Перейти к содержимому
Калькуляторы

Как лучше раздавать реальники.

Kто как раздает?

Сейчас у меня в основном через vpn или напрямую на eth.

В случае с vpn все нормально , но от него очень хочется уйти на чистый IPoE. А вот сдесь начинаются проблемы - если неправильно оцениваем количество клиентов на интерфейсе теряется много адресов либо получается зоопарк из alias'ов.

В идеале хотелось бы видеть схему а la vpn (одна большая сеть , не тратим адреса на net,broadcast,gw) но на eth.

Из возможных вариантов в голову приходит только DNAT/SNAT на внутренние ip , host route (но тут уже на клиенте проблема настроить).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

man vlan

unnumbered я так понимаю этим предлагается? проблема в том что далеко не везде на доступе управляемые порты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

>man vlan

 

Ну и как это поможет решить проблему того, что либо давать сетку /30 на абонента, либо предсказывать сколько будет абонентов на (саб)интерфейсе?

 

То, что хочет alex_001 называется ip unnumbered, как это реализуется на линуксах/фряхах и т.п. я не знаю, но как это делается на cisco есть howto даже на русском: http://www.opennet.ru/base/cisco/catalyst_...number.txt.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если на доступе есть тупые свичи, то почему бы не сделать на агрегации по влану на каждый downlink, идущий к домовым свичам? Еще можно порезать мусорный трафик с помощью ACL. Все лучше будет, чем вообще без сегментов. На агрегации какие свичи стоят?

Изменено пользователем photon

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если на доступе есть тупые свичи, то почему бы не сделать на агрегации по влану на каждый downlink, идущий к домовым свичам? Еще можно порезать мусорный трафик с помощью ACL. Все лучше будет, чем вообще без сегментов. На агрегации какие свичи стоят?

Так и сделано. Вопрос в том что на эти vlan'ы тратится дофига реальных ip , из за низкого коэфф. использования адресов или на brd,net,gw в случае мелких масок.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Значит надо сделать сегменты покрупнее, по влану на несколько портов, настроить ip unnumbered, если оборудование позволяет, и арендовать у своего апстрима дополнительную подсеть белых IP.

Изменено пользователем photon

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну так с мыльницами будут воровать друг у друга мак-адреса и пользоваться ip адресом соседа по свитчу. Так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Значит надо сделать сегменты покрупнее, по влану на несколько портов, настроить ip unnumbered, если оборудование позволяет, и арендовать у своего апстрима дополнительную подсеть белых IP.

Адреса есть .. Хочется просто более экономно раздавать и все. А то RIPE новые блоки отдает все более неохотно (и правильно делает).

 

Вобщем тему надо было назвать "нестандартные методы раздачи реальников" - просто все что тут предлагалось тривиально , и уже сделано где возможно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну и как это поможет решить проблему того, что либо давать сетку /30 на абонента, либо предсказывать сколько будет абонентов на (саб)интерфейсе?

что мешает загнать все реальники в один vlan ? жадность или религия ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну и как это поможет решить проблему того, что либо давать сетку /30 на абонента, либо предсказывать сколько будет абонентов на (саб)интерфейсе?

что мешает загнать все реальники в один vlan ? жадность или религия ?

Повторяю. Мешает отсутствие во многих местах управляемых портов на доступе. Соответственно нет возможности в произвольном месте этот влан выдернуть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Повторяю. Мешает отсутствие во многих местах управляемых портов на доступе. Соответственно нет возможности в произвольном месте этот влан выдернуть.

Это как раз называется жадностью. :-) В исходном постинге было написано про IPoE, а потом про неуправляемые свичи. Подмена MAC/IP хорошо лечит от раздачи реальников мимо VPN на неуправляемой сети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Повторяю. Мешает отсутствие во многих местах управляемых портов на доступе. Соответственно нет возможности в произвольном месте этот влан выдернуть.

Это как раз называется жадностью. :-) В исходном постинге было написано про IPoE, а потом про неуправляемые свичи. Подмена MAC/IP хорошо лечит от раздачи реальников мимо VPN на неуправляемой сети.

да так надо и сказать - если есть тупые свичи на доступе то конфетка не получится - всё равно будет кака! пока не поменяете свичи спокойно о нормальном IPoE можете забыть! как не крути а вам на доступе надо или сделать так чтобы они между собой не бегали - тогда можна в один влан пихать их или вообще влан на юзера - как в первом так и в другом случае надо управляемый свич! Мне нравится первый вариант - тоесть влан на дом - и запрешение обмена между портамина дому!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

при отсутствии ip unnumbered (геморно его сделать) решили затестить схему с ip dhcp smart ralay. В вилане 256 реальников и 256 виртуальных.

 

Постоянно сидящие в сети получают реальный, остальным что попадется.

Изменено пользователем Дегтярев Илья

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А чем не угодил ISG?

 

 

а раздавать под ISG выхотите статически или динамически?

если динамически то вы же наверное должны к чему то привязаться для того чтобы они их просто не поменяли - например к маку - да ?

 

маки сопрут и будут менять клиенты которые сидят на мыльницах тупых!

со статическим вариантом будет то же самое!

 

и опять же таки - а что ISG чем то поможет если человек не хочет давать /30 ? тут ISG вообще ни при чём! надо ip unnumbered

 

кроме того надо управляемые свичи чтобы был намертво привязан порт клиента к маку! причём к одному! то есть чтобы а на порте работал только один мак причём именно тот который прописан!

Изменено пользователем Lynx10

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Из возможных вариантов в голову приходит только DNAT/SNAT на внутренние ip

В принципе, этот вариант выглядит одним из самых экономных и до простоты надежных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если использовать NAT(и S и полный D), то каким образом отличать абонента A от абонента B с учётом того, что у автора темы есть мыльницы на доступе? И каким образом выставлять тарифный план?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если использовать NAT(и S и полный D), то каким образом отличать абонента A от абонента B с учётом того, что у автора темы есть мыльницы на доступе? И каким образом выставлять тарифный план?

Я так подозреваю, что так же, как и отличают абонентов, у которых нет реальных ip, и которые работают в приватных адресах - средствами своего стандартного биллинга. А тарифный план выставляется на услугу "реального ip", при этом локальный ip не тарифицируется, или тарифицируется, как локальный, если ральный оплачитвается дополнительно.

Изменено пользователем vop

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если использовать NAT(и S и полный D), то каким образом отличать абонента A от абонента B с учётом того, что у автора темы есть мыльницы на доступе? И каким образом выставлять тарифный план?

Ух , привязались к мыльницам. Забудьте хоть на время про security - тут вопрос решен другими методами. Про мыльницы писал только в том плане что не всегда есть возможность выкинуть конкретный vlan на конкретный порт.

В случае с натом подсчет точно такой-же , просто считается трафло на ip из rfc1918 , реальник висит отд. услугой..

Кстати схему с симметричным натом я встречал у кого-то из операторов (не помню правда уже у кого и весьма давно..)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Из возможных вариантов в голову приходит только DNAT/SNAT на внутренние ip

В принципе, этот вариант выглядит одним из самых экономных и до простоты надежных.

лишняя и ненужная нагрузка на маршрутизатор...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Из возможных вариантов в голову приходит только DNAT/SNAT на внутренние ip

В принципе, этот вариант выглядит одним из самых экономных и до простоты надежных.

лишняя и ненужная нагрузка на маршрутизатор...

В свете скорого наступления полной Ж с IPv4 возможность выделять в любом месте сети просто /32 кажется крайне заманчивой , несмотря на нагрузку (да и явно поменьше она , чем если туннели терминировать + local идет мимо).

Из недостатков - не совсем прозрачная настройка для клиента , и проблемы вызванные самим натом. Очень интересно знать заранее где тут грабли (у меня много клиентов за натом (односторонним)- проблем вроде немного , но возможно встречаются разные нетривиальные варианты (в свете замены такой конструкцией реальника), интересно бы о них заранее знать).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А чем не угодил ISG?

 

 

а раздавать под ISG выхотите статически или динамически?

если динамически то вы же наверное должны к чему то привязаться для того чтобы они их просто не поменяли - например к маку - да ?

 

маки сопрут и будут менять клиенты которые сидят на мыльницах тупых!

со статическим вариантом будет то же самое!

 

и опять же таки - а что ISG чем то поможет если человек не хочет давать /30 ? тут ISG вообще ни при чём! надо ip unnumbered

 

кроме того надо управляемые свичи чтобы был намертво привязан порт клиента к маку! причём к одному! то есть чтобы а на порте работал только один мак причём именно тот который прописан!

Вот как раз так пирблизительно я у себя сейчас делаю :). Жестко буду прибивать маки к портам. DHCP раздавать на основе маков из биллинга.

 

А при чем тут /30? В ISG человек получает внутренние айпи, на которые уже при потребности пробрасываются внешние (stateless NAT). Не забываем также, что у ISG существует понятие сессии (как у PPTP/PPPoE, да-да). Так что проблема перерасхода внешних адресов тоже фактически отпадает.

 

Товарищи! Всё уже придумано! Нехер изобретать велосипеды!

 

Из возможных вариантов в голову приходит только DNAT/SNAT на внутренние ip

В принципе, этот вариант выглядит одним из самых экономных и до простоты надежных.

лишняя и ненужная нагрузка на маршрутизатор...

А вот совсем нет, если stateless.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот как раз так пирблизительно я у себя сейчас делаю :). Жестко буду прибивать маки к портам. DHCP раздавать на основе маков из биллинга.
можна сказать без этого никак!
А при чем тут /30? В ISG человек получает внутренние айпи, на которые уже при потребности пробрасываются внешние (stateless NAT). Не забываем также, что у ISG существует понятие сессии (как у PPTP/PPPoE, да-да). Так что проблема перерасхода внешних адресов тоже фактически отпадает.
ISG это классно, сессии тоже классно всё классно а вот НАТ - это как по мне через зад! Это не раздача реальников а это проход серого под одним и тем же белым - то есть снат ! А если извне надо присоединится ? будете днат делать один в один? И это вы называете раздачей белых адресов ?

ну у нас значит разное представление о раздачи белых адресов!

А вот совсем нет, если stateless.
конечно нет - погреть воздух процесором - это прикольно вместо того чтобы вообще без ната делать!

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

>Очень интересно знать заранее где тут грабли (у меня много клиентов за натом (односторонним)- проблем вроде немного , но возможно встречаются разные нетривиальные варианты (в свете замены такой конструкцией реальника), интересно бы о них заранее знать).

 

Из того, что сразу приходит в голову это проблема использования ipsec совместно с nat

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.