dr Tr0jan Опубликовано 16 марта, 2020 (изменено) · Жалоба Имеется ентерпрайс сетка с ядром на базе мангала. Один вилан (VID #3) отдан под специфичный сервис для нужд радиосвязи. В нём стоит асусовская мыльница выполняющая роль NAT (где проброшены некоторые порты) для подсети с репитерами (192.168.1.0/24). Так же в этом вилане (VID #3) живёт сервер радиосвязи. На мангале также терминируется с полсотни других виланов (VID #4, #5 и т.п.). Однако, клиенты из этих виланов должны иметь доступ как с серверу радиосвязи, так и к заданным портам репитеров. Очень хочется выкинуть мыльницу. Однако, менять адресацию на репитерах крайне нежелательно. Правильно ли я понимаю, что эта задача решается только с выкидыванием репитеров в новый вилан (например, VID #2) с вынесением его в VRF, включением на нём NAT (ip nat inside), а на всех других SVI мангала (даже если их там полсотни) необходимо включать ip nat outside? Или есть другие варианты без включения полсотни ip nat outside? В дальнейшем есть возможность заменить C6509 на C9500-X. Изменено 16 марта, 2020 пользователем dr Tr0jan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 16 марта, 2020 · Жалоба Внутренни голос говорит мне что запускать НАТ на 6509 не очень хорошая идея... А почему вы на 3ем влане не можете прописать адрес из 192.168.2.0/24 чтобы убрать НАТ и оставить просто маршрутизацию? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr Tr0jan Опубликовано 16 марта, 2020 (изменено) · Жалоба Мне вот внутренний голос тоже самое говорит. Однако не могу понять, как сделать лучше. У меня 192.168.2.0/24 используется для других похожих нужд. Так проект сети сделан подрядчиками. Десяток ASUSов и Кинетиков, от которых есть желание избавиться. Изменено 16 марта, 2020 пользователем dr Tr0jan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 16 марта, 2020 · Жалоба 45 минут назад, dr Tr0jan сказал: Мне вот внутренний голос тоже самое говорит. Однако не могу понять, как сделать лучше. У меня 192.168.2.0/24 используется для других похожих нужд. Так проект сети сделан подрядчиками. Десяток ASUSов и Кинетиков, от которых есть желание избавиться. Вы так и не ответили, НАТ вам там зачем? Почему нельзя сделать простую маршрутизацию? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr Tr0jan Опубликовано 16 марта, 2020 (изменено) · Жалоба Я упростил схему сети. На самом деле используется не 192.168.2.0/24, а 192.168.1.0/24. На самом деле используется не один ASUS, а десяток. Маршрутизировать 192.168.1.0 в энтерпрайзе? Вы серьёзно? Быстренько что-то примерное нацарапал. Изменено 16 марта, 2020 пользователем dr Tr0jan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 16 марта, 2020 · Жалоба Ну ваша схема, на мой взгляд, не намного кашернее (все эти наты, асусы и т.п.) чем маршрутизация 192.168.1.0/24 На вашем месте я бы поменял архитектуру сети, разбил бы на ВРФы (если есть четкая граница сервисов) ну и запилил бы нормальную адресацию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr Tr0jan Опубликовано 16 марта, 2020 · Жалоба @VolanD666, так я именно про это и говорю. Разбить на VRF могу (и хочу). Адреса внутри VRF править не могу. Как реализовать нормальную адресацию без NAT, не представляю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOFTOLAB Опубликовано 16 марта, 2020 · Жалоба Вам нужен микротик, а не всякие асусы... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 16 марта, 2020 · Жалоба 25 минут назад, SOFTOLAB сказал: Вам нужен микротик, а не всякие асусы... Сааб, залогинься Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOFTOLAB Опубликовано 17 марта, 2020 · Жалоба On 3/16/2020 at 6:55 PM, VolanD666 said: Сааб, залогинься Ага. Вместо всяких г-линков/асусов/тп-линков давно везде их использую, и возможностей больше, и приключений меньше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 17 марта, 2020 · Жалоба 2 минуты назад, SOFTOLAB сказал: Ага. Вместо всяких г-линков/асусов/тп-линков давно везде их использую, и возможностей больше, и приключений меньше. Да я как бы не спорю. Просто у ТС ИМХО изначально архитектура неправильная и там в принципе не должно быть всяких г-линков и прочего. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 18 марта, 2020 · Жалоба @dr Tr0jan имхо проще потратить время согласовать и перевести на маршрутизацию и на нормальную адресацию. Чем потом получать головные боли в будущем. ИМХО 192.168.0.0-192.168.10.0 не самые лучшие подсети. З.ы. судорожно искать в 20:00, где l3 петля такое себе удовольствие. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr Tr0jan Опубликовано 18 марта, 2020 · Жалоба 19 hours ago, VolanD666 said: Да я как бы не спорю. Просто у ТС ИМХО изначально архитектура неправильная и там в принципе не должно быть всяких г-линков и прочего. Народ, изначально (на протяжение минимум семи лет) архитектура вполне адекватная: мангал и полсотни виланов (VID #4, #5 и т.д.) с юзверями на нём (схемка ниже). Год назад делают большую реконструкцию предприятия и просят (генподрядчик) выделить виланы и IP-сети под разные сервисы (радиосвязь, скада, пожарка, безопасность и прочее-прочее-прочее). Выделяю им виланы и сети (VID #160: 192.168.160.0/24 - VID #190: 192.168.190.0/24). Приходят субподрядчики и без всякого спроса начинают ставить гору всяких г-линков/асусов/тп-линков (потому что их оборудование иначе не работает). Ведущий инженер генподрядчика по слаботочке кричит, что он вообще в сетях ничего не понимает и надо делать только так, как ему наплели субподрядчики в уши. Хозяин предприятия на стороне генподрядчика. 3 hours ago, pingz said: имхо проще потратить время согласовать и перевести на маршрутизацию и на нормальную адресацию До окончания гарантийного срока (а это два года) это сделать практически нереально (там всякие пожарки, охранки, скады и т.п.). Субподрядчики постоянно что-то допиливают и им необходима именно такая адресация (192.168.1.0/24, 192.168.0.0/24), иначе у них ничего не работает (подозреваю, что голова у них не работает). С большим трудом согласовал эти асусы повыкидывать... но как это сделать - ума не приложу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 18 марта, 2020 · Жалоба Ну в общем, как я писал ранее, я не думаю что маршщрутизация 192.168.1.0/24 как-то сделает хуже, чем какие-то хрен пойми какие НАТы. Камк варик, вы можете запихать это все в отдельный ВРФ и сликать только тех, кому туда надо ходить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr Tr0jan Опубликовано 18 марта, 2020 · Жалоба @VolanD666, как быть с двумя хостами 192.168.1.11 (Repeater1 и IS2)? Имеются хосты, которые должны получать сервисы как с Repeater1, так и с IS2. 2911 к мангалу прикупить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 18 марта, 2020 · Жалоба 42 минуты назад, dr Tr0jan сказал: @VolanD666, как быть с двумя хостами 192.168.1.11 (Repeater1 и IS2)? Имеются хосты, которые должны получать сервисы как с Repeater1, так и с IS2. 2911 к мангалу прикупить? Ну вот перед такими оставьте какой-нить говноделинк, который натить будет. А остальных переводите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr Tr0jan Опубликовано 18 марта, 2020 · Жалоба @VolanD666, но тогда получается и NAT нужен или PBR. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 18 марта, 2020 · Жалоба Ну кстати пари условии что DST порты разные, то PBR может сработать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr Tr0jan Опубликовано 18 марта, 2020 · Жалоба 58 minutes ago, VolanD666 said: Ну вот перед такими оставьте какой-нить говноделинк, который натить будет. А остальных переводите. Так таких хостов не один десяток, и говноделинков меньше никак не становится. 4 minutes ago, VolanD666 said: Ну кстати пари условии что DST порты разные, то PBR может сработать Конечно сработает, но только по мне так PBR - ещё больший костыль, нежели NAT с ликингом. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOFTOLAB Опубликовано 18 марта, 2020 · Жалоба On 3/17/2020 at 7:21 PM, VolanD666 said: Да я как бы не спорю. Просто у ТС ИМХО изначально архитектура неправильная и там в принципе не должно быть всяких г-линков и прочего. Нам не понять БДСМщиков этих) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 19 марта, 2020 · Жалоба Имхо, вам бы замену работодателя произвести надо, а не то, что вы хотите делать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr Tr0jan Опубликовано 19 марта, 2020 · Жалоба @vurd, давайте без эмоций и оффтопика. А впрочем... к себе возьмёте? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rz3dwy Опубликовано 19 марта, 2020 · Жалоба 12 часов назад, dr Tr0jan сказал: А впрочем... к себе возьмёте? :) Один город на букву хэ поменять на такой же...))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 20 марта, 2020 · Жалоба 10 часов назад, rz3dwy сказал: Один город на букву хэ поменять на такой же...))) Даже отвечать не пришлось, в точку :))) Без офтопика, слова врф, пбр, вррп обычно ничего хорошего не предвещают и лучше бы их избегать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 20 марта, 2020 · Жалоба 2 часа назад, vurd сказал: Без офтопика, слова врф, пбр, вррп обычно ничего хорошего не предвещают и лучше бы их избегать. А с ВРФ то что не так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...