Jump to content

Техническая политика

ingress

By ingress
in У нага

 Share

Техническая политика в частных сетях  

46 members have voted

  1. 1. Техническая политика в частных сетях

    • Я, как провайдер VPN, определяю ТП внутри VPN
      5
    • Я, как провайдер VPN, пытаюсь быть наиболее "прозрачным" и незаметным для конечного заказчика
      41

Recommended Posts

ingress

ingress

Posted
Posted

Опросом пытаюсь узнать, сколько отмороженных параноиков проживает в нашей необъятной стране.

 

Предыстория такая, классическая вообщем

Некая фирма имеет центральный в офис и ряд филиалов в других городах, причём ПК в этих филиалах находятся ни в одном помещении, а разбросаны по городу.

Задача тривиальная - машины из этих филиалов должны иметь доступ к внутренним сетям офисам.

Решение не менее классическое - тунелирование через публичную сеть с применением IPSec

 

Ничто не предвещало беды...

 

Первый город.

Провайдер(езернет) предоставляет услугу Интернет с реальным адресом и услугу частной виртуальной сети по городу, т.е. по одному "шнурку" приходит инет, в другом тот самый VLAN в котором находятся все машины разбросанные по городу.

Инет нормально заработал, с IPSec вопросов не возникло.

Пришло время подключать машины, а именно на них прописать шлюз во внешнюю сеть, который подключен к этому VLAN.

Кроме того на этой же точке, где находится шлюз, стоит и одна из машин, имеющая адрес из этой сети, только включеная непосредственно в роутер.

 

Первое что насторожило - адресация внутри VLAN выданная самим провайдером

По хорошему клиент сам должен определять какая у него должна быть внутри адресация, ну да Бог с ним, фирма далеко не IT, и специалистов по этим вопросам там нет, соотвественно поставили то что дал провайдер.

 

Пришёл день, когда человек ходил и расставлял на этих машинах шлюз(в настройках не было).

Первая же машина не заработала, ping не прошёл, хотя в арпе была видна.

Первая мысль пришедшая в голову - привязка адресов к порту.

Хороший ход привязывать адреса к порту при услуге частного VPN.

Интересно а если бы было q-in-q они бы тоже всех многочисленые машины с клиентским тагом в аксеслист бы записали.

 

Ладно, первый же запрос убрать привязку именно на этом порту привёл "админов"(жирные кавычки, после того что я выслушал) в ступор.

Вкратце изложу ответ:

"Привязку убирать не будем, такая техническая политика, и так должно работать, вы не компетентны, читайте RFC и изучайте технологии"

 

до них не доходило что пакеты из удалённой офисной сети - транзитные и имеют src адрес соотвественно офисной сети.

Попытка рассказать им что их аксеслист режет, на порту в который включен шлюз, ВСЕ ПАКЕТЫ кроме пакетов где адрес самого шлюза - провалилась.

они считают что в этой ИХ логической сети должны бегать пакеты только с src адресами этой самой сети, и никакие более.

 

"Админ" начал рисовать у себя там схему и мне рассказывать как идут пакетики, как они енкапсюлируются/декапсюлируются, как в них меняются адреса.

И НА ЭТАПЕ когда он рассматривал поток пакетов от внутренней сети офиса к этой приватной частной сети, ДО НЕГО ДОШЛО.

 

ОН ИЗРЁК - "ААА Я ПОНЯЯЯЯЛ!!!"

 

*бл$, молодец мальчик, это основы ACL и маршрутизации, это бл$ть на CCNA учат*

 

после этого понурым голосом, понимая что сейчас 20 минут рассказывал как ходят туда сюда пакетики("морозил ху...ню полную"), ВСЁ РАВНО ОТКАЗАЛСЯ УБИРАТЬ ПРИВЯЗКУ

 

мотивируя это тем что мол, она есть не только на свичах доступа, но и на всём остальном оборудовании дальше! ( ЭТО ПОЛНЫЙ ПИЗ...Ц. простите меня. )

и убирать её им "лень и очень много работы"

 

в итоге работает только та одна машина, которая воткнута в рутер, который делает тунель, и её прекрасно видят, и она прекрасно видит офис.

  • Replies 56
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Nag

Nag

Posted
Posted

А был ли мальчик, т.е. вилан?

Может быть вилана нет на самом деле, а все лишнее-чужое просто порезано на порту коммутатора доступа... :-)

Тогда хотя бы появляется логика...

ingress

ingress

Posted
  • Author
Posted
А был ли мальчик, т.е. вилан?

Может быть вилана нет на самом деле, а все лишнее-чужое просто порезано на порту коммутатора доступа... :-)

Тогда хотя бы появляется логика...

это будет финиш совсем :(

потому что я, до этого момента, рассматривал этого провайдера как образцово-показательного.

tgz

tgz

Posted
Posted

А я предлагаю кого-нибудь от***ить (с)

Валите от этих недооператоров-домонетов. Зачем вам геморрой за ваши же деньги? Практика показывает, что даже vlan без косяков с их стороны арендовать нельзя. Максимум - дарк файбер. И то 8 раз подумаешь, как увидишь какое они из этого файбера макраме плести умудряются...

IvanI

IvanI

Posted
Posted
услугу частной виртуальной сети по городу
Гы это помоему переводится virtual private network тобиш VPN а не ВЛАН между офисами, и с адресами тогда понятно, ставите роутеры в офисв на эти адреса а между ними поднимаете тунельки.

 

Cr_net

Cr_net

Posted
Posted

А ты вступил в банду tgz?! :)

Давно пора. Мочить пионерофф и телеком с мозгами из энтерпрайза.

Предлагаю углубить опрос до темы должен ли L2VPN стоить дороже чем L3VPN.

Cr_net

Cr_net

Posted
Posted
L2 VPN это как раз VLAN.
А AToM тогда кто?

Ну давайте не будем тут все варианты инкапсуляции L2 расписывать.

Ещё как будем, потому что они по цене внедрения и масштабируемости дюже разные.
bitbucket

bitbucket

Posted
Posted
Ещё как будем, потому что они по цене внедрения и масштабируемости дюже разные.
В контексте данного топика разговор идет про пионернетную сеть, так что там видимо 802.1q, не более.

 

Предлагаю углубить опрос до темы должен ли L2VPN стоить дороже чем L3VPN.
Зависит от метода построения сети...
kostich

kostich

Posted
Posted (edited)
потому что я, до этого момента, рассматривал этого провайдера как образцово-показательного.

таких не бывает... или устройтесь к ним на работу и проверьте лично.

Edited by kostich
kostich

kostich

Posted
Posted
Предлагаю углубить опрос до темы должен ли L2VPN стоить дороже чем L3VPN.

просунуть полноценный L2 пакет (включая 802.1q) в транспорт с меньшим MTU всегда дороже чем просунуть L3 в gre.

 

 

Cr_net

Cr_net

Posted
Posted
Предлагаю углубить опрос до темы должен ли L2VPN стоить дороже чем L3VPN.
Зависит от метода построения сети...

Я к тому, что то что кажется дешёвым сегодня, завтра - когда подрастут, будет дорогим и проблемным.

Вариантов что будет по другому нет и не видно.

"VPN" -- это УСЛУГА, а не тип инкапсуляции или туннеля
Это да, америку безусловно открыли. Осталось разобраться из чего определяется цена на услугу, причём не только сегодня, но и завтра.

 

bitbucket

bitbucket

Posted
Posted
Я к тому, что то что кажется дешёвым сегодня, завтра - когда подрастут, будет дорогим и проблемным.

Вариантов что будет по другому нет и не видно.

Не могу не согласится. Но строить сеть правильно с нуля довольно ресурсоемкое занятие, да и спецов надо найти еще: 802.1q ведь это не MPLS.
sirmax

sirmax

Posted
Posted

Вопрос топикстартеру - а что в договоре написано?

Кстати, а как по вашему правильно - сквозной влан и все? без порт-секюрити даже.. давайте мне в порт 10 000 маков от arpoison )

 

tgz

tgz

Posted
Posted
Предлагаю углубить опрос до темы должен ли L2VPN стоить дороже чем L3VPN.

просунуть полноценный L2 пакет (включая 802.1q) в транспорт с меньшим MTU всегда дороже чем просунуть L3 в gre.

Как же я вас всех люблю... Вы просто не представляете :)

Скажите пожалуйста,

1. Что такое транспорт с меньшим MTU?

2. Почему это дороже?

3. Почему L3 в GRE? Почему не во что-то другое?

 

P.S. Мое мнение такое, что L2 должен быть дороже. Почему - расскажу потом, если не зобанят как обычно.

Cr_net

Cr_net

Posted
Posted
P.S. Мое мнение такое, что L2 должен быть дороже. Почему - расскажу потом, если не зобанят как обычно.
Тогда расширим углубленный вопрос :)

Надо ли различать e-line и e-lan как различные услуги L2VPN, по цене в том числе.

tgz

tgz

Posted
Posted
P.S. Мое мнение такое, что L2 должен быть дороже. Почему - расскажу потом, если не зобанят как обычно.
Тогда расширим углубленный вопрос :)

Надо ли различать e-line и e-lan как различные услуги L2VPN, по цене в том числе.

В целом конечно стоит. Но можно этого и не делать, а барыжить e-lin'ами как e-lan'ами. Но это уже больше вопрос маркетинга.

 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.