dmitriyrsl Posted May 4, 2018 Posted May 4, 2018 Доброго времени суток коллеги! Пытаюсь настроить работу IPoE на Cisco ASR-10002, все вроде получается, но один нюанс никак не могу понять как сделать. Суть такая: Абоненты получают серые адреса, авторизуются на радиусе и натятся самой ASR. Все хорошо до момента, пока абонент не захочет получить себе личный белый адрес. И вот тут я не могу сообразить как правильно все сделать. В идеале схема должна быть такой: 1 Радиус выдает аттрибут с Framed-Route где содержится белый адрес или подсеть белых адресов 2 ASR прописывает себе в маршрутах этот раут на серый адрес абонента 3 Трафик, который идет на- и с- этого адреса не натится 4 Трафик на белый адрес подпадает под те-же полиси, что и основная сессия абонента 5 У абонента одновременно есть и серый и белый адрес. С серым адресом он может ходить только на внутренние ресурсы, а с белым только в инет. Перерыл весь инет и не смог найти хоть сколь-нибудь внятного описания как это можно реализовать. Нашел только информацию о том, что атрибут Framed-Route не будет срабатывать, если работает нат. Попробовал - действительно, циска Framed-Route принимает, показывает в данных сессии, но в таблице маршрутов его нет. Подскажите кто знает как реализовать подобную схему, желательно с фрагментами конфигов. Вставить ник Quote
rdc Posted May 4, 2018 Posted May 4, 2018 каким образом у абонента будет одновременно два адреса в ipoe? каким образом абонент будет выбирать, на какие ресурсы с какого адреса он выходит? и главный вопрос - нафик это надо? почему не оставить такому абоненту один белый и всё? Вставить ник Quote
dmitriyrsl Posted May 4, 2018 Author Posted May 4, 2018 1 minute ago, rdc said: каким образом у абонента будет одновременно два адреса в ipoe? каким образом абонент будет выбирать, на какие ресурсы с какого адреса он выходит? и главный вопрос - нафик это надо? почему не оставить такому абоненту один белый и всё? 1 абонент может статически прописать оба адреса на интерфейсе, может сделать, чтобы серый адрес получался по DHCP а белы был на втором интерфейсе (Это для винды например) 2 абонент не должен выбирать на какие ресурсы с какого адреса он пойдет, выбирать должен ASR на основании того, с какого адреса пришел трафик 3 иногда сеть провайдера используется как транзитная сеть например между разными филиалами одной организации. Не выдавать-же всем филиалам белые адреса. Не знаю как Вам, но мне удобно если я знаю, что у абонента обязательно есть серый адрес, который откликается даже если у абонента инет отключен за неуплату. Вставить ник Quote
rdc Posted May 4, 2018 Posted May 4, 2018 я правильно понимаю, что вся ваша сеть - один огромный L2 сегмент с серыми адресами, в котором одновременно варятся все абоненты, включая филиалы организаций и внутренние ресурсы? и непонятен такой момент - как связано отключение инета за неуплату с доступностью белого или серого адреса? Вставить ник Quote
dmitriyrsl Posted May 4, 2018 Author Posted May 4, 2018 2 minutes ago, rdc said: я правильно понимаю, что вся ваша сеть - один огромный L2 сегмент с серыми адресами, в котором одновременно варятся все абоненты, включая филиалы организаций и внутренние ресурсы? и непонятен такой момент - как связано отключение инета за неуплату с доступностью белого или серого адреса? нет, у нас не один огромный сегмент L2, сеть разделена на сегменты с маршрутизацией давайте не вдаваться в мои мотивы, а вернемся вопросу реализации. Но разделение сегментов планируется делать на ASR, поэтому для ASR конечные абоненты видны в пределах одного L2 сегмента. Вставить ник Quote
rdc Posted May 4, 2018 Posted May 4, 2018 я вдаюсь не в мотивы, а в маршрутизацию: если бы у вас был один огромный сегмент, схема с двумя адресами действительно позволяла бы посещать внутренние ресурсы с серого адреса, а интернет с белого (если указан белый шлюз). но вот если сегментов несколько, и вы дадите абоненту два адреса - то серые ресурсы за пределами своего серого сегмента он будет посещать вовсе не с серого, а с белого! придётся либо смириться с этим фактом, либо изобретать маршруты со стороны абонента. Вставить ник Quote
dmitriyrsl Posted May 4, 2018 Author Posted May 4, 2018 36 minutes ago, rdc said: я вдаюсь не в мотивы, а в маршрутизацию: если бы у вас был один огромный сегмент, схема с двумя адресами действительно позволяла бы посещать внутренние ресурсы с серого адреса, а интернет с белого (если указан белый шлюз). но вот если сегментов несколько, и вы дадите абоненту два адреса - то серые ресурсы за пределами своего серого сегмента он будет посещать вовсе не с серого, а с белого! придётся либо смириться с этим фактом, либо изобретать маршруты со стороны абонента. давайте порассуждаем на примере: пусть ASR на интерфейсе смотрящем к абоненту имеет адрес: IP 10.0.0.254/24 у абонента серый адрес: 10.0.0.1/24 у абонента белый адрес: 195.0.0.100/32 у абонента шлюзом указан ASR 10.0.0.254 в самом простом случае все пакеты абонента будут иметь обратный адрес 10.0.0.1 при поступлении на ASR они маршрутизируются на серые адреса без проблем, а для выхода в инет нужен НАТ, с подстановкой белого адреса абонента, что будет иметь свои сложности. Если-же от абонента изначально приходит пакет с белого адреса, то он вполне нормально может уходить в инет без всякого НАТа и приходить обратно (маршрутизация на абонента прописана через Framed-Route) Остается только проблема в том, как заставить абонента подставлять исходным адресом белый адрес. По идее нужен отдельный шлюз для белого адреса, чтобы можно было в таблице маршрутизации его указывать дефолтом, а серые адреса маршрутизировать на серый адрес ASR (10.0.0.254). Вполне возможно это устроить если дать ASR дополнительный адрес специально для таких случаев, скажем 195.0.0.1/24. тогда таблица маршрутов у такого абонента может выглядеть так: route add 10.0.0.1/8 10.0.0.254 route add default 195.0.0.1 а на интерфейсе будет и белый и серый адрес по сути вы правильно написали, маршрут со стороны абонента нужен... и это сосем не потребует никаких усилий, т.к. его можно выдавать даже по DHCP (имеется опыт в этом). Вставить ник Quote
rdc Posted May 4, 2018 Posted May 4, 2018 да, в теории всё так. но всё портит практика: всё это споткнётся на первом же абонентском роутере… Вставить ник Quote
zhenya` Posted May 5, 2018 Posted May 5, 2018 Сомнительное удовольствие от двойной адресации. К тому же абон устройства не поймут такое. Вставить ник Quote
alibek Posted May 5, 2018 Posted May 5, 2018 Никогда не слышал, чтобы кто-то на практике использовал двойную адресацию. Это для гиков и для стенда баловство, не для продакшна. Насколько я знаю, обычно на практике всегда выдают серые адреса, к которым потом применяют либо NAT 1:1 (для выделенного IP), либо CG-NAT (для остальных). Можно и белые IP выдавать, это проще в реализации и в использовании, но тогда сложно обеспечить эффективное использование адресов. Вставить ник Quote
dmitriyrsl Posted May 5, 2018 Author Posted May 5, 2018 (edited) А если все таки отвлечься от целесообразности и вернуться к реализации, то как такое можно организовать на ASR? Я так понимаю, что вопрос обхода ната для белых адресов решается просто акцесс-листом самого ната, в котором будет указано, что натить нужно только серые адреса или еще что-то может потребоваться? Вот что пишет Cisco о Framed-Route: Quote Framed Route allowsto route customer additional networks (behind CPE) through customer broadband connection in ISG. IPoE with Framed Route has relevance only when CPE acts asrouted CPE and NAT is disabled. The following commands were modified: show ip static route,show subscriber session. На практике как это использовать? Quote Насколько я знаю, обычно на практике всегда выдают серые адреса, к которым потом применяют либо NAT 1:1 (для выделенного IP), либо CG-NAT (для остальных). а можно поподробнее про этот вариант? Edited May 5, 2018 by dmitriyrsl Вставить ник Quote
dmitriyrsl Posted May 5, 2018 Author Posted May 5, 2018 пока я вижу только такое вот кривое решение: ip access-list standard NAT deny host 10.0.0.100 permit 10.0.0.0 0.0.0.255 ip nat inside source list NAT pool DYNAMIC-POOL ip nat inside source static 10.0.0.100 195.0.0.20 Оно по сути потребует каждый раз, когда нужно добавить новый белый адрес для абонента, заходить и прописывать вручную все в конфиге циски. Но явно ведь есть решение, которое позволяет получать такого рода настройку с радиуса. Возможно выделение таким абонентам своего vrf... Но vrf тоже ведь надо сначала создать, а потом только можно передавать его в Cisco-AVPair в "ip:vrf-id=<vrf_name>" И возвращаясь к вопросу раутинга хочу спросить: Что вы делаете, когда надо например организовать раутинг целой подсети белых адресов на абонента (крупное предприятие)? Отдельный интерфейс/влан? Но это как-то не очень универсально получается и биллинг при этом выпадает из схемы контроля за абонентом. Вставить ник Quote
GrandPr1de Posted May 6, 2018 Posted May 6, 2018 8 часов назад, dmitriyrsl сказал: И возвращаясь к вопросу раутинга хочу спросить: Что вы делаете, когда надо например организовать раутинг целой подсети белых адресов на абонента (крупное предприятие)? Отдельный интерфейс/влан? Но это как-то не очень универсально получается и биллинг при этом выпадает из схемы контроля за абонентом. Думал целую портянку расписать про бизнес процессы, но они видимо вас мимо обошли, судя по треду. Вставить ник Quote
YuryD Posted May 6, 2018 Posted May 6, 2018 У меня pptp, 7206 и немного аксесслистов для маршрутизации. Реальники, полученные на туннеле просто идут иным маршрутом сразу мимо нат, в другой шлюз. Белые сети у меня есть, но они без нат и ipoe, строю руками всю маршрутизацию Вставить ник Quote
zhenya` Posted May 6, 2018 Posted May 6, 2018 Денай в этом ацл не бесплатный на ASR. При хорошем трафике один денай сильно снижает производительность ( Вставить ник Quote
dmitriyrsl Posted May 6, 2018 Author Posted May 6, 2018 9 hours ago, GrandPr1de said: Думал целую портянку расписать про бизнес процессы, но они видимо вас мимо обошли, судя по треду. хотели поучить меня жизни? ;-) это хорошо, что воздержались ;-) Вставить ник Quote
YuryD Posted May 6, 2018 Posted May 6, 2018 7 минут назад, zhenya` сказал: Денай в этом ацл не бесплатный на ASR. При хорошем трафике один денай сильно снижает производительность ( Роутмапы вполне помогают, хотя и у них acl присутствует. Попался реальник от клиента - заворотим роутмапом в другое место, и нат не надо напрягать при этом. Вставить ник Quote
dmitriyrsl Posted May 6, 2018 Author Posted May 6, 2018 3 hours ago, YuryD said: У меня pptp, 7206 и немного аксесслистов для маршрутизации. Реальники, полученные на туннеле просто идут иным маршрутом сразу мимо нат, в другой шлюз. Белые сети у меня есть, но они без нат и ipoe, строю руками всю маршрутизацию Мне очень хочется избавиться как от PPTP так и от PPPoE... 11 minutes ago, zhenya` said: Денай в этом ацл не бесплатный на ASR. При хорошем трафике один денай сильно снижает производительность ( ну так поделитесь примером конфига, как сделать правильнее... Вставить ник Quote
YuryD Posted May 6, 2018 Posted May 6, 2018 1 минуту назад, dmitriyrsl сказал: Мне очень хочется избавиться как от PPTP так и от PPPoE... ну так поделитесь примером конфига, как сделать правильнее... Ну так, или сами читаете доки, или нанимаете специалиста. Векторы, куда копать, Вам указали. Как правильнее - это уже Вам решать. Платить или самоучиться, вариант курсов не катит, там такие-же уроды из части "как стать бохатым". Вставить ник Quote
dmitriyrsl Posted May 6, 2018 Author Posted May 6, 2018 4 minutes ago, YuryD said: Ну так, или сами читаете доки, или нанимаете специалиста. Векторы, куда копать, Вам указали. Как правильнее - это уже Вам решать. Платить или самоучиться, вариант курсов не катит, там такие-же уроды из части "как стать бохатым". в том-то и дело, что нет никаких векторов... я просил описал варианты как это устроить, чтобы управлять с радиуса, но слово "радиус" в ответах даже не встречалось 13 minutes ago, YuryD said: Роутмапы вполне помогают, хотя и у них acl присутствует. Попался реальник от клиента - заворотим роутмапом в другое место, и нат не надо напрягать при этом. тут выше предлагали вариант выдавать серый адрес и натить его 1в1. Вполне интересная для меня схема, но мне этим процессом надо с радиуса управлять. Вписать это все в сервисы ISG. Раутмапы это позволят сделать? Вставить ник Quote
YuryD Posted May 6, 2018 Posted May 6, 2018 Только что, dmitriyrsl сказал: в том-то и дело, что нет никаких векторов... я просил описал варианты как это устроить, чтобы управлять с радиуса, но слово "радиус" в ответах даже не встречалось Ок, у меня убогий радиус от UTM. Выдаем IP клиенту радиусом на впн в т.ч. и реальники, прямо из биллинга. Нереальники через роутмап прямо идут в нат, реальники - через свой роутмап на другой сервер на основании Ip. Так доступно ? Слово радиус - полезное, при условии что и радиус и nas поймут друг-друга. Nas конечно должен умным :) Вставить ник Quote
zhenya` Posted May 6, 2018 Posted May 6, 2018 отдельные правила для нат 1в1 имхо тоже не бесплатные при большом количестве. давайте людям белые адреса иначе будет боль с всякими днс и прочим. серый адрес и stateless нат 1в1 хостеры чаще используют из-за гибкости.. а вот у тех кто потом обслуживает это вызывает небольшое жжение в 5ой точке ) Вставить ник Quote
dmitriyrsl Posted May 6, 2018 Author Posted May 6, 2018 3 minutes ago, YuryD said: Ок, у меня убогий радиус от UTM. Выдаем IP клиенту радиусом на впн в т.ч. и реальники, прямо из биллинга. Нереальники через роутмап прямо идут в нат, реальники - через свой роутмап на другой сервер на основании Ip. Так доступно ? Слово радиус - полезное, при условии что и радиус и nas поймут друг-друга. Nas конечно должен умным :) судя по вашему описанию у вас не IPoE... в схеме с IPoE я тоже могу на DHCP настроить выдачу реальных IP нужным абонентам, но это будет совсем не то, что нужно... И как выдавать реальники в аттрибуте Framed-IP-Address для PPTP и PPPoE я тоже знаю, но это не мой случай, я как раз хочу от этого уйти. 8 minutes ago, zhenya` said: отдельные правила для нат 1в1 имхо тоже не бесплатные при большом количестве. давайте людям белые адреса иначе будет боль с всякими днс и прочим. Циска вообще ничего бесплатно не делает.... :-) Выжать из нее по максимуму, используя только наименее ресурсоемкие методы конечно хорошо, но не всегда оправдано и удобно. И какая может быть боль с ДНС? Вставить ник Quote
YuryD Posted May 6, 2018 Posted May 6, 2018 3 минуты назад, dmitriyrsl сказал: судя по вашему описанию у вас не IPoE... в схеме с IPoE я тоже могу на DHCP настроить выдачу реальных IP нужным абонентам, но это будет совсем не то, что нужно... И как выдавать реальники в аттрибуте Framed-IP-Address для PPTP и PPPoE я тоже знаю, но это не мой случай, я как раз хочу от этого уйти. Для начала - буквари почитайте. Затем тут уже спрашивайте. И прощайте. Вставить ник Quote
zhenya` Posted May 6, 2018 Posted May 6, 2018 9 минут назад, dmitriyrsl сказал: судя по вашему описанию у вас не IPoE... в схеме с IPoE я тоже могу на DHCP настроить выдачу реальных IP нужным абонентам, но это будет совсем не то, что нужно... И как выдавать реальники в аттрибуте Framed-IP-Address для PPTP и PPPoE я тоже знаю, но это не мой случай, я как раз хочу от этого уйти. Циска вообще ничего бесплатно не делает.... :-) Выжать из нее по максимуму, используя только наименее ресурсоемкие методы конечно хорошо, но не всегда оправдано и удобно. И какая может быть боль с ДНС? Например то, что доступ к такому клиенту внутри сети нужно получать по серому адресу (при нате 1в1). По белому не выйдет зайти, надеюсь сами поймете почему. Попробуйте посмотреть в сторону абонентского оборудования и посмотрите выйдет ли сделать что-то там из того что вы хотите сделать без учета браса. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.