Jump to content
Калькуляторы

Замена ASUS SOHO на VRF в C6500-E

Имеется ентерпрайс сетка с ядром на базе мангала. Один вилан (VID #3) отдан под специфичный сервис для нужд радиосвязи. В нём стоит асусовская мыльница выполняющая роль NAT (где проброшены некоторые порты) для подсети с репитерами (192.168.1.0/24). Так же в этом вилане (VID #3) живёт сервер радиосвязи.

На мангале также терминируется с полсотни других виланов (VID #4, #5 и т.п.). Однако, клиенты из этих виланов должны иметь доступ как с серверу радиосвязи, так и к заданным портам репитеров.

Очень хочется выкинуть мыльницу. Однако, менять адресацию на репитерах крайне нежелательно. Правильно ли я понимаю, что эта задача решается только с выкидыванием репитеров в новый вилан (например, VID #2) с вынесением его в VRF, включением на нём NAT (ip nat inside), а на всех других SVI мангала (даже если их там полсотни) необходимо включать ip nat outside? Или есть другие варианты без включения полсотни ip nat outside?

asus.png

В дальнейшем есть возможность заменить C6509 на C9500-X.

Edited by dr Tr0jan

Share this post


Link to post
Share on other sites

Внутренни голос говорит мне что запускать НАТ на 6509 не очень хорошая идея...

 

А почему вы на 3ем влане не можете прописать адрес из 192.168.2.0/24 чтобы убрать НАТ и оставить просто маршрутизацию?

Share this post


Link to post
Share on other sites

Мне вот внутренний голос тоже самое говорит. Однако не могу понять, как сделать лучше.

 

У меня 192.168.2.0/24 используется для других похожих нужд. Так проект сети сделан подрядчиками. Десяток ASUSов и Кинетиков, от которых есть желание избавиться.

Edited by dr Tr0jan

Share this post


Link to post
Share on other sites
45 минут назад, dr Tr0jan сказал:

Мне вот внутренний голос тоже самое говорит. Однако не могу понять, как сделать лучше.

 

У меня 192.168.2.0/24 используется для других похожих нужд. Так проект сети сделан подрядчиками. Десяток ASUSов и Кинетиков, от которых есть желание избавиться.

 

Вы так и не ответили, НАТ вам там зачем? Почему нельзя сделать простую маршрутизацию?

Share this post


Link to post
Share on other sites

Я упростил схему сети.

На самом деле используется не 192.168.2.0/24, а 192.168.1.0/24.

На самом деле используется не один ASUS, а десяток.

Маршрутизировать 192.168.1.0 в энтерпрайзе? Вы серьёзно?

 

Быстренько что-то примерное нацарапал.

asus.png

Edited by dr Tr0jan

Share this post


Link to post
Share on other sites

Ну ваша схема, на мой взгляд, не намного кашернее (все эти наты, асусы и т.п.) чем маршрутизация 192.168.1.0/24
На вашем месте я бы поменял архитектуру сети, разбил бы на ВРФы (если есть четкая граница сервисов) ну и запилил бы нормальную адресацию.

Share this post


Link to post
Share on other sites

@VolanD666, так я именно про это и говорю. Разбить на VRF могу (и хочу). Адреса внутри VRF править не могу.

Как реализовать нормальную адресацию без NAT, не представляю.

Share this post


Link to post
Share on other sites

Вам нужен микротик, а не всякие асусы...

Share this post


Link to post
Share on other sites
25 минут назад, SOFTOLAB сказал:

Вам нужен микротик, а не всякие асусы...

Сааб, залогинься

Share this post


Link to post
Share on other sites
On 3/16/2020 at 6:55 PM, VolanD666 said:

Сааб, залогинься

Ага.

Вместо всяких г-линков/асусов/тп-линков давно везде их использую, и возможностей больше, и приключений меньше.

Share this post


Link to post
Share on other sites
2 минуты назад, SOFTOLAB сказал:

Ага.

Вместо всяких г-линков/асусов/тп-линков давно везде их использую, и возможностей больше, и приключений меньше.

Да я как бы не спорю. Просто у ТС ИМХО изначально архитектура неправильная и там в принципе не должно быть всяких г-линков и прочего.

Share this post


Link to post
Share on other sites

@dr Tr0jan имхо проще потратить время согласовать и перевести на маршрутизацию и на нормальную адресацию. Чем потом получать головные боли в будущем. 

ИМХО 192.168.0.0-192.168.10.0 не самые лучшие подсети.

 

З.ы. судорожно искать в 20:00, где l3 петля такое себе удовольствие.

Share this post


Link to post
Share on other sites
19 hours ago, VolanD666 said:

Да я как бы не спорю. Просто у ТС ИМХО изначально архитектура неправильная и там в принципе не должно быть всяких г-линков и прочего.

Народ, изначально (на протяжение минимум семи лет) архитектура вполне адекватная: мангал и полсотни виланов (VID #4, #5 и т.д.) с юзверями на нём (схемка ниже).

Год назад делают большую реконструкцию предприятия и просят (генподрядчик) выделить виланы и IP-сети под разные сервисы (радиосвязь, скада, пожарка, безопасность и прочее-прочее-прочее). Выделяю им виланы и сети (VID #160: 192.168.160.0/24 - VID #190: 192.168.190.0/24).

Приходят субподрядчики и без всякого спроса начинают ставить гору всяких г-линков/асусов/тп-линков (потому что их оборудование иначе не работает). Ведущий инженер генподрядчика по слаботочке кричит, что он вообще в сетях ничего не понимает и надо делать только так, как ему наплели субподрядчики в уши. Хозяин предприятия на стороне генподрядчика.

 

3 hours ago, pingz said:

имхо проще потратить время согласовать и перевести на маршрутизацию и на нормальную адресацию

До окончания гарантийного срока (а это два года) это сделать практически нереально (там всякие пожарки, охранки, скады и т.п.). Субподрядчики постоянно что-то допиливают и им необходима именно такая адресация (192.168.1.0/24, 192.168.0.0/24), иначе у них ничего не работает (подозреваю, что голова у них не работает). С большим трудом согласовал эти асусы повыкидывать... но как это сделать - ума не приложу.

Radio.png

Share this post


Link to post
Share on other sites

Ну в общем, как я писал ранее, я не думаю что маршщрутизация 192.168.1.0/24 как-то сделает хуже, чем какие-то хрен пойми какие НАТы. Камк варик, вы можете запихать это все в отдельный ВРФ и сликать только тех, кому туда надо ходить.

Share this post


Link to post
Share on other sites

@VolanD666, как быть с двумя хостами 192.168.1.11 (Repeater1 и IS2)? Имеются хосты, которые должны получать сервисы как с Repeater1, так и с IS2.

2911 к мангалу прикупить?

Share this post


Link to post
Share on other sites
42 минуты назад, dr Tr0jan сказал:

@VolanD666, как быть с двумя хостами 192.168.1.11 (Repeater1 и IS2)? Имеются хосты, которые должны получать сервисы как с Repeater1, так и с IS2.

2911 к мангалу прикупить?

Ну вот перед такими оставьте какой-нить говноделинк, который натить будет. А остальных переводите.

Share this post


Link to post
Share on other sites

@VolanD666, но тогда получается и NAT нужен или PBR.

Share this post


Link to post
Share on other sites

Ну кстати пари условии что DST порты разные, то PBR может сработать

Share this post


Link to post
Share on other sites
58 minutes ago, VolanD666 said:

Ну вот перед такими оставьте какой-нить говноделинк, который натить будет. А остальных переводите.

Так таких хостов не один десяток, и говноделинков меньше никак не становится.

 

4 minutes ago, VolanD666 said:

Ну кстати пари условии что DST порты разные, то PBR может сработать

Конечно сработает, но только по мне так PBR - ещё больший костыль, нежели NAT с ликингом. :)

Share this post


Link to post
Share on other sites
On 3/17/2020 at 7:21 PM, VolanD666 said:

Да я как бы не спорю. Просто у ТС ИМХО изначально архитектура неправильная и там в принципе не должно быть всяких г-линков и прочего.

Нам не понять БДСМщиков этих)

Share this post


Link to post
Share on other sites

Имхо, вам бы замену работодателя произвести надо, а не то, что вы хотите делать.

Share this post


Link to post
Share on other sites

@vurd, давайте без эмоций и оффтопика.

 

А впрочем... к себе возьмёте? :)

Share this post


Link to post
Share on other sites
12 часов назад, dr Tr0jan сказал:

А впрочем... к себе возьмёте? :)

Один город на букву хэ поменять на такой же...)))

Share this post


Link to post
Share on other sites
10 часов назад, rz3dwy сказал:

Один город на букву хэ поменять на такой же...)))

 

Даже отвечать не пришлось, в точку :)))

 

Без офтопика, слова врф, пбр, вррп обычно ничего хорошего не предвещают и лучше бы их избегать.

Share this post


Link to post
Share on other sites
2 часа назад, vurd сказал:

Без офтопика, слова врф, пбр, вррп обычно ничего хорошего не предвещают и лучше бы их избегать.

А с ВРФ то что не так?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now