Jump to content

Замена ASUS SOHO на VRF в C6500-E

dr Tr0jan
 Share

Recommended Posts

dr Tr0jan

dr Tr0jan

Posted
Posted (edited)

Имеется ентерпрайс сетка с ядром на базе мангала. Один вилан (VID #3) отдан под специфичный сервис для нужд радиосвязи. В нём стоит асусовская мыльница выполняющая роль NAT (где проброшены некоторые порты) для подсети с репитерами (192.168.1.0/24). Так же в этом вилане (VID #3) живёт сервер радиосвязи.

На мангале также терминируется с полсотни других виланов (VID #4, #5 и т.п.). Однако, клиенты из этих виланов должны иметь доступ как с серверу радиосвязи, так и к заданным портам репитеров.

Очень хочется выкинуть мыльницу. Однако, менять адресацию на репитерах крайне нежелательно. Правильно ли я понимаю, что эта задача решается только с выкидыванием репитеров в новый вилан (например, VID #2) с вынесением его в VRF, включением на нём NAT (ip nat inside), а на всех других SVI мангала (даже если их там полсотни) необходимо включать ip nat outside? Или есть другие варианты без включения полсотни ip nat outside?

asus.png

В дальнейшем есть возможность заменить C6509 на C9500-X.

Edited by dr Tr0jan
VolanD666

VolanD666

Posted
Posted

Внутренни голос говорит мне что запускать НАТ на 6509 не очень хорошая идея...

 

А почему вы на 3ем влане не можете прописать адрес из 192.168.2.0/24 чтобы убрать НАТ и оставить просто маршрутизацию?

dr Tr0jan

dr Tr0jan

Posted
  • Author
Posted (edited)

Мне вот внутренний голос тоже самое говорит. Однако не могу понять, как сделать лучше.

 

У меня 192.168.2.0/24 используется для других похожих нужд. Так проект сети сделан подрядчиками. Десяток ASUSов и Кинетиков, от которых есть желание избавиться.

Edited by dr Tr0jan
VolanD666

VolanD666

Posted
Posted
45 минут назад, dr Tr0jan сказал:

Мне вот внутренний голос тоже самое говорит. Однако не могу понять, как сделать лучше.

 

У меня 192.168.2.0/24 используется для других похожих нужд. Так проект сети сделан подрядчиками. Десяток ASUSов и Кинетиков, от которых есть желание избавиться.

 

Вы так и не ответили, НАТ вам там зачем? Почему нельзя сделать простую маршрутизацию?

dr Tr0jan

dr Tr0jan

Posted
  • Author
Posted (edited)

Я упростил схему сети.

На самом деле используется не 192.168.2.0/24, а 192.168.1.0/24.

На самом деле используется не один ASUS, а десяток.

Маршрутизировать 192.168.1.0 в энтерпрайзе? Вы серьёзно?

 

Быстренько что-то примерное нацарапал.

asus.png

Edited by dr Tr0jan
VolanD666

VolanD666

Posted
Posted

Ну ваша схема, на мой взгляд, не намного кашернее (все эти наты, асусы и т.п.) чем маршрутизация 192.168.1.0/24
На вашем месте я бы поменял архитектуру сети, разбил бы на ВРФы (если есть четкая граница сервисов) ну и запилил бы нормальную адресацию.

dr Tr0jan

dr Tr0jan

Posted
  • Author
Posted

@VolanD666, так я именно про это и говорю. Разбить на VRF могу (и хочу). Адреса внутри VRF править не могу.

Как реализовать нормальную адресацию без NAT, не представляю.

SOFTOLAB

SOFTOLAB

Posted
Posted
On 3/16/2020 at 6:55 PM, VolanD666 said:

Сааб, залогинься

Ага.

Вместо всяких г-линков/асусов/тп-линков давно везде их использую, и возможностей больше, и приключений меньше.

VolanD666

VolanD666

Posted
Posted
2 минуты назад, SOFTOLAB сказал:

Ага.

Вместо всяких г-линков/асусов/тп-линков давно везде их использую, и возможностей больше, и приключений меньше.

Да я как бы не спорю. Просто у ТС ИМХО изначально архитектура неправильная и там в принципе не должно быть всяких г-линков и прочего.

pingz

pingz

Posted
Posted

@dr Tr0jan имхо проще потратить время согласовать и перевести на маршрутизацию и на нормальную адресацию. Чем потом получать головные боли в будущем. 

ИМХО 192.168.0.0-192.168.10.0 не самые лучшие подсети.

 

З.ы. судорожно искать в 20:00, где l3 петля такое себе удовольствие.

dr Tr0jan

dr Tr0jan

Posted
  • Author
Posted
19 hours ago, VolanD666 said:

Да я как бы не спорю. Просто у ТС ИМХО изначально архитектура неправильная и там в принципе не должно быть всяких г-линков и прочего.

Народ, изначально (на протяжение минимум семи лет) архитектура вполне адекватная: мангал и полсотни виланов (VID #4, #5 и т.д.) с юзверями на нём (схемка ниже).

Год назад делают большую реконструкцию предприятия и просят (генподрядчик) выделить виланы и IP-сети под разные сервисы (радиосвязь, скада, пожарка, безопасность и прочее-прочее-прочее). Выделяю им виланы и сети (VID #160: 192.168.160.0/24 - VID #190: 192.168.190.0/24).

Приходят субподрядчики и без всякого спроса начинают ставить гору всяких г-линков/асусов/тп-линков (потому что их оборудование иначе не работает). Ведущий инженер генподрядчика по слаботочке кричит, что он вообще в сетях ничего не понимает и надо делать только так, как ему наплели субподрядчики в уши. Хозяин предприятия на стороне генподрядчика.

 

3 hours ago, pingz said:

имхо проще потратить время согласовать и перевести на маршрутизацию и на нормальную адресацию

До окончания гарантийного срока (а это два года) это сделать практически нереально (там всякие пожарки, охранки, скады и т.п.). Субподрядчики постоянно что-то допиливают и им необходима именно такая адресация (192.168.1.0/24, 192.168.0.0/24), иначе у них ничего не работает (подозреваю, что голова у них не работает). С большим трудом согласовал эти асусы повыкидывать... но как это сделать - ума не приложу.

Radio.png

VolanD666

VolanD666

Posted
Posted

Ну в общем, как я писал ранее, я не думаю что маршщрутизация 192.168.1.0/24 как-то сделает хуже, чем какие-то хрен пойми какие НАТы. Камк варик, вы можете запихать это все в отдельный ВРФ и сликать только тех, кому туда надо ходить.

dr Tr0jan

dr Tr0jan

Posted
  • Author
Posted

@VolanD666, как быть с двумя хостами 192.168.1.11 (Repeater1 и IS2)? Имеются хосты, которые должны получать сервисы как с Repeater1, так и с IS2.

2911 к мангалу прикупить?

VolanD666

VolanD666

Posted
Posted
42 минуты назад, dr Tr0jan сказал:

@VolanD666, как быть с двумя хостами 192.168.1.11 (Repeater1 и IS2)? Имеются хосты, которые должны получать сервисы как с Repeater1, так и с IS2.

2911 к мангалу прикупить?

Ну вот перед такими оставьте какой-нить говноделинк, который натить будет. А остальных переводите.

dr Tr0jan

dr Tr0jan

Posted
  • Author
Posted
58 minutes ago, VolanD666 said:

Ну вот перед такими оставьте какой-нить говноделинк, который натить будет. А остальных переводите.

Так таких хостов не один десяток, и говноделинков меньше никак не становится.

 

4 minutes ago, VolanD666 said:

Ну кстати пари условии что DST порты разные, то PBR может сработать

Конечно сработает, но только по мне так PBR - ещё больший костыль, нежели NAT с ликингом. :)

SOFTOLAB

SOFTOLAB

Posted
Posted
On 3/17/2020 at 7:21 PM, VolanD666 said:

Да я как бы не спорю. Просто у ТС ИМХО изначально архитектура неправильная и там в принципе не должно быть всяких г-линков и прочего.

Нам не понять БДСМщиков этих)

rz3dwy

rz3dwy

Posted
Posted
12 часов назад, dr Tr0jan сказал:

А впрочем... к себе возьмёте? :)

Один город на букву хэ поменять на такой же...)))

vurd

vurd

Posted
Posted
10 часов назад, rz3dwy сказал:

Один город на букву хэ поменять на такой же...)))

 

Даже отвечать не пришлось, в точку :)))

 

Без офтопика, слова врф, пбр, вррп обычно ничего хорошего не предвещают и лучше бы их избегать.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.