Jump to content

Без тунелей, без NAT

ivan999
 Share

Recommended Posts

ivan999

ivan999

Posted
Posted

Начинаю заранее задумываться.

Меня смущает использование тунелей в сети, из-за простоты аккаунтинга и авторизации - и радиус прикручен хорошо. И белый адрес выдать в тунель - много мозга не нужно.

Пока все еще немного безлимитов у нас в регионе (дорого) - ВПН со своими паролями для помегобайтных тарифов - незаменимая весчь.

Но в перспективе все равно придем к безлимитам и большим скоростям - тогда прощай VPN.

Пока четко не знаю, как не юзая NAT и раздавая белые IP динамически - вешать статистику на нужного юзера.

Как управлять доступом - нужно управлять фаерволом на "шлюзе" - а IP у юзеров - динамический.

Значит биллинг должен быть связан с DHCP, или даже сам должен раздавать адреса через DHCP?

А как со спецслужбами - как юзера асоциировать с договором, не собирая MAC адреса и не роясь в логах DHCP?

 

Или лучше статически раздавать белые IP по Опции82 и не париться? (тогда конечно - все просто - но нужно иметь IP адресов больше чем клиентов и с запасом на новых юзеров, чтобы в сети маршрутизацию не перенастраивать постоянно)

Знаю, что многие работают давно без тунелей и/или без NAT - поделитесь концепцией.

bay

bay

Posted
Posted
Или лучше статически раздавать белые IP по Опции82 и не париться? (тогда конечно - все просто - но нужно иметь IP адресов больше чем клиентов и с запасом на новых юзеров, чтобы в сети маршрутизацию не перенастраивать постоянно)

Не нужно. Для этого агрегатор должен уметь интерфейс без ip-адреса. У cisco это "ip unnumbered".

Допустим, сеть по схеме "vlan на свитч". У тебя есть сеть сеть 1.2.3.0/24, которую ты полностью отдаешь клиентам.

Выделяешь шлюз 1.2.3.254, вешаешь его на loopback. И для всех интерфейсов, на которых висят пользователи, указываешь использование адреса этого loopback.

Пользователям адрес отдается с маской сети /24

Что-то типа:

 

interface Loopback0

ip address 1.2.3.254 255.255.255.0

 

interface Vlan1234

ip unnumbered Loopback0

interface Vlan1235

ip unnumbered Loopback0

interface Vlan1236

ip unnumbered Loopback0

...

 

и маршрутами отправляешь ip-адреса клиентов в нужный влан.

 

ip route 1.2.3.1 255.255.255.255 Vlan1234

ip route 1.2.3.2 255.255.255.255 Vlan1235

ip route 1.2.3.3 255.255.255.255 Vlan1236

...

 

Таким образом, у тебя не расходуется блок адресов на каждого клиента (шлюз, маска, броадкаст).

Но таблица маршрутов будет большой :)

 

Как вариант, сразу забить адреса за вланом. Тогда для свитча на 24 порта можно пользовать такую маршрутизацию:

ip route 1.2.3.0 255.255.255.240 Vlan1234

ip route 1.2.3.17 255.255.255.255 Vlan1234

ip route 1.2.3.18 255.255.255.255 Vlan1234

ip route 1.2.3.19 255.255.255.255 Vlan1234

ip route 1.2.3.20 255.255.255.255 Vlan1234

ip route 1.2.3.21 255.255.255.255 Vlan1234

ip route 1.2.3.22 255.255.255.255 Vlan1234

ip route 1.2.3.23 255.255.255.255 Vlan1234

ip route 1.2.3.24 255.255.255.255 Vlan1234

 

Ну или всякие вариации на тему :)

 

PS. Мы пока раздаем серые адреса, но сразу блоками по 4 (все для абонента). Один vlаn - один маршрут для сети с маской 255.255.255.128. Вся кошка обрабатывает сеть с маской 255.255.192.0. "И не паримся" :)

vIv

vIv

Posted
Posted
Не нужно. Для этого агрегатор должен уметь интерфейс без ip-адреса. У cisco это "ip unnumbered".

Допустим, сеть по схеме "vlan на свитч". У тебя есть сеть сеть 1.2.3.0/24, которую ты полностью отдаешь клиентам.

Надо только не забыть поставить 253-портовый свич ;-)

Или сеточку не на один свич намазывать ;-)

Gunner

Gunner

Posted
Posted

это зач

Надо только не забыть поставить 253-портовый свич ;-)

Или сеточку не на один свич намазывать ;-)

это зачем ?
vIv

vIv

Posted
Posted
это зач
Надо только не забыть поставить 253-портовый свич ;-)

Или сеточку не на один свич намазывать ;-)

это зачем ?

Ну посчитай. Если ты выделяешь вилан с /24 на свич, а в свиче 24 порта/абонента. Даже если выдавать по 3 адреса на абонента - всё-равно останутся неиспользованные.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.