Kato Posted September 4, 2018 Posted September 4, 2018 Здравствуйте. Стоит задача маршрутизации внешних IP-адресов непосредственно с устройств клиентов (IPoE) через OSPF-сеть. Ближайшие узлы агрегации DGS-3627G. Сейчас клиентам выдаются серые IP-адреса и далее посредством OSPF они достигают нескольких BRAS-серверов (+NAT). Ну и далее через несколько внешних IP-адресов уходят в сеть Интернет. Возникла идея повесить небольшие внешние подсети на те же DGS-3627G и так же пробрасывать их через OSPF до BRAS. Шлюзом для каждой подсети будет являться ближайший DGS-3627G. Но меня беспокоит вопрос безопасности при назначении коммутаторам DGS-3627G внешних IP-адресов. Поэтому ищу другие варианты решения данной задачи. Подскажите, пожалуйста, другие способы решения данной задачи или поделитесь опытом. Вставить ник Quote
Pinkbyte Posted September 4, 2018 Posted September 4, 2018 А то что трасса у клиентов будет через серые адреса - это вас устраивает? А то это конечно не ужас-ужас, но всё-таки не комильфо По теме - если trusted host в D-Link-ах настроен - проблем быть не должно(ровно настолько, насколько их нет в D-Link-ах, конечно же). Вставить ник Quote
Kato Posted September 4, 2018 Author Posted September 4, 2018 (edited) 5 минут назад, Pinkbyte сказал: По теме - если trusted host в D-Link-ах настроен - проблем быть не должно(ровно настолько, насколько их нет в D-Link-ах, конечно же). Достаточно ли надёжен механизм trusted host в данном случае? А если DDOS на IP-адрес коммутатора извне? Цитата А то что трасса у клиентов будет через серые адреса - это вас устраивает? А то это конечно не ужас-ужас, но всё-таки не комильфо Ну длинк не умеют скрывать hop, к сожалению. Да и не вижу я в этом проблемы особо. Edited September 4, 2018 by Kato Вставить ник Quote
Pinkbyte Posted September 4, 2018 Posted September 4, 2018 При настроенном trusted host коммутатор не будет отвечать на запросы на свои IP если они поступили не из списка trusted host. Насколько этот отлуп будет быстро происходить - без понятия. Но в D-Link-е есть safeguard и CPU protect - настройте их тоже. Сразу уточню - одного safeguard-а будет недостаточно, он - не панацея Вставить ник Quote
VolanD666 Posted September 4, 2018 Posted September 4, 2018 4 часа назад, Pinkbyte сказал: А то что трасса у клиентов будет через серые адреса - это вас устраивает? А то это конечно не ужас-ужас, но всё-таки не комильфо По теме - если trusted host в D-Link-ах настроен - проблем быть не должно(ровно настолько, насколько их нет в D-Link-ах, конечно же). А можно узнать что такого страшного в серых адресах в трассе? Вставить ник Quote
vurd Posted September 4, 2018 Posted September 4, 2018 2 часа назад, VolanD666 сказал: А можно узнать что такого страшного в серых адресах в трассе? Оооо, тут был один деятель, который доказывал, что если в трассе серые адреса, то скорость ниже =) Поищите поиском. Вставить ник Quote
s.lobanov Posted September 4, 2018 Posted September 4, 2018 я даже ник запомнил этого клоуна - то ли vlad1, то ли vlad11. можете поискать его посты. Вставить ник Quote
VolanD666 Posted September 5, 2018 Posted September 5, 2018 7 часов назад, vurd сказал: Оооо, тут был один деятель, который доказывал, что если в трассе серые адреса, то скорость ниже =) Поищите поиском. О да, читал я этот пост. Давно так не ржал :) Вставить ник Quote
pingz Posted September 5, 2018 Posted September 5, 2018 Уже около года на серых работаю. MX80 <--ospf nssa--> mikrotik <--pppoe-->клиент Жалоб не было, полет нормальный. Маршрутов правда много с /32. Зачем коммутаторы светить в интернет? Вставить ник Quote
rm_ Posted September 5, 2018 Posted September 5, 2018 14 hours ago, VolanD666 said: А можно узнать что такого страшного в серых адресах в трассе? Если ты домосеточка и колхоз то ничего, а вот если ты магистральный оператор и серые адреса у тебя в трассе между континентами, то выглядит как домосеточка и колхоз. Вставить ник Quote
alibek Posted September 5, 2018 Posted September 5, 2018 Тем не менее, крупные магистралы серыми адресами не брезгуют. Вставить ник Quote
VolanD666 Posted September 5, 2018 Posted September 5, 2018 (edited) 1 час назад, rm_ сказал: Если ты домосеточка и колхоз то ничего, а вот если ты магистральный оператор и серые адреса у тебя в трассе между континентами, то выглядит как домосеточка и колхоз. Вы знаете, не соглашусь. Для меня "колхоз и домосеточка"- это когда звонишь инженеру (не мальчику на телефоне, а именно инженеру) какого-нить оператора и рассказываешь ему как устроена его сеть и что надо ему настроить чтобы у тебя все заработало. А покупать белую сеть для транспорта чтобы просто выглядеть как крутой пацан- это глупо и бессмысленная трата денег ИМХО. Edited September 5, 2018 by VolanD666 Вставить ник Quote
vurd Posted September 5, 2018 Posted September 5, 2018 55 минут назад, alibek сказал: Тем не менее, крупные магистралы серыми адресами не брезгуют. Разумеется. А как еще то? Это же огромная mpls сеть, там в глобале только и получается, что на серых поднять всё. Ибо маршутизации быть во вне не может быть с него. Вставить ник Quote
alibek Posted September 5, 2018 Posted September 5, 2018 3 часа назад, pingz сказал: Зачем коммутаторы светить в интернет? Почему коммутаторы то? Маршрутизаторы. Вставить ник Quote
TheUser Posted September 5, 2018 Posted September 5, 2018 Серые адреса в трассировке - плохо, выключишь mpls ttl propagate - снова плохо... Вставить ник Quote
alibek Posted September 5, 2018 Posted September 5, 2018 3 минуты назад, TheUser сказал: Серые адреса в трассировке - плохо Ну как плохо — скорее непривычно и усложняет траблшутинг. Меня поначалу 10.222.x.x в Мегафоновских трассах смущало, равно как их стремление все прятать в туннели. Но по факту все работает нормально. А сложности траблшутинга — это сложности самого магистрала, уж он то свою сеть знает. Вставить ник Quote
pingz Posted September 5, 2018 Posted September 5, 2018 @alibek 8 часов назад, alibek сказал: Почему коммутаторы то? Маршрутизаторы. DGS-3627G. ок это маршрутизатор с этой минуты Вставить ник Quote
Kato Posted September 5, 2018 Author Posted September 5, 2018 13 часов назад, pingz сказал: Уже около года на серых работаю. MX80 <--ospf nssa--> mikrotik <--pppoe-->клиент Жалоб не было, полет нормальный. Маршрутов правда много с /32. Зачем коммутаторы светить в интернет? Я же писал, что там нет никакого ПППоЕ. И вводить его не планируется. Очевидно, что если бы там были туннели в каком-либо виде вопрос бы отпадал сам собой. Да и услуга эта не для всех. Я просто хочу отойти от терминирования VLAN-ов до BRAS-а каким-то адекватным способом. Вставить ник Quote
pingz Posted September 5, 2018 Posted September 5, 2018 @Kato замени на ipoe статикой или динамикои в чем проблема? Вставить ник Quote
Pinkbyte Posted September 7, 2018 Posted September 7, 2018 On 04.09.2018 at 6:12 PM, VolanD666 said: А можно узнать что такого страшного в серых адресах в трассе? Технически - ничего. Но есть "умные" клиенты, которых это напрягает Вставить ник Quote
azhur Posted September 9, 2018 Posted September 9, 2018 В 07.09.2018 в 15:12, Pinkbyte сказал: Технически - ничего. Но есть "умные" клиенты, которых это напрягает Из личного опыта, гораздо сильнее и чаще напрягают "звёзды" в трассировке, если в локалке у юрика и у провайдера используются пересекающиеся диапазоны серых адресов. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.