alibek Posted July 6, 2016 Что-то не соображу. Есть у меня подсеть 10.102.0.0/16, которая терминируется на каталисте: interface Vlan10 ip address 10.102.0.250 255.255.0.0 no ip redirects no ip unreachables В этой большой подсети мне нужно выделить несколько подсетей поменьше для удаленных площадок, например 10.102.201.0/24, которые будут терминироваться на других маршрутизаторах. В качестве транспортной подсети я использую другой блок, 10.102.200.0/24. То есть у меня должно получиться что-то типа такого (для простоты будем считать, что все удаленные площадки подключены по L2 на каталист в VLAN 20): interface Vlan10 ip address 10.102.0.250 255.255.0.0 no ip redirects no ip unreachables interface Vlan20 ip address 10.102.200.250 255.255.255.0 no ip redirects no ip unreachables ip route 10.102.201.0 255.255.255.0 10.102.200.201 ip route 10.102.202.0 255.255.255.0 10.102.200.202 ... ip route 10.102.209.0 255.255.255.0 10.102.200.209 Но прописать IP-адрес 10.102.200.250/24 на интерфейсе vlan20 я не могу, т.к. "10.102.200.0 overlaps with Vlan10". Можно сделать так: interface Vlan10 ip address 10.102.0.250 255.255.0.0 ip address 10.102.200.250 255.255.255.0 secondary ip route 10.102.201.0 255.255.255.0 10.102.200.201 ... и оно даже работает, но как-то мне это решение не нравится, работает через раз (скорее всего из-за того, что в качестве source не всегда используется secondary-адрес). Конечно можно разнести по разным железкам (или по разным vrf, но тогда мне нужно будет IOS обновить), но может быть можно это сделать в рамках текущей железки? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted July 6, 2016 Сделал пока на двух разных коробках: !!! SW1 interface Vlan90 !транспорт между SW1 и SW2 ip address 10.1.3.13 255.255.255.252 interface Vlan10 ip address 10.102.0.250 255.255.0.0 ip route 10.102.200.0 255.255.255.0 10.1.3.14 ip route 10.102.201.0 255.255.255.0 10.1.3.14 !!! SW2 interface Vlan90 !транспорт между SW1 и SW2 ip address 10.1.3.14 255.255.255.252 interface Vlan20 ip address 10.102.200.250 255.255.255.0 ip route 0.0.0.0 0.0.0.0 10.1.3.13 ip route 10.102.201.0 255.255.255.0 10.102.200.201 Так вроде бы все работает. Но теперь хочется сделать красиво. К примеру, на SW1 маршрут на 10.102.201.0/24 сделать не через 10.1.3.14, а через 10.102.200.201. Но если просто указать 10.102.200.201 в качестве next-hop, то когда вдруг по какой-то причине connected-маршрут пропадет, то маршрут исчезнет из CEF и начнутся жесткие глюки. А можно ли сделать красиво (статикой)? Хоть через петлевой интерфейс? Или в таких задачах лучше про красоту забыть? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted July 7, 2016 (edited) заменить \16 на что-то поуже выделить сеть для стыков в нижестоящими железками, прописать роуты на мальенькие сети через нижестоящие маршрутизаторы иначе оно тупо теряется в собстенных маршрутах ну либо vrf, да Edited July 7, 2016 by GrandPr1de Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted July 7, 2016 Поуже никак. Подсеть большая и разреженная, третий октет используется для группировки по типам устройств. Поэтому либо /16, либо нужно будет прописывать два-три десятка подсетей /24. С vrf наверное не выйдет, я что-то не смог найти IOS для обычного каталиста, чтобы это было доступно. Так что сейчас разнес по двум разным коробкам, скорее всего так и оставлю. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kapydan Posted July 9, 2016 я что-то не смог найти IOS для обычного каталиста под какую именно модель искали? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted July 10, 2016 3750G Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SergeiK Posted July 12, 2016 Поуже никак. Подсеть большая и разреженная, третий октет используется для группировки по типам устройств. Поэтому либо /16, либо нужно будет прописывать два-три десятка подсетей /24. С vrf наверное не выйдет, я что-то не смог найти IOS для обычного каталиста, чтобы это было доступно. Так что сейчас разнес по двум разным коробкам, скорее всего так и оставлю. А давайте уточним, зачем такое счастье? Любой разумный сценарий. Если сеть разреженная, а хочется как-то консолидировать - есть понятие суммаризации. Или просто, маршрутизация большой сети в null, чтоб трафик кругами не гулял, и без всякого на то интерфейса. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted July 12, 2016 Есть система видеонаблюдения, запланированная емкость которой несколько сотен камер. Камеры нумеруются по шаблону GNN, где G это номер группы, а NN это номер камеры в группе, то есть номера могут быть в диапазоне от 101 до 999. Для удобства адресный план используется такой: 10.102.G.NN - камеры 10.102.G.1xx - всякое дополнительное оборудование (датчики, микрофоны, домофоны, СКУД) 10.102.G.2xx - служебные адреса 10.102.xx.xxx - пока не используется 10.102.1xx.xxx - пока не используется 10.102.0.xxx - ядро сети, сервера, шлюз 10.102.200.xxx - транспортная сеть для подключения клиентских площадок 10.102.2xx.xxx - сами клиентские площадки Сейчас я 10.102.0.0/16 и 10.102.200.0/24 (а также 10.102.2xx.0/24) разнес по разным железкам - у меня под рукой есть несколько каталистов 3750. Но вообще я хочу со временем от 3750 избавится, а все их функции перенести на каталист 3750E, который гигабитный, 48-портовый и с 10G. Но у него лицензия только ipbase, поэтому я пока не придумал, как две пересекающиеся подсети терминировать на этом C3750E. Может быть и никак, тогда придется разносить по разным устройствам. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SergeiK Posted July 12, 2016 Есть система видеонаблюдения, запланированная емкость которой несколько сотен камер. Камеры нумеруются по шаблону GNN, где G это номер группы, а NN это номер камеры в группе, то есть номера могут быть в диапазоне от 101 до 999. Для удобства адресный план используется такой: 10.102.G.NN - камеры 10.102.G.1xx - всякое дополнительное оборудование (датчики, микрофоны, домофоны, СКУД) 10.102.G.2xx - служебные адреса 10.102.xx.xxx - пока не используется 10.102.1xx.xxx - пока не используется 10.102.0.xxx - ядро сети, сервера, шлюз 10.102.200.xxx - транспортная сеть для подключения клиентских площадок 10.102.2xx.xxx - сами клиентские площадки Сейчас я 10.102.0.0/16 и 10.102.200.0/24 (а также 10.102.2xx.0/24) разнес по разным железкам - у меня под рукой есть несколько каталистов 3750. Но вообще я хочу со временем от 3750 избавится, а все их функции перенести на каталист 3750E, который гигабитный, 48-портовый и с 10G. Но у него лицензия только ipbase, поэтому я пока не придумал, как две пересекающиеся подсети терминировать на этом C3750E. Может быть и никак, тогда придется разносить по разным устройствам. Где и зачем в вашей схеме 10.102.0.0/16? Просто, чтоб отметить сегмент, чтоб не было петель? Или у вас есть реальный интерфейс /16, куда кто-то обращается? Если интерфейс с 10.102.0.0/16 для порядка - сделайте маршрутизацию в null и все. Все рабочие интерфейсы у вас будут более точные, и уходить будут по назначению, что не попало никуда из рабочих интерфейсов - умрет на роутере. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted July 12, 2016 У камер подсеть 10.102.G.NN/16, т.е. это большая несегментированная подсеть /16 в одном общем широковещательном домене. Проблем в этом, честно говоря, не вижу — между устройствами коммутации нет, DHCP или UDP нет, трафик ходит только в аплинк (на 10.102.0.xxx/16), поэтому изоляции на портах достаточно. Просто из 10.102.0.0/16 нужно отделить несколько 10.102.2xx.0/24, именно потому что за 10.102.2xx.0/24 такие устройства, где сегментация и файрвол будут совсем не лишними. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SokolovS Posted July 30, 2016 (edited) Выше правильную рекомендацию давали. К каталисте, которая терминирует /16, другие каталисты подключите через линковые сети /30 и уже на них заводите более мелкие сети /24, выделенные из базовой /16. Все маршруты естественно через линковые сети. Это правильный путь. Всё будет работать. Если лениво маршруты прописывать можно еще и OSPF поднять + default-information originate прописать. Edited July 30, 2016 by SokolovS Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
