Перейти к содержимому
Калькуляторы
Техническая политика в частных сетях  

46 пользователей проголосовало

  1. 1. Техническая политика в частных сетях

    • Я, как провайдер VPN, определяю ТП внутри VPN
      5
    • Я, как провайдер VPN, пытаюсь быть наиболее "прозрачным" и незаметным для конечного заказчика
      41


Техническая политика или "сую нос не в свои сети"

Опросом пытаюсь узнать, сколько отмороженных параноиков проживает в нашей необъятной стране.

 

Предыстория такая, классическая вообщем

Некая фирма имеет центральный в офис и ряд филиалов в других городах, причём ПК в этих филиалах находятся ни в одном помещении, а разбросаны по городу.

Задача тривиальная - машины из этих филиалов должны иметь доступ к внутренним сетям офисам.

Решение не менее классическое - тунелирование через публичную сеть с применением IPSec

 

Ничто не предвещало беды...

 

Первый город.

Провайдер(езернет) предоставляет услугу Интернет с реальным адресом и услугу частной виртуальной сети по городу, т.е. по одному "шнурку" приходит инет, в другом тот самый VLAN в котором находятся все машины разбросанные по городу.

Инет нормально заработал, с IPSec вопросов не возникло.

Пришло время подключать машины, а именно на них прописать шлюз во внешнюю сеть, который подключен к этому VLAN.

Кроме того на этой же точке, где находится шлюз, стоит и одна из машин, имеющая адрес из этой сети, только включеная непосредственно в роутер.

 

Первое что насторожило - адресация внутри VLAN выданная самим провайдером

По хорошему клиент сам должен определять какая у него должна быть внутри адресация, ну да Бог с ним, фирма далеко не IT, и специалистов по этим вопросам там нет, соотвественно поставили то что дал провайдер.

 

Пришёл день, когда человек ходил и расставлял на этих машинах шлюз(в настройках не было).

Первая же машина не заработала, ping не прошёл, хотя в арпе была видна.

Первая мысль пришедшая в голову - привязка адресов к порту.

Хороший ход привязывать адреса к порту при услуге частного VPN.

Интересно а если бы было q-in-q они бы тоже всех многочисленые машины с клиентским тагом в аксеслист бы записали.

 

Ладно, первый же запрос убрать привязку именно на этом порту привёл "админов"(жирные кавычки, после того что я выслушал) в ступор.

Вкратце изложу ответ:

"Привязку убирать не будем, такая техническая политика, и так должно работать, вы не компетентны, читайте RFC и изучайте технологии"

 

до них не доходило что пакеты из удалённой офисной сети - транзитные и имеют src адрес соотвественно офисной сети.

Попытка рассказать им что их аксеслист режет, на порту в который включен шлюз, ВСЕ ПАКЕТЫ кроме пакетов где адрес самого шлюза - провалилась.

они считают что в этой ИХ логической сети должны бегать пакеты только с src адресами этой самой сети, и никакие более.

 

"Админ" начал рисовать у себя там схему и мне рассказывать как идут пакетики, как они енкапсюлируются/декапсюлируются, как в них меняются адреса.

И НА ЭТАПЕ когда он рассматривал поток пакетов от внутренней сети офиса к этой приватной частной сети, ДО НЕГО ДОШЛО.

 

ОН ИЗРЁК - "ААА Я ПОНЯЯЯЯЛ!!!"

 

*бл$, молодец мальчик, это основы ACL и маршрутизации, это бл$ть на CCNA учат*

 

после этого понурым голосом, понимая что сейчас 20 минут рассказывал как ходят туда сюда пакетики("морозил ху...ню полную"), ВСЁ РАВНО ОТКАЗАЛСЯ УБИРАТЬ ПРИВЯЗКУ

 

мотивируя это тем что мол, она есть не только на свичах доступа, но и на всём остальном оборудовании дальше! ( ЭТО ПОЛНЫЙ ПИЗ...Ц. простите меня. )

и убирать её им "лень и очень много работы"

 

в итоге работает только та одна машина, которая воткнута в рутер, который делает тунель, и её прекрасно видят, и она прекрасно видит офис.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какие крупные буквы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А был ли мальчик, т.е. вилан?

Может быть вилана нет на самом деле, а все лишнее-чужое просто порезано на порту коммутатора доступа... :-)

Тогда хотя бы появляется логика...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А был ли мальчик, т.е. вилан?

Может быть вилана нет на самом деле, а все лишнее-чужое просто порезано на порту коммутатора доступа... :-)

Тогда хотя бы появляется логика...

это будет финиш совсем :(

потому что я, до этого момента, рассматривал этого провайдера как образцово-показательного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

пугните судом, свяьнадзором, пообщайтесь с кем-либо из директората наконец. думаю, после этого мальчик сменит поведение :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

)) скорее откужут в обслуживании, если vlan'a действительно нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А я предлагаю кого-нибудь от***ить (с)

Валите от этих недооператоров-домонетов. Зачем вам геморрой за ваши же деньги? Практика показывает, что даже vlan без косяков с их стороны арендовать нельзя. Максимум - дарк файбер. И то 8 раз подумаешь, как увидишь какое они из этого файбера макраме плести умудряются...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

услугу частной виртуальной сети по городу
Гы это помоему переводится virtual private network тобиш VPN а не ВЛАН между офисами, и с адресами тогда понятно, ставите роутеры в офисв на эти адреса а между ними поднимаете тунельки.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

услугу частной виртуальной сети по городу
Гы это помоему переводится virtual private network тобиш VPN а не ВЛАН между офисами

L2 VPN это как раз VLAN.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А ты вступил в банду tgz?! :)

Давно пора. Мочить пионерофф и телеком с мозгами из энтерпрайза.

Предлагаю углубить опрос до темы должен ли L2VPN стоить дороже чем L3VPN.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

L2 VPN это как раз VLAN.
А AToM тогда кто?

Ну давайте не будем тут все варианты инкапсуляции L2 расписывать.
Изменено пользователем bitbucket

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

L2 VPN это как раз VLAN.
А AToM тогда кто?

Ну давайте не будем тут все варианты инкапсуляции L2 расписывать.

Ещё как будем, потому что они по цене внедрения и масштабируемости дюже разные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ещё как будем, потому что они по цене внедрения и масштабируемости дюже разные.
В контексте данного топика разговор идет про пионернетную сеть, так что там видимо 802.1q, не более.

 

Предлагаю углубить опрос до темы должен ли L2VPN стоить дороже чем L3VPN.
Зависит от метода построения сети...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

потому что я, до этого момента, рассматривал этого провайдера как образцово-показательного.

таких не бывает... или устройтесь к ним на работу и проверьте лично.

Изменено пользователем kostich

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

"VPN" -- это УСЛУГА, а не тип инкапсуляции или туннеля

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Предлагаю углубить опрос до темы должен ли L2VPN стоить дороже чем L3VPN.

просунуть полноценный L2 пакет (включая 802.1q) в транспорт с меньшим MTU всегда дороже чем просунуть L3 в gre.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

L2 VPN это как раз VLAN.

VLAN - это VLAN, а не L2 VPN.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Предлагаю углубить опрос до темы должен ли L2VPN стоить дороже чем L3VPN.
Зависит от метода построения сети...

Я к тому, что то что кажется дешёвым сегодня, завтра - когда подрастут, будет дорогим и проблемным.

Вариантов что будет по другому нет и не видно.

"VPN" -- это УСЛУГА, а не тип инкапсуляции или туннеля
Это да, америку безусловно открыли. Осталось разобраться из чего определяется цена на услугу, причём не только сегодня, но и завтра.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я к тому, что то что кажется дешёвым сегодня, завтра - когда подрастут, будет дорогим и проблемным.

Вариантов что будет по другому нет и не видно.

Не могу не согласится. Но строить сеть правильно с нуля довольно ресурсоемкое занятие, да и спецов надо найти еще: 802.1q ведь это не MPLS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вопрос топикстартеру - а что в договоре написано?

Кстати, а как по вашему правильно - сквозной влан и все? без порт-секюрити даже.. давайте мне в порт 10 000 маков от arpoison )

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

L2 VPN это как раз VLAN.

Курили?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Предлагаю углубить опрос до темы должен ли L2VPN стоить дороже чем L3VPN.

просунуть полноценный L2 пакет (включая 802.1q) в транспорт с меньшим MTU всегда дороже чем просунуть L3 в gre.

Как же я вас всех люблю... Вы просто не представляете :)

Скажите пожалуйста,

1. Что такое транспорт с меньшим MTU?

2. Почему это дороже?

3. Почему L3 в GRE? Почему не во что-то другое?

 

P.S. Мое мнение такое, что L2 должен быть дороже. Почему - расскажу потом, если не зобанят как обычно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

P.S. Мое мнение такое, что L2 должен быть дороже. Почему - расскажу потом, если не зобанят как обычно.
Тогда расширим углубленный вопрос :)

Надо ли различать e-line и e-lan как различные услуги L2VPN, по цене в том числе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

P.S. Мое мнение такое, что L2 должен быть дороже. Почему - расскажу потом, если не зобанят как обычно.
Тогда расширим углубленный вопрос :)

Надо ли различать e-line и e-lan как различные услуги L2VPN, по цене в том числе.

В целом конечно стоит. Но можно этого и не делать, а барыжить e-lin'ами как e-lan'ами. Но это уже больше вопрос маркетинга.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.