Kato Опубликовано 4 сентября, 2018 · Жалоба Здравствуйте. Стоит задача маршрутизации внешних IP-адресов непосредственно с устройств клиентов (IPoE) через OSPF-сеть. Ближайшие узлы агрегации DGS-3627G. Сейчас клиентам выдаются серые IP-адреса и далее посредством OSPF они достигают нескольких BRAS-серверов (+NAT). Ну и далее через несколько внешних IP-адресов уходят в сеть Интернет. Возникла идея повесить небольшие внешние подсети на те же DGS-3627G и так же пробрасывать их через OSPF до BRAS. Шлюзом для каждой подсети будет являться ближайший DGS-3627G. Но меня беспокоит вопрос безопасности при назначении коммутаторам DGS-3627G внешних IP-адресов. Поэтому ищу другие варианты решения данной задачи. Подскажите, пожалуйста, другие способы решения данной задачи или поделитесь опытом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pinkbyte Опубликовано 4 сентября, 2018 · Жалоба А то что трасса у клиентов будет через серые адреса - это вас устраивает? А то это конечно не ужас-ужас, но всё-таки не комильфо По теме - если trusted host в D-Link-ах настроен - проблем быть не должно(ровно настолько, насколько их нет в D-Link-ах, конечно же). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kato Опубликовано 4 сентября, 2018 (изменено) · Жалоба 5 минут назад, Pinkbyte сказал: По теме - если trusted host в D-Link-ах настроен - проблем быть не должно(ровно настолько, насколько их нет в D-Link-ах, конечно же). Достаточно ли надёжен механизм trusted host в данном случае? А если DDOS на IP-адрес коммутатора извне? Цитата А то что трасса у клиентов будет через серые адреса - это вас устраивает? А то это конечно не ужас-ужас, но всё-таки не комильфо Ну длинк не умеют скрывать hop, к сожалению. Да и не вижу я в этом проблемы особо. Изменено 4 сентября, 2018 пользователем Kato Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pinkbyte Опубликовано 4 сентября, 2018 · Жалоба При настроенном trusted host коммутатор не будет отвечать на запросы на свои IP если они поступили не из списка trusted host. Насколько этот отлуп будет быстро происходить - без понятия. Но в D-Link-е есть safeguard и CPU protect - настройте их тоже. Сразу уточню - одного safeguard-а будет недостаточно, он - не панацея Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 4 сентября, 2018 · Жалоба 4 часа назад, Pinkbyte сказал: А то что трасса у клиентов будет через серые адреса - это вас устраивает? А то это конечно не ужас-ужас, но всё-таки не комильфо По теме - если trusted host в D-Link-ах настроен - проблем быть не должно(ровно настолько, насколько их нет в D-Link-ах, конечно же). А можно узнать что такого страшного в серых адресах в трассе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 4 сентября, 2018 · Жалоба 2 часа назад, VolanD666 сказал: А можно узнать что такого страшного в серых адресах в трассе? Оооо, тут был один деятель, который доказывал, что если в трассе серые адреса, то скорость ниже =) Поищите поиском. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 4 сентября, 2018 · Жалоба я даже ник запомнил этого клоуна - то ли vlad1, то ли vlad11. можете поискать его посты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 5 сентября, 2018 · Жалоба 7 часов назад, vurd сказал: Оооо, тут был один деятель, который доказывал, что если в трассе серые адреса, то скорость ниже =) Поищите поиском. О да, читал я этот пост. Давно так не ржал :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 5 сентября, 2018 · Жалоба Уже около года на серых работаю. MX80 <--ospf nssa--> mikrotik <--pppoe-->клиент Жалоб не было, полет нормальный. Маршрутов правда много с /32. Зачем коммутаторы светить в интернет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rm_ Опубликовано 5 сентября, 2018 · Жалоба 14 hours ago, VolanD666 said: А можно узнать что такого страшного в серых адресах в трассе? Если ты домосеточка и колхоз то ничего, а вот если ты магистральный оператор и серые адреса у тебя в трассе между континентами, то выглядит как домосеточка и колхоз. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 5 сентября, 2018 · Жалоба Тем не менее, крупные магистралы серыми адресами не брезгуют. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 5 сентября, 2018 (изменено) · Жалоба 1 час назад, rm_ сказал: Если ты домосеточка и колхоз то ничего, а вот если ты магистральный оператор и серые адреса у тебя в трассе между континентами, то выглядит как домосеточка и колхоз. Вы знаете, не соглашусь. Для меня "колхоз и домосеточка"- это когда звонишь инженеру (не мальчику на телефоне, а именно инженеру) какого-нить оператора и рассказываешь ему как устроена его сеть и что надо ему настроить чтобы у тебя все заработало. А покупать белую сеть для транспорта чтобы просто выглядеть как крутой пацан- это глупо и бессмысленная трата денег ИМХО. Изменено 5 сентября, 2018 пользователем VolanD666 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 5 сентября, 2018 · Жалоба 55 минут назад, alibek сказал: Тем не менее, крупные магистралы серыми адресами не брезгуют. Разумеется. А как еще то? Это же огромная mpls сеть, там в глобале только и получается, что на серых поднять всё. Ибо маршутизации быть во вне не может быть с него. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 5 сентября, 2018 · Жалоба 3 часа назад, pingz сказал: Зачем коммутаторы светить в интернет? Почему коммутаторы то? Маршрутизаторы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TheUser Опубликовано 5 сентября, 2018 · Жалоба Серые адреса в трассировке - плохо, выключишь mpls ttl propagate - снова плохо... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 5 сентября, 2018 · Жалоба 3 минуты назад, TheUser сказал: Серые адреса в трассировке - плохо Ну как плохо — скорее непривычно и усложняет траблшутинг. Меня поначалу 10.222.x.x в Мегафоновских трассах смущало, равно как их стремление все прятать в туннели. Но по факту все работает нормально. А сложности траблшутинга — это сложности самого магистрала, уж он то свою сеть знает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 5 сентября, 2018 · Жалоба @alibek 8 часов назад, alibek сказал: Почему коммутаторы то? Маршрутизаторы. DGS-3627G. ок это маршрутизатор с этой минуты Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kato Опубликовано 5 сентября, 2018 · Жалоба 13 часов назад, pingz сказал: Уже около года на серых работаю. MX80 <--ospf nssa--> mikrotik <--pppoe-->клиент Жалоб не было, полет нормальный. Маршрутов правда много с /32. Зачем коммутаторы светить в интернет? Я же писал, что там нет никакого ПППоЕ. И вводить его не планируется. Очевидно, что если бы там были туннели в каком-либо виде вопрос бы отпадал сам собой. Да и услуга эта не для всех. Я просто хочу отойти от терминирования VLAN-ов до BRAS-а каким-то адекватным способом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 5 сентября, 2018 · Жалоба @Kato замени на ipoe статикой или динамикои в чем проблема? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pinkbyte Опубликовано 7 сентября, 2018 · Жалоба On 04.09.2018 at 6:12 PM, VolanD666 said: А можно узнать что такого страшного в серых адресах в трассе? Технически - ничего. Но есть "умные" клиенты, которых это напрягает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azhur Опубликовано 9 сентября, 2018 · Жалоба В 07.09.2018 в 15:12, Pinkbyte сказал: Технически - ничего. Но есть "умные" клиенты, которых это напрягает Из личного опыта, гораздо сильнее и чаще напрягают "звёзды" в трассировке, если в локалке у юрика и у провайдера используются пересекающиеся диапазоны серых адресов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...