Kato Posted September 4, 2018 · Report post Здравствуйте. Стоит задача маршрутизации внешних IP-адресов непосредственно с устройств клиентов (IPoE) через OSPF-сеть. Ближайшие узлы агрегации DGS-3627G. Сейчас клиентам выдаются серые IP-адреса и далее посредством OSPF они достигают нескольких BRAS-серверов (+NAT). Ну и далее через несколько внешних IP-адресов уходят в сеть Интернет. Возникла идея повесить небольшие внешние подсети на те же DGS-3627G и так же пробрасывать их через OSPF до BRAS. Шлюзом для каждой подсети будет являться ближайший DGS-3627G. Но меня беспокоит вопрос безопасности при назначении коммутаторам DGS-3627G внешних IP-адресов. Поэтому ищу другие варианты решения данной задачи. Подскажите, пожалуйста, другие способы решения данной задачи или поделитесь опытом. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Pinkbyte Posted September 4, 2018 · Report post А то что трасса у клиентов будет через серые адреса - это вас устраивает? А то это конечно не ужас-ужас, но всё-таки не комильфо По теме - если trusted host в D-Link-ах настроен - проблем быть не должно(ровно настолько, насколько их нет в D-Link-ах, конечно же). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Kato Posted September 4, 2018 (edited) · Report post 5 минут назад, Pinkbyte сказал: По теме - если trusted host в D-Link-ах настроен - проблем быть не должно(ровно настолько, насколько их нет в D-Link-ах, конечно же). Достаточно ли надёжен механизм trusted host в данном случае? А если DDOS на IP-адрес коммутатора извне? Цитата А то что трасса у клиентов будет через серые адреса - это вас устраивает? А то это конечно не ужас-ужас, но всё-таки не комильфо Ну длинк не умеют скрывать hop, к сожалению. Да и не вижу я в этом проблемы особо. Edited September 4, 2018 by Kato Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Pinkbyte Posted September 4, 2018 · Report post При настроенном trusted host коммутатор не будет отвечать на запросы на свои IP если они поступили не из списка trusted host. Насколько этот отлуп будет быстро происходить - без понятия. Но в D-Link-е есть safeguard и CPU protect - настройте их тоже. Сразу уточню - одного safeguard-а будет недостаточно, он - не панацея Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted September 4, 2018 · Report post 4 часа назад, Pinkbyte сказал: А то что трасса у клиентов будет через серые адреса - это вас устраивает? А то это конечно не ужас-ужас, но всё-таки не комильфо По теме - если trusted host в D-Link-ах настроен - проблем быть не должно(ровно настолько, насколько их нет в D-Link-ах, конечно же). А можно узнать что такого страшного в серых адресах в трассе? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted September 4, 2018 · Report post 2 часа назад, VolanD666 сказал: А можно узнать что такого страшного в серых адресах в трассе? Оооо, тут был один деятель, который доказывал, что если в трассе серые адреса, то скорость ниже =) Поищите поиском. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted September 4, 2018 · Report post я даже ник запомнил этого клоуна - то ли vlad1, то ли vlad11. можете поискать его посты. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted September 5, 2018 · Report post 7 часов назад, vurd сказал: Оооо, тут был один деятель, который доказывал, что если в трассе серые адреса, то скорость ниже =) Поищите поиском. О да, читал я этот пост. Давно так не ржал :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted September 5, 2018 · Report post Уже около года на серых работаю. MX80 <--ospf nssa--> mikrotik <--pppoe-->клиент Жалоб не было, полет нормальный. Маршрутов правда много с /32. Зачем коммутаторы светить в интернет? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rm_ Posted September 5, 2018 · Report post 14 hours ago, VolanD666 said: А можно узнать что такого страшного в серых адресах в трассе? Если ты домосеточка и колхоз то ничего, а вот если ты магистральный оператор и серые адреса у тебя в трассе между континентами, то выглядит как домосеточка и колхоз. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted September 5, 2018 · Report post Тем не менее, крупные магистралы серыми адресами не брезгуют. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted September 5, 2018 (edited) · Report post 1 час назад, rm_ сказал: Если ты домосеточка и колхоз то ничего, а вот если ты магистральный оператор и серые адреса у тебя в трассе между континентами, то выглядит как домосеточка и колхоз. Вы знаете, не соглашусь. Для меня "колхоз и домосеточка"- это когда звонишь инженеру (не мальчику на телефоне, а именно инженеру) какого-нить оператора и рассказываешь ему как устроена его сеть и что надо ему настроить чтобы у тебя все заработало. А покупать белую сеть для транспорта чтобы просто выглядеть как крутой пацан- это глупо и бессмысленная трата денег ИМХО. Edited September 5, 2018 by VolanD666 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted September 5, 2018 · Report post 55 минут назад, alibek сказал: Тем не менее, крупные магистралы серыми адресами не брезгуют. Разумеется. А как еще то? Это же огромная mpls сеть, там в глобале только и получается, что на серых поднять всё. Ибо маршутизации быть во вне не может быть с него. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted September 5, 2018 · Report post 3 часа назад, pingz сказал: Зачем коммутаторы светить в интернет? Почему коммутаторы то? Маршрутизаторы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
TheUser Posted September 5, 2018 · Report post Серые адреса в трассировке - плохо, выключишь mpls ttl propagate - снова плохо... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted September 5, 2018 · Report post 3 минуты назад, TheUser сказал: Серые адреса в трассировке - плохо Ну как плохо — скорее непривычно и усложняет траблшутинг. Меня поначалу 10.222.x.x в Мегафоновских трассах смущало, равно как их стремление все прятать в туннели. Но по факту все работает нормально. А сложности траблшутинга — это сложности самого магистрала, уж он то свою сеть знает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted September 5, 2018 · Report post @alibek 8 часов назад, alibek сказал: Почему коммутаторы то? Маршрутизаторы. DGS-3627G. ок это маршрутизатор с этой минуты Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Kato Posted September 5, 2018 · Report post 13 часов назад, pingz сказал: Уже около года на серых работаю. MX80 <--ospf nssa--> mikrotik <--pppoe-->клиент Жалоб не было, полет нормальный. Маршрутов правда много с /32. Зачем коммутаторы светить в интернет? Я же писал, что там нет никакого ПППоЕ. И вводить его не планируется. Очевидно, что если бы там были туннели в каком-либо виде вопрос бы отпадал сам собой. Да и услуга эта не для всех. Я просто хочу отойти от терминирования VLAN-ов до BRAS-а каким-то адекватным способом. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted September 5, 2018 · Report post @Kato замени на ipoe статикой или динамикои в чем проблема? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Pinkbyte Posted September 7, 2018 · Report post On 04.09.2018 at 6:12 PM, VolanD666 said: А можно узнать что такого страшного в серых адресах в трассе? Технически - ничего. Но есть "умные" клиенты, которых это напрягает Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
azhur Posted September 9, 2018 · Report post В 07.09.2018 в 15:12, Pinkbyte сказал: Технически - ничего. Но есть "умные" клиенты, которых это напрягает Из личного опыта, гораздо сильнее и чаще напрягают "звёзды" в трассировке, если в локалке у юрика и у провайдера используются пересекающиеся диапазоны серых адресов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...