devd1 Posted September 15, 2016 Posted September 15, 2016 Нужен совет как для небольшой сети настроить выдачу белых ип. Есть пул адресов от вышестоящего провайдера. Часть ип используется для нат, часть пока свободна. Есть сеть физиков, которые натятся. Авторизация мак/ип, влан на дом. Появляется юрик, просит белый ип. До юрика физически волокно, его порт в отдельном влане, приходит на длинк х-стак, маршрутизируется на циске, потом микротик-нат/шейпер. Если назначать в своей сети сеть /30, то не рационалный расход белых ип. Если назначить сеть /27 (осталось свободных), то получится, что 1й юрик, потом 2й, 3й будут в одной подсети, политически неверно. Как сделать, если масштабы небольшие и очень грамотного админа нет. Вставить ник Quote
vurd Posted September 15, 2016 Posted September 15, 2016 1. Покупаем 3650\3750 2. Гуглим ip unnumbered Вставить ник Quote
MMM Posted September 15, 2016 Posted September 15, 2016 1. Покупаем 3650\3750 2. Гуглим ip unnumbered вроде бы unnumbered можно на тазиках сделать без особых заморочек Вставить ник Quote
MMM Posted September 15, 2016 Posted September 15, 2016 из гугля первая ссылка https://habrahabr.ru/post/213037/ вторая: http://wiki.mikrotik.com/wiki/Manual:Interface/VLAN#RouterOS_.2F32_and_IP_unnumbered_addresses Вставить ник Quote
Ivan Rostovikov Posted September 15, 2016 Posted September 15, 2016 >1й юрик, потом 2й, 3й будут в одной подсети, политически неверно. 1. ip unnumbered + IP Source Guard 2. Supervlan + IP Source Guard Вставить ник Quote
devd1 Posted September 15, 2016 Author Posted September 15, 2016 1. что такое тазик? 2. каталист 3750 есть, как узнать, та ли у нас прошивка и где брать нужную? Вставить ник Quote
bike Posted September 15, 2016 Posted September 15, 2016 Если назначать в своей сети сеть /30, то не рационалный расход белых ип. Если назначить сеть /27 (осталось свободных), то получится, что 1й юрик, потом 2й, 3й будут в одной подсети, политически неверно. Политически верно - BRAS который выдаст, что надо a.b.c.d/31 в vlan, QinQ и т.д.. Микротик так умеет? П.С. Тазик уже предлогали. Вставить ник Quote
Adim Posted September 15, 2016 Posted September 15, 2016 (edited) 1. что такое тазик? комп.....обычный комп, самосбор или от вендора Edited September 15, 2016 by Adim Вставить ник Quote
EShirokiy Posted September 15, 2016 Posted September 15, 2016 Я делаю так: На вилан на микротике навешиваю IP с маскрой /32, который является шлюзом всей вашей подсети /27. В нетворк указываю IP клиента. Все прекрасно работает. У клиента прописываем статикой внешку с маской /27 и шлюз. При этом, клиенты не могут видеть друг друга. Т.е. шлюз /27 - это xx.xx.xx.1 IP абонента xx.xx.xx.2 На микроте выглядит так: add address=xx.xx.xx.1 interface=urik_vlan network=xx.xx.xx.2 Вставить ник Quote
Nik0n Posted September 16, 2016 Posted September 16, 2016 2. каталист 3750 есть, как узнать, та ли у нас прошивка и где брать нужную? sh version покажите Вставить ник Quote
devd1 Posted September 16, 2016 Author Posted September 16, 2016 2. каталист 3750 есть, как узнать, та ли у нас прошивка и где брать нужную? sh version покажите Cisco3750g#sh vers Cisco IOS Software, C3750 Software (C3750-IPSERVICESK9-M), Version 12.2(55)SE, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright © 1986-2010 by Cisco Systems, Inc. Compiled Sat 07-Aug-10 22:45 by prod_rel_team Image text-base: 0x01000000, data-base: 0x02F00000 ROM: Bootstrap program is C3750 boot loader BOOTLDR: C3750 Boot Loader (C3750-HBOOT-M) Version 12.2(44)SE5, RELEASE SOFTWARE (fc1) Cisco3750g uptime is 43 weeks, 6 days, 18 hours, 23 minutes System returned to ROM by power-on System restarted at 15:57:12 ekat Fri Nov 13 2015 System image file is "flash:/c3750-ipservicesk9-mz.122-55.SE.bin" This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. cisco WS-C3750G-24TS-1U (PowerPC405) processor (revision E0) with 131072K bytes of memory. Processor board ID FOC1210Z8DU Last reset from power-on 101 Virtual Ethernet interfaces 28 Gigabit Ethernet interfaces The password-recovery mechanism is enabled. 512K bytes of flash-simulated non-volatile configuration memory. Base ethernet MAC Address : 00:1F:9D:48:D4:80 Motherboard assembly number : 73-10219-07 Power supply part number : 341-0098-02 Motherboard serial number : FOC1210360R Power supply serial number : DCA120591C0 Model revision number : E0 Motherboard revision number : B0 Model number : WS-C3750G-24TS-E1U System serial number : FOC1210Z8DU Top Assembly Part Number : 800-27484-01 Top Assembly Revision Number : C0 Version ID : V03 CLEI Code Number : CNMWZ00ARC Hardware Board Revision Number : 0x09 Switch Ports Model SW Version SW Image ------ ----- ----- ---------- ---------- * 1 28 WS-C3750G-24TS-1U 12.2(55)SE C3750-IPSERVICESK9-M Configuration register is 0xF Вставить ник Quote
Nik0n Posted September 16, 2016 Posted September 16, 2016 Раз ipservicesk9 - будет работать. 2. Гуглим ip unnumbered Вставить ник Quote
Serejka Posted September 16, 2016 Posted September 16, 2016 Выдавайте в pppoe реальный айпишник тоже не будет перерасхода адресов Вставить ник Quote
stas_k Posted September 16, 2016 Posted September 16, 2016 1. что такое тазик? Это такое слово маркер, по которому опознают проффесианала. Вставить ник Quote
VolanD666 Posted September 16, 2016 Posted September 16, 2016 НАТ 1 в 1 не рассматривается? Вставить ник Quote
devd1 Posted September 16, 2016 Author Posted September 16, 2016 (edited) Я делаю так: На вилан на микротике навешиваю IP с маскрой /32, который является шлюзом всей вашей подсети /27. В нетворк указываю IP клиента. Все прекрасно работает. У клиента прописываем статикой внешку с маской /27 и шлюз. При этом, клиенты не могут видеть друг друга. Т.е. шлюз /27 - это xx.xx.xx.1 IP абонента xx.xx.xx.2 На микроте выглядит так: add address=xx.xx.xx.1 interface=urik_vlan network=xx.xx.xx.2 пока так и настроил. вроде всех зайцев убил: жирный юрик не будет со всеми шейпиться, полноценный ип в небольшой бизнес-центр, просто, понятно. если начнутся грабли, будем изучать ip unnumbered на 3750 Edited September 16, 2016 by devd1 Вставить ник Quote
tartila Posted September 16, 2016 Posted September 16, 2016 1. что такое тазик? Это такое слово маркер, по которому опознают проффесианала. Ахахах... На приеме у доктора: - Доктор, что у меня? - Согласно маркерам антител тазика вы - админ. Вставить ник Quote
alibek Posted September 17, 2016 Posted September 17, 2016 Выдавайте в pppoe реальный айпишник тоже не будет перерасхода адресов Обычно ЮЛ требуют статику. Вставить ник Quote
Serejka Posted September 17, 2016 Posted September 17, 2016 Обычно ЮЛ требуют статику. прям требуют? У нас своя региональная специфика, возможно сильно иная, чем у вас. Для красивой и большой корпоративки, так то и вланчик не жалко, а вот ЮЛ в офисцентрах, с ротацией в среднем раз в 2 месяца обычно имеют теже кухонные тплинки, что и физики. С такими довольно удобно выдавать реальники в пппое, ибо сегодня он им нужен, а завтра не нужен, и сами эти товарищи роутер не перенастроят. По итогу радиус исключает тех.отдел из цепочки абонент-абон.отдел-тех.отдел :) Вставить ник Quote
Serejka Posted September 17, 2016 Posted September 17, 2016 НАТ 1 в 1 не рассматривается? я думаю, что это путь превратить микротик в тыкву, возможно попортить репутацию и вообще заиметь себе много регулярных звонильщиков из числа ЮЛ. Я считаю, что такая концепция defective by design на софтроутере. Вставить ник Quote
alibek Posted September 17, 2016 Posted September 17, 2016 прям требуют? Прям в ТЗ прописывают. Всякие магазинчики у нас подключаются как обычные ФЛ, по оферте. При необходимости можно и статический белый IP выделить на PPPoE, не важно, для ФЛ или для такого магазинчика. А ЮЛ, которым нужна именно выделенная линия с гарантированной полосой — индивидуальный договор, со статической маршрутизацией. Вставить ник Quote
Serejka Posted September 17, 2016 Posted September 17, 2016 прям требуют? Прям в ТЗ прописывают. Всякие магазинчики у нас подключаются как обычные ФЛ, по оферте. При необходимости можно и статический белый IP выделить на PPPoE, не важно, для ФЛ или для такого магазинчика. А ЮЛ, которым нужна именно выделенная линия с гарантированной полосой — индивидуальный договор, со статической маршрутизацией. если я правильно понял, доступ у нас аналогичный. Массовый упор в pppoe, индивидуальный в статике. Вставить ник Quote
WY6EPT Posted September 23, 2016 Posted September 23, 2016 Мне вот интересен другой момент, по политичесим соображениям вы не хотите что бы юрики с внешними айпишниками друг с другом общались? Так? Но при этом вы не думаете, что они с внешними адресами и таки должны друг с другом общаться. Тут на лицо не правильные религиозные убеждения, вы пытаетесь решить проблему, которую изначально не нужно было решать. Всех в один влан и не парить мозги. На край можно на коммутаторе на порту исходящий трафик в сторону абонента порезать. И сети целы и вы не озадачены лишним гемороем и стабильность сети выше. П.с. А если второй юрик поднимет у себя сайт и первый с третьим юриком захотят этот сайт посмотреть? А то и вообще решать, что там важный для их бизнеса контент :) Вставить ник Quote
alibek Posted September 24, 2016 Posted September 24, 2016 по политичесим соображениям вы не хотите что бы юрики с внешними айпишниками друг с другом общались? Откуда такой вывод? Всех в один влан и не парить мозги. Глупость. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.