Перейти к содержимому
Калькуляторы

Раздать белые IP через L3

Есть две площадки в разных ДЦ, на каждой стоит сisco 3750, которые объеденены в L3 кольцо(OSPF), за цисками стоят серваки с различными сервисами.

 

На первой площадке провайдер дает сеть /29 с белыми ip. Эта сеть принимается в отдельный влан 100, и в нем же висят серваки одной сетевухой (забирают белые IP).

 

Нужно парочку ip сдать в аренду клиенту на второй площадке. Тянуть 100 влан до второй площадки не хочу, т.к. не будет отказоустойчивости и есть вероятность, что клиент будет снифать трафик, что выходит с наших серверов.

 

Каким образом лучше "прокинуть" эти ip до клиента?

 

Есть вариант поставить на первой площадке цисковский роутер и сделать snat.

 

Вообщем интересует нормальная реализация с заделом на будущее.

P.S. Как данная функция организрвана у крупных провайдеров?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Раздайте ip unnumbered

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уже думал про это, но нужен потом l2vpn что-бы прокинуть влан с этим ip, а у меня только L3 кольцо...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А почему бы не взять блок побольше, либо вообще получить блок на площадки, где клиент?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А между площадками нет L2?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На другой площадке дорого очень, а смысл больше? За побольше платить тоже больше надо :)

А тут смысл сдать в аренду простаивающие.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уже думал про это, но нужен потом l2vpn что-бы прокинуть влан с этим ip, а у меня только L3 кольцо...

прибейте там же шлюз, но анонсите по /32 которые дали клиентам

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Включаете на влане 100 прокси-арп, настраиваете OSPF, вешаете IP адреса на нужном интерфейсе второй площадки и предоставляете их абоненту.

 

Например вам дают сеть 11.22.33.1/29, вам нужно выдать адреса 2 и 3 на второй площадке. На второй вешаете на интерфейс адрес 11.22.33.1, а нетворк указываете 11.22.33.2 и так же делаете еще одну копию настроек, адрес такой же 11.22.33.1 а нетворк 11.22.33.3. Соответственно абонент прописывает у себя в настройках адрес 11.22.33.2, маску /29 и шлюз 11.22.33.1. Он сможет получить доступ в интернет с этих адресов. Если нужно что бы он имел доступ и на другие IP адреса этой подсети, то включаете прокси арп и на второй площадке.

 

Если на второй площадке так же есть выход в интернет, то нужно завернуть правилами трафик по этим адресам на первую площадку.

 

На микротике такая задача легко решается.

 

А между площадками нет L2?

 

L2 - устаревшая технология.

 

Уже думал про это, но нужен потом l2vpn что-бы прокинуть влан с этим ip, а у меня только L3 кольцо...

 

Поверх L3 можно прокинуть все, что угодно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

L2 - устаревшая технология.

 

Браво, Антон! Вчера вы меня вечером развлекали про главный роутер, сегодня про устаревание L2. Спасибо за настроение ))))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А между площадками нет L2?

 

Пока есть, но в планах отказаться(оsfp через SVI пока поднято). Да и нет желания городить отказоустойчивость через stp.

 

прибейте там же шлюз, но анонсите по /32 которые дали клиентам

 

А можно по подробнее?

 

... а нетворк указываете 11.22.33.2 ...

 

Это что-то специфичное для микротиков?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пока есть, но в планах отказаться(оsfp через SVI пока поднято). Да и нет желания городить отказоустойчивость через stp

Давайте спрошу по-другому. Вы можете несколько vlan пустить между вашими площадками или только один?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это что-то специфичное для микротиков?

 

Вообще тут ходит мнение что циска круче микротика и все умеет, странно, что возник вопрос как адреса пробросить. На L3 сети таких проблем не возникает. Описанный мною способ самый оптимальный для этой цели.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

L2 - устаревшая технология.

 

Браво, Антон! Вчера вы меня вечером развлекали про главный роутер, сегодня про устаревание L2. Спасибо за настроение ))))))

еще кусочек жести:

http://forum.nag.ru/forum/index.php?showtopic=114377&view=findpost&p=1257916

При этом мультикаст является устаревшей технологией

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, могу.

Тогда в чем проблема? Используйте ip unnumbered.

 

1.1.1.1/30 - адрес аплинка

1.1.1.2/30 - ваш адрес

 

Выделенная вам подсеть 2.2.2.0/29

 

interface Vlan1000

description "Inet from Uplink"

ip vrf forwarding Inet

ip address 1.1.1.2 255.255.255.252

 

interface Loopback0

ip vrf forwarding Inet

ip address 2.2.2.1 255.255.255.248

 

interface Vlan1502

description "Inet_2"

ip vrf forwarding Inet

ip unnumbered Loopback0

!

interface Vlan1503

description "Inet_3"

ip vrf forwarding Inet

ip unnumbered Loopback0

 

 

ip route 0.0.0.0 0.0.0.0 1.1.1.1

ip route vrf Inet 2.2.2.2 255.255.255.255 Vlan1502 2.2.2.2

ip route vrf Inet 2.2.2.3 255.255.255.255 Vlan1503 2.2.2.3

 

 

 

Создавайте vlan id 1502, 1503 и пуляйте на вторую пллощадку, там раздавайте своим абонентам

 

Уберите vrf Inet, это у меня так. У вас, может, в GRT все

 

еще кусочек жести:

http://forum.nag.ru/...dpost&p=1257916

Да я как раз про это и говорю. Знатно повеселила дискуссия )))))))))))

Изменено пользователем rz3dwy

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

P.S. Как данная функция организрвана у крупных провайдеров?

 

xconnect, VPLS

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тогда в чем проблема? Используйте ip unnumbered.

тогда не будет резервирования, т.к. используется только один канал. STP не вариант, я выше писал. Да и в планах перевести интерфейсы в л3 режим.

 

xconnect, VPLS

Т.е. MPLS

 

Пока единственный вариант добавить роутер на первой площадке и сделать нат 1к1, как я понимаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

тогда не будет резервирования, т.к. используется только один канал. STP не вариант, я выше писал. Да и в планах перевести интерфейсы в л3 режим.

 

У вас по вашим же данным 2(ДВА) устройства. И Наверняка ОДИН физический линк между ними. О каком резервировании может идти речь? И давайте не будем забывать про иерархичность уровней связи. L3(IP) не может бегать по L1 минуя L2. L2 обычно Ethernet. У вас точно он. Если вы делаете резервирование путем организации нескольких L3-линков и настраиваете динамическую маршрутизацию, то при падении L1, а за ним, конечно же, L2, все ваши линки одновременно падут. Резерв необходимо вводить начиная с физики.

Впрочем, если для вас STP, Multicast, IPsec или вообще канальный уровень это устаревшие технологии, то тут нужно звать Saab95. Он скажет сколько купить микротиков и настроить все это.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня два устройства(территориально разнесены) и два физически разных линка между ними.

Так же у меня OSPF, и логично, что при падении одного из л1 - л3 резервируется.

 

А теперь по поводу STP в данной задаче.

За свичами стоят полки(хранилища) и серверные фермы с виртуализацией.

Эти два канала проходят по сетям других операторов. Если стп не отработает по каким либо причинам, то последствия - на паре тысяч виртуалок летит фс. (это уже из горького опыта)

Каждой задаче своя технология, имхо, городить STP кольцо на пол континента - не вариант.

 

Где я написал, что

если для вас STP, Multicast, IPsec или вообще канальный уровень это устаревшие технологии,

и какое отношение ко мне имеют микротики?

Изменено пользователем Skyrider

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

и какое отношение ко мне имеют микротики?

 

Это я написал на примере микротиков.

Вообще не понятен смысл сей дискуссии, если у вас L3 сеть с OSPF и уже есть резерв, то можно либо через MPLS передавать L2 или там L3, либо через OSPF анонсить указанные адреса на втором устройстве. Задачка уровня первого курса соответствующего института. А уже приплели какие-то L2 и прочие устаревшие технологии. Вот если ваше оборудование, циски там и т.п. не умеют MPLS или анонсить адреса, то нужно использовать микротики, в них весь функционал открыт даже в самых младших моделях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть две площадки в разных ДЦ, на каждой стоит сisco 3750, которые объеденены в L3 кольцо(OSPF), за цисками стоят серваки с различными сервисами.

 

На первой площадке провайдер дает сеть /29 с белыми ip. Эта сеть принимается в отдельный влан 100, и в нем же висят серваки одной сетевухой (забирают белые IP).

 

Нужно парочку ip сдать в аренду клиенту на второй площадке. Тянуть 100 влан до второй площадки не хочу, т.к. не будет отказоустойчивости и есть вероятность, что клиент будет снифать трафик, что выходит с наших серверов.

 

Каким образом лучше "прокинуть" эти ip до клиента?

 

Есть вариант поставить на первой площадке цисковский роутер и сделать snat.

 

Вообщем интересует нормальная реализация с заделом на будущее.

P.S. Как данная функция организрвана у крупных провайдеров?

 

Простите, а чем вас не устраивает просто прокинуть /32 клиентам? Зачем тут mpls, Saab95 и Микротики? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Изначально я именно это и хотел, собственно ждал нормального описания с примером :)

Попутно думал узнать как вообще это правильно делать.

 

А тема скатилась в очередной холивар...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я привел нормальное описание с примером, осталось только интерпретировать его под ваше оборудование.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Простите, а чем вас не устраивает просто прокинуть /32 клиентам? Зачем тут mpls, Saab95 и Микротики? :)

Мокротик тут причём, он классическую маршутизацию не знает. Были у меня пара таких умных, типа смаршртизуй /29 из одной подсети в один из тех-же IP. А за жопами недоступности - они чего-то непонятны были. В стиле - тут работает, а тут не работает...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня в этой схеме нет микротиков, только циски и покупать миуротики для этой задачи я не планировал...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.