jone31 Posted July 21, 2019 Posted July 21, 2019 Добрый день, коллеги! Сейчас используем схему подключения для юриков IPoE, по которой выдаем каждому 30 подсеть, но сейчас выйгран большой тендер на 300 точек по области на включение и соответственно в этой схеме требуется аж 1200 IP адресов (300 раз по /30), что ощутимо бьет по карману за цену IP и нерационально в принципе. Думаю как все это сократить до 301 адреса, 1 IP шлюз и 300 клиентских IP. собственно смотрю, что все крупные операторы отдают каналы в подсети /24 и более и защищены от спуфинга на уровне ACL коммутатора я так понимаю. Но у меня другая ситуация, все точки включаться по L2TP+EoIP на микротик(x86), а на нем я так понимаю не реализована ACL фильтрация на порту(в данном случае на интерфейсе EoIP). Соответственно если я кидают в общий бридж(где вся подсеть /23) EoIP тонель, то клиент может устраивать конфликты внутри этого бриджа и соответственно мешать работе всех клиентов в этой подсети. вопрос как можно изолировать клиентов друг от друга в общем влане на микротик? в качестве уникальных у меня получается IP + интерфейс_eoip или vlan_eoip Вставить ник Quote
TriKS Posted July 21, 2019 Posted July 21, 2019 Давайте /32. Правда не все роутеры умеют их пользовать. Ну и влан на пользователя можно. Но у микротика грустновато с этим. Скрипты подбирают. Вставить ник Quote
LostSoul Posted July 21, 2019 Posted July 21, 2019 вы можете рассмотреть возможность использования linux ipoe от NuclearCat на центральной точке терминации туннелей. Хорошо работает в продакшене уже много лет. Каждый туннель представлен в linux как индивидуальное tap устройство, демон крутится в userspace и простой , буквально несколько строк кода. Можно запускать один процесс на один туннель, можно несколько туннелей на процесс. Имеет ряд преимуществ перед реализацией в routeros - может работать с динамическим IP на стороне клиента, подхватывая туннели на лету без скриптов и.т.п. Удобно резервировать. Вставить ник Quote
EShirokiy Posted July 21, 2019 Posted July 21, 2019 Что мешает использовать ip unnumbered? Вставить ник Quote
NiTr0 Posted July 21, 2019 Posted July 21, 2019 4 часа назад, EShirokiy сказал: Что мешает использовать ip unnumbered? очевидно же - микротик мешает :) Вставить ник Quote
EShirokiy Posted July 22, 2019 Posted July 22, 2019 @NiTr0 там есть нечто похожее на ip unnumbered и вполне себе работает, разве что руками надо все делать, с другой стороны простой скрипт на питоне для генерации конфига можно написать за десять минут Вставить ник Quote
NiTr0 Posted July 22, 2019 Posted July 22, 2019 да оно-то понятно что можно все костыликами прилепить, забивая статик роуты (ну пожалуй кроме дхцп для unnumbered), но стоит ли оно того?... Вставить ник Quote
alibek Posted July 22, 2019 Posted July 22, 2019 17 часов назад, jone31 сказал: что ощутимо бьет по карману за цену IP и нерационально в принципе А при участии в конкурсе об этом не думали? У крупных ЮЛ часто в ТЗ указывается требование статической маршрутизации /30 или /29. И тогда придется делать. Вставить ник Quote
jone31 Posted July 22, 2019 Author Posted July 22, 2019 ip unnumbered реализация в микротике я так понимаю это просто маршрут в нужный влан, который вроде как должен решить возможность подмны IP клиентом. Но какие могут быть подводные камни здесь? является ли это достаточным? я попробовал это работает на микротике, но немогу найти в инете сведения на сколько этот unnumbered в реализации микротик, соответствует unnumbered в класическом понимании в плане безопасности. 10 минут назад, alibek сказал: У крупных ЮЛ часто в ТЗ указывается требование статической маршрутизации /30 или /29. нет. такого требования к каналу нет. Это уже тонкости реализации с нашей стороны. Нам дешевле поставить сервер на линухе и поднять там роутер, чем платить за огромную IP подсеть для клиента. но т.к. у нас довольное мощное железо под микротик стоит, хотелось реализовать все на нем, по отточенным шаблонным схемам. Да я и ранее подумывал об отказе от /30 на клиента, в плане дефицита IP. Вставить ник Quote
ShyLion Posted July 22, 2019 Posted July 22, 2019 1 minute ago, jone31 said: ip unnumbered реализация в микротике я так понимаю это просто маршрут в нужный влан, который вроде как должен решить возможность подмны IP клиентом. Но какие могут быть подводные камни здесь? является ли это достаточным? я попробовал это работает на микротике, но немогу найти в инете сведения на сколько этот unnumbered в реализации микротик, соответствует unnumbered в класическом понимании в плане безопасности. Понятия безопасности у всех разные. Что подразумевается под безопасностью? Возможность "угона" чужого IP? Для этого можно разделять абонентов на отдельные броадкаст-домены, по VLAN например. Еще можно руками приколачивать ARP записи и MAC-фильры. Тут все от топологии зависит и от степени параноидальности. Вставить ник Quote
kuterye Posted July 24, 2019 Posted July 24, 2019 В 21.07.2019 в 20:37, jone31 сказал: Соответственно если я кидают в общий бридж(где вся подсеть /23) EoIP тонель, то клиент может устраивать конфликты внутри этого бриджа и соответственно мешать работе всех клиентов в этой подсети. Чтобы изолировать клиентов, используйте split horizon в brige Вставить ник Quote
pingz Posted July 27, 2019 Posted July 27, 2019 @jone31 как писали выше либо статикой, либо эту статику городить через скрипты. Проблема будет если нужна связанность между клиентами. Пример vlan2 ip 192.168.0.1 маска 192.168.0.2 клиент может уже прописать ip 192.168.0.2 шлюз 192.168.0.1 при этом маску можно указать хоть /24 скорее всего так и будет vlan3 ip 192.168.0.1 маска 192.168.0.3 Если у клиента железо не позволяет прописывать /32 маску, то придется использовать /30 или больше, связанности между клиентами не будет. Имхо либо использовать туннели либо убирать из схемы микротик ставить cisco или juniper Вставить ник Quote
disappointed Posted July 27, 2019 Posted July 27, 2019 На еоип есть же прокси-арп, включить его, наставить статик роутов к клиентам в эти еоип в центре. В общий бридж их кидать не нужно. На стороне клиента ставить замаршрутизированный к нему адрес маской /23 под 300 клиентов, гейтом любой адрес на микротике желательно внутри этой /23) Со стороны клиента внутри этой /23 будет выглядеть как л2 коммутация, на деле будет маршрутизация, никаких ACL не нужно. Вставить ник Quote
Saab95 Posted November 21, 2019 Posted November 21, 2019 Тут и вланы с EoIP не нужны - вешаете адреса просто на удаленных микротиках на порт и все, через OSPF маршрутизируете все в центр. Что бы была связанность между абонентами, включаете везде прокси арп и всего делов. Вставить ник Quote
myst Posted November 21, 2019 Posted November 21, 2019 3 часа назад, Saab95 сказал: Тут и вланы с EoIP не нужны - вешаете адреса просто на удаленных микротиках на порт и все, через OSPF маршрутизируете все в центр. Что бы была связанность между абонентами, включаете везде прокси арп и всего делов. Ага, OSPF на абонента, более идиотской затеи сгенерировать просто невозможно. Вставить ник Quote
Saab95 Posted November 22, 2019 Posted November 22, 2019 Зато это все работает и каши не просит. Многие проблемы с зависаниями и странностями микротика связаны с L2 трафиком, который он пропускает или который на него приходит. Уйдя от L2 уйдут и все проблемы. Вставить ник Quote
myst Posted November 22, 2019 Posted November 22, 2019 16 минут назад, Saab95 сказал: Зато это все работает и каши не просит. Многие проблемы с зависаниями и странностями микротика связаны с L2 трафиком, который он пропускает или который на него приходит. Уйдя от L2 уйдут и все проблемы. хватит звиздеть. в такой топологии работать оно будет пока у тебя 100-200-300 клиентов, потом это все дело накроется мохнатой причем не у одного, а у всех. Вставить ник Quote
Saab95 Posted November 22, 2019 Posted November 22, 2019 Такие сети работают и на большом количестве клиентов. Какая вообще разница где терминируется абонент? На порту своего же устройства, куда он подключен, или когда на поне 300 клиентов, каждый в своем влане, и терминируется на подключенном к пон станции микротике, где эти 300 вланов заведены и на каждый повешен IP? Могу вам сказать по секрету, что таких сетей на микротиках превеликое множество и ничего ни у кого не глючит. Просто уже давно пора уйти от старых схем с вечно глючащими коммутаторами. Вставить ник Quote
semop Posted November 22, 2019 Posted November 22, 2019 От L2 фик уйдешь. В эпоху глобальной головной импотенции одминов (особенно если религиозно ужаленых латвийским вендором) и обслуживающих юр.лиц чаще всего спрашивают вопрос по "второй дырке". То есть отсюда, до туда. Начинаешь им предлагать л3 или туннели, или хотя бы транк. Всё, ахтунг. Кладешь на это все, ставишь коммутатор у аб. и сам бросаешь вланчики. Выделяешь порты и тд. Порой даже отдельное волокно задействуется. А потоооооооооом, приходит одмин и ставит там микротик с настроенной с завода 192.168.88.0. Чтоб блин, надежно. Навсегда. И тд. Через месяц одмин может позвонить и попросить объединить его 2 сетки. Локальных. У нас есть абонент с батареей микротиков. Около 30 штук. В одном месте. Не лезу) Вставить ник Quote
Saab95 Posted November 22, 2019 Posted November 22, 2019 2 часа назад, semop сказал: Начинаешь им предлагать л3 или туннели, или хотя бы транк. Всё, ахтунг. Имея сеть на микротиках всегда можно EoIP прокинуть, без всяких вланов и транков. Мы вообще L2 в чистом виде давным давно не используем. Вставить ник Quote
myst Posted November 23, 2019 Posted November 23, 2019 18 часов назад, Saab95 сказал: Такие сети работают и на большом количестве клиентов. Какая вообще разница где терминируется абонент? На порту своего же устройства, куда он подключен, или когда на поне 300 клиентов, каждый в своем влане, и терминируется на подключенном к пон станции микротике, где эти 300 вланов заведены и на каждый повешен IP? Могу вам сказать по секрету, что таких сетей на микротиках превеликое множество и ничего ни у кого не глючит. Просто уже давно пора уйти от старых схем с вечно глючащими коммутаторами. Я не хочу даже объяснять что-то клоуну, который элементарных вещей в OSPF не понимает. И ещё более элементарных вещей в дизайне. Вставить ник Quote
Saab95 Posted November 23, 2019 Posted November 23, 2019 15 часов назад, myst сказал: Я не хочу даже объяснять что-то клоуну, который элементарных вещей в OSPF не понимает. И ещё более элементарных вещей в дизайне. У нас один сотрудник был с сертификатами циски, он тоже любил говорить что никто не понимает элементарных вещей и т.п. Уволился через неделю=) Вставить ник Quote
myst Posted November 24, 2019 Posted November 24, 2019 7 часов назад, Saab95 сказал: У нас один сотрудник был с сертификатами циски, он тоже любил говорить что никто не понимает элементарных вещей и т.п. Уволился через неделю=) я рад за твой сексуальный опыт но он никак не отменяет того факта что ты не понимаешь для чего оспф создан, как он работает и что включать в маршрутизацию абонентские устройства может только клинический критин. Вставить ник Quote
Saab95 Posted November 24, 2019 Posted November 24, 2019 Он создан для облегчения работы администратора. Если вы привыкли работать с цисками, то сложно будет определить все прелести работы с микротиком. На микротике выделение адресов в любом месте и анонс через OSPF самая оптимальная схема, которая без проблем работает даже на слабеньких RB750. И здорово облегчает жизнь администратору сети. Вставить ник Quote
GrandPr1de Posted November 25, 2019 Posted November 25, 2019 В 22.11.2019 в 10:55, semop сказал: Начинаешь им предлагать л3 или туннели, или хотя бы транк. Всё, ахтунг. л2впн придумали уже весьма давно, научитесь уже в xconnect/eompls/vpls. В 22.11.2019 в 13:25, Saab95 сказал: Имея сеть на микротиках всегда можно EoIP прокинуть имея сеть на микротиках можно прокинуть vpls, хватит советовать это говно в виде eoip В 23.11.2019 в 19:29, Saab95 сказал: Уволился через неделю=) весьма показательно 12 часов назад, Saab95 сказал: анонс через OSPF самая оптимальная схема уймись уже, особенно с глючной реализацией на микротах оспф не создан для редистрибьюции тонны \32 роутов особенно в одной area, а multiarea у тебя ж тоже легаси, да? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.