Jump to content
Калькуляторы
Техническая политика в частных сетях  

46 members have voted

  1. 1. Техническая политика в частных сетях

    • Я, как провайдер VPN, определяю ТП внутри VPN
      5
    • Я, как провайдер VPN, пытаюсь быть наиболее "прозрачным" и незаметным для конечного заказчика
      41


Техническая политика или "сую нос не в свои сети"

Опросом пытаюсь узнать, сколько отмороженных параноиков проживает в нашей необъятной стране.

 

Предыстория такая, классическая вообщем

Некая фирма имеет центральный в офис и ряд филиалов в других городах, причём ПК в этих филиалах находятся ни в одном помещении, а разбросаны по городу.

Задача тривиальная - машины из этих филиалов должны иметь доступ к внутренним сетям офисам.

Решение не менее классическое - тунелирование через публичную сеть с применением IPSec

 

Ничто не предвещало беды...

 

Первый город.

Провайдер(езернет) предоставляет услугу Интернет с реальным адресом и услугу частной виртуальной сети по городу, т.е. по одному "шнурку" приходит инет, в другом тот самый VLAN в котором находятся все машины разбросанные по городу.

Инет нормально заработал, с IPSec вопросов не возникло.

Пришло время подключать машины, а именно на них прописать шлюз во внешнюю сеть, который подключен к этому VLAN.

Кроме того на этой же точке, где находится шлюз, стоит и одна из машин, имеющая адрес из этой сети, только включеная непосредственно в роутер.

 

Первое что насторожило - адресация внутри VLAN выданная самим провайдером

По хорошему клиент сам должен определять какая у него должна быть внутри адресация, ну да Бог с ним, фирма далеко не IT, и специалистов по этим вопросам там нет, соотвественно поставили то что дал провайдер.

 

Пришёл день, когда человек ходил и расставлял на этих машинах шлюз(в настройках не было).

Первая же машина не заработала, ping не прошёл, хотя в арпе была видна.

Первая мысль пришедшая в голову - привязка адресов к порту.

Хороший ход привязывать адреса к порту при услуге частного VPN.

Интересно а если бы было q-in-q они бы тоже всех многочисленые машины с клиентским тагом в аксеслист бы записали.

 

Ладно, первый же запрос убрать привязку именно на этом порту привёл "админов"(жирные кавычки, после того что я выслушал) в ступор.

Вкратце изложу ответ:

"Привязку убирать не будем, такая техническая политика, и так должно работать, вы не компетентны, читайте RFC и изучайте технологии"

 

до них не доходило что пакеты из удалённой офисной сети - транзитные и имеют src адрес соотвественно офисной сети.

Попытка рассказать им что их аксеслист режет, на порту в который включен шлюз, ВСЕ ПАКЕТЫ кроме пакетов где адрес самого шлюза - провалилась.

они считают что в этой ИХ логической сети должны бегать пакеты только с src адресами этой самой сети, и никакие более.

 

"Админ" начал рисовать у себя там схему и мне рассказывать как идут пакетики, как они енкапсюлируются/декапсюлируются, как в них меняются адреса.

И НА ЭТАПЕ когда он рассматривал поток пакетов от внутренней сети офиса к этой приватной частной сети, ДО НЕГО ДОШЛО.

 

ОН ИЗРЁК - "ААА Я ПОНЯЯЯЯЛ!!!"

 

*бл$, молодец мальчик, это основы ACL и маршрутизации, это бл$ть на CCNA учат*

 

после этого понурым голосом, понимая что сейчас 20 минут рассказывал как ходят туда сюда пакетики("морозил ху...ню полную"), ВСЁ РАВНО ОТКАЗАЛСЯ УБИРАТЬ ПРИВЯЗКУ

 

мотивируя это тем что мол, она есть не только на свичах доступа, но и на всём остальном оборудовании дальше! ( ЭТО ПОЛНЫЙ ПИЗ...Ц. простите меня. )

и убирать её им "лень и очень много работы"

 

в итоге работает только та одна машина, которая воткнута в рутер, который делает тунель, и её прекрасно видят, и она прекрасно видит офис.

Share this post


Link to post
Share on other sites

А был ли мальчик, т.е. вилан?

Может быть вилана нет на самом деле, а все лишнее-чужое просто порезано на порту коммутатора доступа... :-)

Тогда хотя бы появляется логика...

Share this post


Link to post
Share on other sites
А был ли мальчик, т.е. вилан?

Может быть вилана нет на самом деле, а все лишнее-чужое просто порезано на порту коммутатора доступа... :-)

Тогда хотя бы появляется логика...

это будет финиш совсем :(

потому что я, до этого момента, рассматривал этого провайдера как образцово-показательного.

Share this post


Link to post
Share on other sites

пугните судом, свяьнадзором, пообщайтесь с кем-либо из директората наконец. думаю, после этого мальчик сменит поведение :)

Share this post


Link to post
Share on other sites

)) скорее откужут в обслуживании, если vlan'a действительно нет.

Share this post


Link to post
Share on other sites

А я предлагаю кого-нибудь отпиздить (с)

Валите от этих недооператоров-домонетов. Зачем вам геморрой за ваши же деньги? Практика показывает, что даже vlan без косяков с их стороны арендовать нельзя. Максимум - дарк файбер. И то 8 раз подумаешь, как увидишь какое они из этого файбера макраме плести умудряются...

Share this post


Link to post
Share on other sites
услугу частной виртуальной сети по городу
Гы это помоему переводится virtual private network тобиш VPN а не ВЛАН между офисами, и с адресами тогда понятно, ставите роутеры в офисв на эти адреса а между ними поднимаете тунельки.

 

Share this post


Link to post
Share on other sites
услугу частной виртуальной сети по городу
Гы это помоему переводится virtual private network тобиш VPN а не ВЛАН между офисами

L2 VPN это как раз VLAN.

Share this post


Link to post
Share on other sites
L2 VPN это как раз VLAN.

А AToM тогда кто?

 

Share this post


Link to post
Share on other sites

А ты вступил в банду tgz?! :)

Давно пора. Мочить пионерофф и телеком с мозгами из энтерпрайза.

Предлагаю углубить опрос до темы должен ли L2VPN стоить дороже чем L3VPN.

Share this post


Link to post
Share on other sites
L2 VPN это как раз VLAN.
А AToM тогда кто?

Ну давайте не будем тут все варианты инкапсуляции L2 расписывать.
Edited by bitbucket

Share this post


Link to post
Share on other sites
L2 VPN это как раз VLAN.
А AToM тогда кто?

Ну давайте не будем тут все варианты инкапсуляции L2 расписывать.

Ещё как будем, потому что они по цене внедрения и масштабируемости дюже разные.

Share this post


Link to post
Share on other sites
Ещё как будем, потому что они по цене внедрения и масштабируемости дюже разные.
В контексте данного топика разговор идет про пионернетную сеть, так что там видимо 802.1q, не более.

 

Предлагаю углубить опрос до темы должен ли L2VPN стоить дороже чем L3VPN.
Зависит от метода построения сети...

Share this post


Link to post
Share on other sites
потому что я, до этого момента, рассматривал этого провайдера как образцово-показательного.

таких не бывает... или устройтесь к ним на работу и проверьте лично.

Edited by kostich

Share this post


Link to post
Share on other sites
Предлагаю углубить опрос до темы должен ли L2VPN стоить дороже чем L3VPN.

просунуть полноценный L2 пакет (включая 802.1q) в транспорт с меньшим MTU всегда дороже чем просунуть L3 в gre.

 

 

Share this post


Link to post
Share on other sites
Предлагаю углубить опрос до темы должен ли L2VPN стоить дороже чем L3VPN.
Зависит от метода построения сети...

Я к тому, что то что кажется дешёвым сегодня, завтра - когда подрастут, будет дорогим и проблемным.

Вариантов что будет по другому нет и не видно.

"VPN" -- это УСЛУГА, а не тип инкапсуляции или туннеля
Это да, америку безусловно открыли. Осталось разобраться из чего определяется цена на услугу, причём не только сегодня, но и завтра.

 

Share this post


Link to post
Share on other sites
Я к тому, что то что кажется дешёвым сегодня, завтра - когда подрастут, будет дорогим и проблемным.

Вариантов что будет по другому нет и не видно.

Не могу не согласится. Но строить сеть правильно с нуля довольно ресурсоемкое занятие, да и спецов надо найти еще: 802.1q ведь это не MPLS.

Share this post


Link to post
Share on other sites

Вопрос топикстартеру - а что в договоре написано?

Кстати, а как по вашему правильно - сквозной влан и все? без порт-секюрити даже.. давайте мне в порт 10 000 маков от arpoison )

 

Share this post


Link to post
Share on other sites
Предлагаю углубить опрос до темы должен ли L2VPN стоить дороже чем L3VPN.

просунуть полноценный L2 пакет (включая 802.1q) в транспорт с меньшим MTU всегда дороже чем просунуть L3 в gre.

Как же я вас всех люблю... Вы просто не представляете :)

Скажите пожалуйста,

1. Что такое транспорт с меньшим MTU?

2. Почему это дороже?

3. Почему L3 в GRE? Почему не во что-то другое?

 

P.S. Мое мнение такое, что L2 должен быть дороже. Почему - расскажу потом, если не зобанят как обычно.

Share this post


Link to post
Share on other sites
P.S. Мое мнение такое, что L2 должен быть дороже. Почему - расскажу потом, если не зобанят как обычно.
Тогда расширим углубленный вопрос :)

Надо ли различать e-line и e-lan как различные услуги L2VPN, по цене в том числе.

Share this post


Link to post
Share on other sites
P.S. Мое мнение такое, что L2 должен быть дороже. Почему - расскажу потом, если не зобанят как обычно.
Тогда расширим углубленный вопрос :)

Надо ли различать e-line и e-lan как различные услуги L2VPN, по цене в том числе.

В целом конечно стоит. Но можно этого и не делать, а барыжить e-lin'ами как e-lan'ами. Но это уже больше вопрос маркетинга.

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this