Перейти к содержимому
Калькуляторы

Замена ASUS SOHO на VRF в C6500-E

Имеется ентерпрайс сетка с ядром на базе мангала. Один вилан (VID #3) отдан под специфичный сервис для нужд радиосвязи. В нём стоит асусовская мыльница выполняющая роль NAT (где проброшены некоторые порты) для подсети с репитерами (192.168.1.0/24). Так же в этом вилане (VID #3) живёт сервер радиосвязи.

На мангале также терминируется с полсотни других виланов (VID #4, #5 и т.п.). Однако, клиенты из этих виланов должны иметь доступ как с серверу радиосвязи, так и к заданным портам репитеров.

Очень хочется выкинуть мыльницу. Однако, менять адресацию на репитерах крайне нежелательно. Правильно ли я понимаю, что эта задача решается только с выкидыванием репитеров в новый вилан (например, VID #2) с вынесением его в VRF, включением на нём NAT (ip nat inside), а на всех других SVI мангала (даже если их там полсотни) необходимо включать ip nat outside? Или есть другие варианты без включения полсотни ip nat outside?

asus.png

В дальнейшем есть возможность заменить C6509 на C9500-X.

Изменено пользователем dr Tr0jan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Внутренни голос говорит мне что запускать НАТ на 6509 не очень хорошая идея...

 

А почему вы на 3ем влане не можете прописать адрес из 192.168.2.0/24 чтобы убрать НАТ и оставить просто маршрутизацию?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мне вот внутренний голос тоже самое говорит. Однако не могу понять, как сделать лучше.

 

У меня 192.168.2.0/24 используется для других похожих нужд. Так проект сети сделан подрядчиками. Десяток ASUSов и Кинетиков, от которых есть желание избавиться.

Изменено пользователем dr Tr0jan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

45 минут назад, dr Tr0jan сказал:

Мне вот внутренний голос тоже самое говорит. Однако не могу понять, как сделать лучше.

 

У меня 192.168.2.0/24 используется для других похожих нужд. Так проект сети сделан подрядчиками. Десяток ASUSов и Кинетиков, от которых есть желание избавиться.

 

Вы так и не ответили, НАТ вам там зачем? Почему нельзя сделать простую маршрутизацию?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я упростил схему сети.

На самом деле используется не 192.168.2.0/24, а 192.168.1.0/24.

На самом деле используется не один ASUS, а десяток.

Маршрутизировать 192.168.1.0 в энтерпрайзе? Вы серьёзно?

 

Быстренько что-то примерное нацарапал.

asus.png

Изменено пользователем dr Tr0jan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну ваша схема, на мой взгляд, не намного кашернее (все эти наты, асусы и т.п.) чем маршрутизация 192.168.1.0/24
На вашем месте я бы поменял архитектуру сети, разбил бы на ВРФы (если есть четкая граница сервисов) ну и запилил бы нормальную адресацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@VolanD666, так я именно про это и говорю. Разбить на VRF могу (и хочу). Адреса внутри VRF править не могу.

Как реализовать нормальную адресацию без NAT, не представляю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

25 минут назад, SOFTOLAB сказал:

Вам нужен микротик, а не всякие асусы...

Сааб, залогинься

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 3/16/2020 at 6:55 PM, VolanD666 said:

Сааб, залогинься

Ага.

Вместо всяких г-линков/асусов/тп-линков давно везде их использую, и возможностей больше, и приключений меньше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 минуты назад, SOFTOLAB сказал:

Ага.

Вместо всяких г-линков/асусов/тп-линков давно везде их использую, и возможностей больше, и приключений меньше.

Да я как бы не спорю. Просто у ТС ИМХО изначально архитектура неправильная и там в принципе не должно быть всяких г-линков и прочего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@dr Tr0jan имхо проще потратить время согласовать и перевести на маршрутизацию и на нормальную адресацию. Чем потом получать головные боли в будущем. 

ИМХО 192.168.0.0-192.168.10.0 не самые лучшие подсети.

 

З.ы. судорожно искать в 20:00, где l3 петля такое себе удовольствие.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

19 hours ago, VolanD666 said:

Да я как бы не спорю. Просто у ТС ИМХО изначально архитектура неправильная и там в принципе не должно быть всяких г-линков и прочего.

Народ, изначально (на протяжение минимум семи лет) архитектура вполне адекватная: мангал и полсотни виланов (VID #4, #5 и т.д.) с юзверями на нём (схемка ниже).

Год назад делают большую реконструкцию предприятия и просят (генподрядчик) выделить виланы и IP-сети под разные сервисы (радиосвязь, скада, пожарка, безопасность и прочее-прочее-прочее). Выделяю им виланы и сети (VID #160: 192.168.160.0/24 - VID #190: 192.168.190.0/24).

Приходят субподрядчики и без всякого спроса начинают ставить гору всяких г-линков/асусов/тп-линков (потому что их оборудование иначе не работает). Ведущий инженер генподрядчика по слаботочке кричит, что он вообще в сетях ничего не понимает и надо делать только так, как ему наплели субподрядчики в уши. Хозяин предприятия на стороне генподрядчика.

 

3 hours ago, pingz said:

имхо проще потратить время согласовать и перевести на маршрутизацию и на нормальную адресацию

До окончания гарантийного срока (а это два года) это сделать практически нереально (там всякие пожарки, охранки, скады и т.п.). Субподрядчики постоянно что-то допиливают и им необходима именно такая адресация (192.168.1.0/24, 192.168.0.0/24), иначе у них ничего не работает (подозреваю, что голова у них не работает). С большим трудом согласовал эти асусы повыкидывать... но как это сделать - ума не приложу.

Radio.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну в общем, как я писал ранее, я не думаю что маршщрутизация 192.168.1.0/24 как-то сделает хуже, чем какие-то хрен пойми какие НАТы. Камк варик, вы можете запихать это все в отдельный ВРФ и сликать только тех, кому туда надо ходить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@VolanD666, как быть с двумя хостами 192.168.1.11 (Repeater1 и IS2)? Имеются хосты, которые должны получать сервисы как с Repeater1, так и с IS2.

2911 к мангалу прикупить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

42 минуты назад, dr Tr0jan сказал:

@VolanD666, как быть с двумя хостами 192.168.1.11 (Repeater1 и IS2)? Имеются хосты, которые должны получать сервисы как с Repeater1, так и с IS2.

2911 к мангалу прикупить?

Ну вот перед такими оставьте какой-нить говноделинк, который натить будет. А остальных переводите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@VolanD666, но тогда получается и NAT нужен или PBR.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну кстати пари условии что DST порты разные, то PBR может сработать

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

58 minutes ago, VolanD666 said:

Ну вот перед такими оставьте какой-нить говноделинк, который натить будет. А остальных переводите.

Так таких хостов не один десяток, и говноделинков меньше никак не становится.

 

4 minutes ago, VolanD666 said:

Ну кстати пари условии что DST порты разные, то PBR может сработать

Конечно сработает, но только по мне так PBR - ещё больший костыль, нежели NAT с ликингом. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 3/17/2020 at 7:21 PM, VolanD666 said:

Да я как бы не спорю. Просто у ТС ИМХО изначально архитектура неправильная и там в принципе не должно быть всяких г-линков и прочего.

Нам не понять БДСМщиков этих)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Имхо, вам бы замену работодателя произвести надо, а не то, что вы хотите делать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@vurd, давайте без эмоций и оффтопика.

 

А впрочем... к себе возьмёте? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 часов назад, dr Tr0jan сказал:

А впрочем... к себе возьмёте? :)

Один город на букву хэ поменять на такой же...)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 часов назад, rz3dwy сказал:

Один город на букву хэ поменять на такой же...)))

 

Даже отвечать не пришлось, в точку :)))

 

Без офтопика, слова врф, пбр, вррп обычно ничего хорошего не предвещают и лучше бы их избегать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, vurd сказал:

Без офтопика, слова врф, пбр, вррп обычно ничего хорошего не предвещают и лучше бы их избегать.

А с ВРФ то что не так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.