Перейти к содержимому
Калькуляторы

Маршрутизация внешних IP-адресов

Здравствуйте.

Стоит задача маршрутизации внешних IP-адресов непосредственно с устройств клиентов (IPoE) через OSPF-сеть. Ближайшие узлы агрегации DGS-3627G.

Сейчас клиентам выдаются серые IP-адреса и далее посредством OSPF они достигают нескольких BRAS-серверов (+NAT). Ну и далее через несколько внешних IP-адресов уходят в сеть Интернет.

Возникла идея повесить небольшие внешние подсети на те же DGS-3627G и так же пробрасывать их через OSPF до BRAS. Шлюзом для каждой подсети будет являться ближайший DGS-3627G. Но меня беспокоит вопрос безопасности при назначении коммутаторам DGS-3627G внешних IP-адресов. Поэтому ищу другие варианты решения данной задачи.

Подскажите, пожалуйста, другие способы решения данной задачи или поделитесь опытом.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А то что трасса у клиентов будет через серые адреса - это вас устраивает? А то это конечно не ужас-ужас, но всё-таки не комильфо

По теме - если trusted host в D-Link-ах настроен - проблем быть не должно(ровно настолько, насколько их нет в D-Link-ах, конечно же).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
5 минут назад, Pinkbyte сказал:

По теме - если trusted host в D-Link-ах настроен - проблем быть не должно(ровно настолько, насколько их нет в D-Link-ах, конечно же).

Достаточно ли надёжен механизм trusted host в данном случае? А если DDOS на IP-адрес коммутатора извне?

Цитата

А то что трасса у клиентов будет через серые адреса - это вас устраивает? А то это конечно не ужас-ужас, но всё-таки не комильфо

Ну длинк не умеют скрывать hop, к сожалению. Да и не вижу я в этом проблемы особо.

Изменено пользователем Kato

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

При настроенном trusted host коммутатор не будет отвечать на запросы на свои IP если они поступили не из списка trusted host. Насколько этот отлуп будет быстро происходить - без понятия. Но в D-Link-е есть safeguard и CPU protect - настройте их тоже. Сразу уточню - одного safeguard-а будет недостаточно, он - не панацея

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
4 часа назад, Pinkbyte сказал:

А то что трасса у клиентов будет через серые адреса - это вас устраивает? А то это конечно не ужас-ужас, но всё-таки не комильфо

По теме - если trusted host в D-Link-ах настроен - проблем быть не должно(ровно настолько, насколько их нет в D-Link-ах, конечно же).

А можно узнать что такого страшного в серых адресах в трассе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, VolanD666 сказал:

А можно узнать что такого страшного в серых адресах в трассе?

Оооо, тут был один деятель, который доказывал, что если в трассе серые адреса, то скорость ниже =)

Поищите поиском.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я даже ник запомнил этого клоуна - то ли vlad1, то ли vlad11. можете поискать его посты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
7 часов назад, vurd сказал:

Оооо, тут был один деятель, который доказывал, что если в трассе серые адреса, то скорость ниже =)

Поищите поиском.

О да, читал я этот пост. Давно так не ржал :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уже около года на серых работаю.

MX80 <--ospf nssa--> mikrotik <--pppoe-->клиент

Жалоб не было, полет нормальный.

Маршрутов правда много с /32.

 

Зачем коммутаторы светить в интернет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
14 hours ago, VolanD666 said:

А можно узнать что такого страшного в серых адресах в трассе?

Если ты домосеточка и колхоз то ничего, а вот если ты магистральный оператор и серые адреса у тебя в трассе между континентами, то выглядит как домосеточка и колхоз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тем не менее, крупные магистралы серыми адресами не брезгуют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, rm_ сказал:

Если ты домосеточка и колхоз то ничего, а вот если ты магистральный оператор и серые адреса у тебя в трассе между континентами, то выглядит как домосеточка и колхоз.

Вы знаете, не соглашусь. Для меня "колхоз и домосеточка"- это когда звонишь инженеру (не мальчику на телефоне, а именно инженеру) какого-нить оператора и рассказываешь ему как устроена его сеть и что надо ему настроить чтобы у тебя все заработало. А покупать белую сеть для транспорта чтобы просто выглядеть как крутой пацан- это глупо и бессмысленная трата денег ИМХО.

Изменено пользователем VolanD666

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
55 минут назад, alibek сказал:

Тем не менее, крупные магистралы серыми адресами не брезгуют.

Разумеется. А как еще то? Это же огромная mpls сеть, там в глобале только и получается, что на серых поднять всё. Ибо маршутизации быть во вне не может быть с него.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 часа назад, pingz сказал:

Зачем коммутаторы светить в интернет?

Почему коммутаторы то?

Маршрутизаторы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Серые адреса в трассировке - плохо, выключишь mpls ttl propagate - снова плохо...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 минуты назад, TheUser сказал:

Серые адреса в трассировке - плохо

Ну как плохо — скорее непривычно и усложняет траблшутинг.

Меня поначалу 10.222.x.x в Мегафоновских трассах смущало, равно как их стремление все прятать в туннели.

Но по факту все работает нормально.

А сложности траблшутинга — это сложности самого магистрала, уж он то свою сеть знает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@alibek 

8 часов назад, alibek сказал:

Почему коммутаторы то?

Маршрутизаторы.

DGS-3627G.

ок это маршрутизатор с этой минуты

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
13 часов назад, pingz сказал:

Уже около года на серых работаю.

MX80 <--ospf nssa--> mikrotik <--pppoe-->клиент

Жалоб не было, полет нормальный.

Маршрутов правда много с /32.

 

Зачем коммутаторы светить в интернет?

Я же писал, что там нет никакого ПППоЕ. И вводить его не планируется. Очевидно, что если бы там были туннели в каком-либо виде вопрос бы отпадал сам собой. Да и услуга эта не для всех. Я просто хочу отойти от терминирования VLAN-ов до BRAS-а каким-то адекватным способом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Kato замени на ipoe статикой или динамикои в чем проблема?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
On 04.09.2018 at 6:12 PM, VolanD666 said:

А можно узнать что такого страшного в серых адресах в трассе?

Технически - ничего. Но есть "умные" клиенты, которых это напрягает

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 07.09.2018 в 15:12, Pinkbyte сказал:

Технически - ничего. Но есть "умные" клиенты, которых это напрягает

Из личного опыта, гораздо сильнее и чаще напрягают "звёзды" в трассировке, если в локалке у юрика и у провайдера используются пересекающиеся диапазоны серых адресов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас