так. У вас, может, в GRT все

 

еще кусочек жести:

http://forum.nag.ru/...dpost&p=1257916

Да я как раз про это и говорю. Знатно повеселила дискуссия )))))))))))

Edited by rz3dwy

Share this post


Link to post
Share on other sites

Тогда в чем проблема? Используйте ip unnumbered.

тогда не будет резервирования, т.к. используется только один канал. STP не вариант, я выше писал. Да и в планах перевести интерфейсы в л3 режим.

 

xconnect, VPLS

Т.е. MPLS

 

Пока единственный вариант добавить роутер на первой площадке и сделать нат 1к1, как я понимаю.

Share this post


Link to post
Share on other sites

тогда не будет резервирования, т.к. используется только один канал. STP не вариант, я выше писал. Да и в планах перевести интерфейсы в л3 режим.

 

У вас по вашим же данным 2(ДВА) устройства. И Наверняка ОДИН физический линк между ними. О каком резервировании может идти речь? И давайте не будем забывать про иерархичность уровней связи. L3(IP) не может бегать по L1 минуя L2. L2 обычно Ethernet. У вас точно он. Если вы делаете резервирование путем организации нескольких L3-линков и настраиваете динамическую маршрутизацию, то при падении L1, а за ним, конечно же, L2, все ваши линки одновременно падут. Резерв необходимо вводить начиная с физики.

Впрочем, если для вас STP, Multicast, IPsec или вообще канальный уровень это устаревшие технологии, то тут нужно звать Saab95. Он скажет сколько купить микротиков и настроить все это.

Share this post


Link to post
Share on other sites

У меня два устройства(территориально разнесены) и два физически разных линка между ними.

Так же у меня OSPF, и логично, что при падении одного из л1 - л3 резервируется.

 

А теперь по поводу STP в данной задаче.

За свичами стоят полки(хранилища) и серверные фермы с виртуализацией.

Эти два канала проходят по сетям других операторов. Если стп не отработает по каким либо причинам, то последствия - на паре тысяч виртуалок летит фс. (это уже из горького опыта)

Каждой задаче своя технология, имхо, городить STP кольцо на пол континента - не вариант.

 

Где я написал, что

если для вас STP, Multicast, IPsec или вообще канальный уровень это устаревшие технологии,

и какое отношение ко мне имеют микротики?

Edited by Skyrider

Share this post


Link to post
Share on other sites

и какое отношение ко мне имеют микротики?

 

Это я написал на примере микротиков.

Вообще не понятен смысл сей дискуссии, если у вас L3 сеть с OSPF и уже есть резерв, то можно либо через MPLS передавать L2 или там L3, либо через OSPF анонсить указанные адреса на втором устройстве. Задачка уровня первого курса соответствующего института. А уже приплели какие-то L2 и прочие устаревшие технологии. Вот если ваше оборудование, циски там и т.п. не умеют MPLS или анонсить адреса, то нужно использовать микротики, в них весь функционал открыт даже в самых младших моделях.

Share this post


Link to post
Share on other sites

Есть две площадки в разных ДЦ, на каждой стоит сisco 3750, которые объеденены в L3 кольцо(OSPF), за цисками стоят серваки с различными сервисами.

 

На первой площадке провайдер дает сеть /29 с белыми ip. Эта сеть принимается в отдельный влан 100, и в нем же висят серваки одной сетевухой (забирают белые IP).

 

Нужно парочку ip сдать в аренду клиенту на второй площадке. Тянуть 100 влан до второй площадки не хочу, т.к. не будет отказоустойчивости и есть вероятность, что клиент будет снифать трафик, что выходит с наших серверов.

 

Каким образом лучше "прокинуть" эти ip до клиента?

 

Есть вариант поставить на первой площадке цисковский роутер и сделать snat.

 

Вообщем интересует нормальная реализация с заделом на будущее.

P.S. Как данная функция организрвана у крупных провайдеров?

 

Простите, а чем вас не устраивает просто прокинуть /32 клиентам? Зачем тут mpls, Saab95 и Микротики? :)

Share this post


Link to post
Share on other sites

Изначально я именно это и хотел, собственно ждал нормального описания с примером :)

Попутно думал узнать как вообще это правильно делать.

 

А тема скатилась в очередной холивар...

Share this post


Link to post
Share on other sites

Я привел нормальное описание с примером, осталось только интерпретировать его под ваше оборудование.

Share this post


Link to post
Share on other sites

Простите, а чем вас не устраивает просто прокинуть /32 клиентам? Зачем тут mpls, Saab95 и Микротики? :)

Мокротик тут причём, он классическую маршутизацию не знает. Были у меня пара таких умных, типа смаршртизуй /29 из одной подсети в один из тех-же IP. А за жопами недоступности - они чего-то непонятны были. В стиле - тут работает, а тут не работает...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.