Jump to content
Калькуляторы

Маршрутизация внешних IP-адресов

Здравствуйте.

Стоит задача маршрутизации внешних IP-адресов непосредственно с устройств клиентов (IPoE) через OSPF-сеть. Ближайшие узлы агрегации DGS-3627G.

Сейчас клиентам выдаются серые IP-адреса и далее посредством OSPF они достигают нескольких BRAS-серверов (+NAT). Ну и далее через несколько внешних IP-адресов уходят в сеть Интернет.

Возникла идея повесить небольшие внешние подсети на те же DGS-3627G и так же пробрасывать их через OSPF до BRAS. Шлюзом для каждой подсети будет являться ближайший DGS-3627G. Но меня беспокоит вопрос безопасности при назначении коммутаторам DGS-3627G внешних IP-адресов. Поэтому ищу другие варианты решения данной задачи.

Подскажите, пожалуйста, другие способы решения данной задачи или поделитесь опытом.

 

Share this post


Link to post
Share on other sites

А то что трасса у клиентов будет через серые адреса - это вас устраивает? А то это конечно не ужас-ужас, но всё-таки не комильфо

По теме - если trusted host в D-Link-ах настроен - проблем быть не должно(ровно настолько, насколько их нет в D-Link-ах, конечно же).

Share this post


Link to post
Share on other sites
5 минут назад, Pinkbyte сказал:

По теме - если trusted host в D-Link-ах настроен - проблем быть не должно(ровно настолько, насколько их нет в D-Link-ах, конечно же).

Достаточно ли надёжен механизм trusted host в данном случае? А если DDOS на IP-адрес коммутатора извне?

Цитата

А то что трасса у клиентов будет через серые адреса - это вас устраивает? А то это конечно не ужас-ужас, но всё-таки не комильфо

Ну длинк не умеют скрывать hop, к сожалению. Да и не вижу я в этом проблемы особо.

Edited by Kato

Share this post


Link to post
Share on other sites

При настроенном trusted host коммутатор не будет отвечать на запросы на свои IP если они поступили не из списка trusted host. Насколько этот отлуп будет быстро происходить - без понятия. Но в D-Link-е есть safeguard и CPU protect - настройте их тоже. Сразу уточню - одного safeguard-а будет недостаточно, он - не панацея

Share this post


Link to post
Share on other sites
4 часа назад, Pinkbyte сказал:

А то что трасса у клиентов будет через серые адреса - это вас устраивает? А то это конечно не ужас-ужас, но всё-таки не комильфо

По теме - если trusted host в D-Link-ах настроен - проблем быть не должно(ровно настолько, насколько их нет в D-Link-ах, конечно же).

А можно узнать что такого страшного в серых адресах в трассе?

Share this post


Link to post
Share on other sites
2 часа назад, VolanD666 сказал:

А можно узнать что такого страшного в серых адресах в трассе?

Оооо, тут был один деятель, который доказывал, что если в трассе серые адреса, то скорость ниже =)

Поищите поиском.

Share this post


Link to post
Share on other sites

я даже ник запомнил этого клоуна - то ли vlad1, то ли vlad11. можете поискать его посты.

Share this post


Link to post
Share on other sites
7 часов назад, vurd сказал:

Оооо, тут был один деятель, который доказывал, что если в трассе серые адреса, то скорость ниже =)

Поищите поиском.

О да, читал я этот пост. Давно так не ржал :)

Share this post


Link to post
Share on other sites

Уже около года на серых работаю.

MX80 <--ospf nssa--> mikrotik <--pppoe-->клиент

Жалоб не было, полет нормальный.

Маршрутов правда много с /32.

 

Зачем коммутаторы светить в интернет?

Share this post


Link to post
Share on other sites
14 hours ago, VolanD666 said:

А можно узнать что такого страшного в серых адресах в трассе?

Если ты домосеточка и колхоз то ничего, а вот если ты магистральный оператор и серые адреса у тебя в трассе между континентами, то выглядит как домосеточка и колхоз.

Share this post


Link to post
Share on other sites

Тем не менее, крупные магистралы серыми адресами не брезгуют.

Share this post


Link to post
Share on other sites
1 час назад, rm_ сказал:

Если ты домосеточка и колхоз то ничего, а вот если ты магистральный оператор и серые адреса у тебя в трассе между континентами, то выглядит как домосеточка и колхоз.

Вы знаете, не соглашусь. Для меня "колхоз и домосеточка"- это когда звонишь инженеру (не мальчику на телефоне, а именно инженеру) какого-нить оператора и рассказываешь ему как устроена его сеть и что надо ему настроить чтобы у тебя все заработало. А покупать белую сеть для транспорта чтобы просто выглядеть как крутой пацан- это глупо и бессмысленная трата денег ИМХО.

Edited by VolanD666

Share this post


Link to post
Share on other sites
55 минут назад, alibek сказал:

Тем не менее, крупные магистралы серыми адресами не брезгуют.

Разумеется. А как еще то? Это же огромная mpls сеть, там в глобале только и получается, что на серых поднять всё. Ибо маршутизации быть во вне не может быть с него.

Share this post


Link to post
Share on other sites
3 часа назад, pingz сказал:

Зачем коммутаторы светить в интернет?

Почему коммутаторы то?

Маршрутизаторы.

Share this post


Link to post
Share on other sites

Серые адреса в трассировке - плохо, выключишь mpls ttl propagate - снова плохо...

 

Share this post


Link to post
Share on other sites
3 минуты назад, TheUser сказал:

Серые адреса в трассировке - плохо

Ну как плохо — скорее непривычно и усложняет траблшутинг.

Меня поначалу 10.222.x.x в Мегафоновских трассах смущало, равно как их стремление все прятать в туннели.

Но по факту все работает нормально.

А сложности траблшутинга — это сложности самого магистрала, уж он то свою сеть знает.

Share this post


Link to post
Share on other sites

@alibek 

8 часов назад, alibek сказал:

Почему коммутаторы то?

Маршрутизаторы.

DGS-3627G.

ок это маршрутизатор с этой минуты

Share this post


Link to post
Share on other sites
13 часов назад, pingz сказал:

Уже около года на серых работаю.

MX80 <--ospf nssa--> mikrotik <--pppoe-->клиент

Жалоб не было, полет нормальный.

Маршрутов правда много с /32.

 

Зачем коммутаторы светить в интернет?

Я же писал, что там нет никакого ПППоЕ. И вводить его не планируется. Очевидно, что если бы там были туннели в каком-либо виде вопрос бы отпадал сам собой. Да и услуга эта не для всех. Я просто хочу отойти от терминирования VLAN-ов до BRAS-а каким-то адекватным способом.

Share this post


Link to post
Share on other sites

@Kato замени на ipoe статикой или динамикои в чем проблема?

 

Share this post


Link to post
Share on other sites
On 04.09.2018 at 6:12 PM, VolanD666 said:

А можно узнать что такого страшного в серых адресах в трассе?

Технически - ничего. Но есть "умные" клиенты, которых это напрягает

Share this post


Link to post
Share on other sites
В 07.09.2018 в 15:12, Pinkbyte сказал:

Технически - ничего. Но есть "умные" клиенты, которых это напрягает

Из личного опыта, гораздо сильнее и чаще напрягают "звёзды" в трассировке, если в локалке у юрика и у провайдера используются пересекающиеся диапазоны серых адресов.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now