Skyrider Опубликовано 14 марта, 2016 · Жалоба Есть две площадки в разных ДЦ, на каждой стоит сisco 3750, которые объеденены в L3 кольцо(OSPF), за цисками стоят серваки с различными сервисами. На первой площадке провайдер дает сеть /29 с белыми ip. Эта сеть принимается в отдельный влан 100, и в нем же висят серваки одной сетевухой (забирают белые IP). Нужно парочку ip сдать в аренду клиенту на второй площадке. Тянуть 100 влан до второй площадки не хочу, т.к. не будет отказоустойчивости и есть вероятность, что клиент будет снифать трафик, что выходит с наших серверов. Каким образом лучше "прокинуть" эти ip до клиента? Есть вариант поставить на первой площадке цисковский роутер и сделать snat. Вообщем интересует нормальная реализация с заделом на будущее. P.S. Как данная функция организрвана у крупных провайдеров? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rz3dwy Опубликовано 14 марта, 2016 · Жалоба Раздайте ip unnumbered Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skyrider Опубликовано 14 марта, 2016 · Жалоба Уже думал про это, но нужен потом l2vpn что-бы прокинуть влан с этим ip, а у меня только L3 кольцо... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
korobeynikov Опубликовано 14 марта, 2016 · Жалоба А почему бы не взять блок побольше, либо вообще получить блок на площадки, где клиент? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rz3dwy Опубликовано 14 марта, 2016 · Жалоба А между площадками нет L2? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skyrider Опубликовано 14 марта, 2016 · Жалоба На другой площадке дорого очень, а смысл больше? За побольше платить тоже больше надо :) А тут смысл сдать в аренду простаивающие. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 14 марта, 2016 · Жалоба Уже думал про это, но нужен потом l2vpn что-бы прокинуть влан с этим ip, а у меня только L3 кольцо... прибейте там же шлюз, но анонсите по /32 которые дали клиентам Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 14 марта, 2016 · Жалоба Включаете на влане 100 прокси-арп, настраиваете OSPF, вешаете IP адреса на нужном интерфейсе второй площадки и предоставляете их абоненту. Например вам дают сеть 11.22.33.1/29, вам нужно выдать адреса 2 и 3 на второй площадке. На второй вешаете на интерфейс адрес 11.22.33.1, а нетворк указываете 11.22.33.2 и так же делаете еще одну копию настроек, адрес такой же 11.22.33.1 а нетворк 11.22.33.3. Соответственно абонент прописывает у себя в настройках адрес 11.22.33.2, маску /29 и шлюз 11.22.33.1. Он сможет получить доступ в интернет с этих адресов. Если нужно что бы он имел доступ и на другие IP адреса этой подсети, то включаете прокси арп и на второй площадке. Если на второй площадке так же есть выход в интернет, то нужно завернуть правилами трафик по этим адресам на первую площадку. На микротике такая задача легко решается. А между площадками нет L2? L2 - устаревшая технология. Уже думал про это, но нужен потом l2vpn что-бы прокинуть влан с этим ip, а у меня только L3 кольцо... Поверх L3 можно прокинуть все, что угодно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rz3dwy Опубликовано 14 марта, 2016 · Жалоба L2 - устаревшая технология. Браво, Антон! Вчера вы меня вечером развлекали про главный роутер, сегодня про устаревание L2. Спасибо за настроение )))))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skyrider Опубликовано 14 марта, 2016 · Жалоба А между площадками нет L2? Пока есть, но в планах отказаться(оsfp через SVI пока поднято). Да и нет желания городить отказоустойчивость через stp. прибейте там же шлюз, но анонсите по /32 которые дали клиентам А можно по подробнее? ... а нетворк указываете 11.22.33.2 ... Это что-то специфичное для микротиков? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rz3dwy Опубликовано 14 марта, 2016 · Жалоба Пока есть, но в планах отказаться(оsfp через SVI пока поднято). Да и нет желания городить отказоустойчивость через stp Давайте спрошу по-другому. Вы можете несколько vlan пустить между вашими площадками или только один? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skyrider Опубликовано 14 марта, 2016 · Жалоба Да, могу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 14 марта, 2016 · Жалоба Это что-то специфичное для микротиков? Вообще тут ходит мнение что циска круче микротика и все умеет, странно, что возник вопрос как адреса пробросить. На L3 сети таких проблем не возникает. Описанный мною способ самый оптимальный для этой цели. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 14 марта, 2016 · Жалоба L2 - устаревшая технология. Браво, Антон! Вчера вы меня вечером развлекали про главный роутер, сегодня про устаревание L2. Спасибо за настроение )))))) еще кусочек жести: http://forum.nag.ru/forum/index.php?showtopic=114377&view=findpost&p=1257916 При этом мультикаст является устаревшей технологией Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rz3dwy Опубликовано 14 марта, 2016 (изменено) · Жалоба Да, могу. Тогда в чем проблема? Используйте ip unnumbered. 1.1.1.1/30 - адрес аплинка 1.1.1.2/30 - ваш адрес Выделенная вам подсеть 2.2.2.0/29 interface Vlan1000 description "Inet from Uplink" ip vrf forwarding Inet ip address 1.1.1.2 255.255.255.252 interface Loopback0 ip vrf forwarding Inet ip address 2.2.2.1 255.255.255.248 interface Vlan1502 description "Inet_2" ip vrf forwarding Inet ip unnumbered Loopback0 ! interface Vlan1503 description "Inet_3" ip vrf forwarding Inet ip unnumbered Loopback0 ip route 0.0.0.0 0.0.0.0 1.1.1.1 ip route vrf Inet 2.2.2.2 255.255.255.255 Vlan1502 2.2.2.2 ip route vrf Inet 2.2.2.3 255.255.255.255 Vlan1503 2.2.2.3 Создавайте vlan id 1502, 1503 и пуляйте на вторую пллощадку, там раздавайте своим абонентам Уберите vrf Inet, это у меня так. У вас, может, в GRT все еще кусочек жести: http://forum.nag.ru/...dpost&p=1257916 Да я как раз про это и говорю. Знатно повеселила дискуссия ))))))))))) Изменено 14 марта, 2016 пользователем rz3dwy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 15 марта, 2016 · Жалоба P.S. Как данная функция организрвана у крупных провайдеров? xconnect, VPLS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skyrider Опубликовано 15 марта, 2016 · Жалоба Тогда в чем проблема? Используйте ip unnumbered. тогда не будет резервирования, т.к. используется только один канал. STP не вариант, я выше писал. Да и в планах перевести интерфейсы в л3 режим. xconnect, VPLS Т.е. MPLS Пока единственный вариант добавить роутер на первой площадке и сделать нат 1к1, как я понимаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rz3dwy Опубликовано 15 марта, 2016 · Жалоба тогда не будет резервирования, т.к. используется только один канал. STP не вариант, я выше писал. Да и в планах перевести интерфейсы в л3 режим. У вас по вашим же данным 2(ДВА) устройства. И Наверняка ОДИН физический линк между ними. О каком резервировании может идти речь? И давайте не будем забывать про иерархичность уровней связи. L3(IP) не может бегать по L1 минуя L2. L2 обычно Ethernet. У вас точно он. Если вы делаете резервирование путем организации нескольких L3-линков и настраиваете динамическую маршрутизацию, то при падении L1, а за ним, конечно же, L2, все ваши линки одновременно падут. Резерв необходимо вводить начиная с физики. Впрочем, если для вас STP, Multicast, IPsec или вообще канальный уровень это устаревшие технологии, то тут нужно звать Saab95. Он скажет сколько купить микротиков и настроить все это. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skyrider Опубликовано 15 марта, 2016 (изменено) · Жалоба У меня два устройства(территориально разнесены) и два физически разных линка между ними. Так же у меня OSPF, и логично, что при падении одного из л1 - л3 резервируется. А теперь по поводу STP в данной задаче. За свичами стоят полки(хранилища) и серверные фермы с виртуализацией. Эти два канала проходят по сетям других операторов. Если стп не отработает по каким либо причинам, то последствия - на паре тысяч виртуалок летит фс. (это уже из горького опыта) Каждой задаче своя технология, имхо, городить STP кольцо на пол континента - не вариант. Где я написал, что если для вас STP, Multicast, IPsec или вообще канальный уровень это устаревшие технологии, и какое отношение ко мне имеют микротики? Изменено 15 марта, 2016 пользователем Skyrider Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 15 марта, 2016 · Жалоба и какое отношение ко мне имеют микротики? Это я написал на примере микротиков. Вообще не понятен смысл сей дискуссии, если у вас L3 сеть с OSPF и уже есть резерв, то можно либо через MPLS передавать L2 или там L3, либо через OSPF анонсить указанные адреса на втором устройстве. Задачка уровня первого курса соответствующего института. А уже приплели какие-то L2 и прочие устаревшие технологии. Вот если ваше оборудование, циски там и т.п. не умеют MPLS или анонсить адреса, то нужно использовать микротики, в них весь функционал открыт даже в самых младших моделях. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tartila Опубликовано 15 марта, 2016 · Жалоба Есть две площадки в разных ДЦ, на каждой стоит сisco 3750, которые объеденены в L3 кольцо(OSPF), за цисками стоят серваки с различными сервисами. На первой площадке провайдер дает сеть /29 с белыми ip. Эта сеть принимается в отдельный влан 100, и в нем же висят серваки одной сетевухой (забирают белые IP). Нужно парочку ip сдать в аренду клиенту на второй площадке. Тянуть 100 влан до второй площадки не хочу, т.к. не будет отказоустойчивости и есть вероятность, что клиент будет снифать трафик, что выходит с наших серверов. Каким образом лучше "прокинуть" эти ip до клиента? Есть вариант поставить на первой площадке цисковский роутер и сделать snat. Вообщем интересует нормальная реализация с заделом на будущее. P.S. Как данная функция организрвана у крупных провайдеров? Простите, а чем вас не устраивает просто прокинуть /32 клиентам? Зачем тут mpls, Saab95 и Микротики? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skyrider Опубликовано 15 марта, 2016 · Жалоба Изначально я именно это и хотел, собственно ждал нормального описания с примером :) Попутно думал узнать как вообще это правильно делать. А тема скатилась в очередной холивар... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 15 марта, 2016 · Жалоба Я привел нормальное описание с примером, осталось только интерпретировать его под ваше оборудование. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 15 марта, 2016 · Жалоба Простите, а чем вас не устраивает просто прокинуть /32 клиентам? Зачем тут mpls, Saab95 и Микротики? :) Мокротик тут причём, он классическую маршутизацию не знает. Были у меня пара таких умных, типа смаршртизуй /29 из одной подсети в один из тех-же IP. А за жопами недоступности - они чего-то непонятны были. В стиле - тут работает, а тут не работает... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skyrider Опубликовано 15 марта, 2016 · Жалоба У меня в этой схеме нет микротиков, только циски и покупать миуротики для этой задачи я не планировал... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...