Оптимальное деление адресного пространства

[esvaf]

Ребят, интересно узнать ваше мнение о "правильном" делении адресного пространства при предоставлении инета с внешними ip юрлицам.

Банальные крайности:

- всех в один vlan (оптимально с точки зрения использования адресного пространства)

- каждому свою сетку даже ради 1-го ип (получается по 4-х адреса на один линк использоваться)

Кто как делает, к чему стремится?

P.S. кому-то будет достаточно 1-го IP, кому-то пара нужна, кому-то еще больше

[Ivan_83]

Отделите L2 от L3 и всё станет ясно.

 

IP unnumbered настраивается просто, чего вы к /30 вяжетесь - не понимаю, не на винде же.

 

 

[Zaqwr]

ip unnumbered и по vlan на юрика, можно ещё кучу костылей придумать в зависимости от оборудования, а если правильно, то как не крути по 4-ре ip придётся жертвовать правильности ради.

[esvaf]

По железкам - шлюз на микротике, свичи управляемые длинк

Про IP unnumbered пока почему-то не успел вникнуть подробнее - сейчас попробую восполнить сей пробел

[s.lobanov]

Ещё можно давать /30 из серых сеток и делать статический маршрут реальный_ip/32 в сторону абонента. Лупбэки есть как в unix'а/ciscах, так и в виндоусах. Остаётся лишь вопрос есть ли лупбэки в дешёвых SOHO-роутерах.

[esvaf]

Я правильно понимаю, что как вариант реализации можно сделать:

У каждого клиента свой влан, на маршрутизаторе он фильтруется на предмет пропуска трафика только от правильного ip, дальше все эти вланы в бридж, имеющий ip, прописанный у всех шлюзом?

Адреса публичные, поэтому общение клиентов между собой не возбраняется.

[s.lobanov]

Я правильно понимаю, что как вариант реализации можно сделать:

У каждого клиента свой влан, на маршрутизаторе он фильтруется на предмет пропуска трафика только от правильного ip, дальше все эти вланы в бридж, имеющий ip, прописанный у всех шлюзом?

Адреса публичные, поэтому общение клиентов между собой не возбраняется.

 

+к этому надо продумывать защиту от arp spoofing

[Deac]

Вот не удержусь... )

PPPoE наше всё, выдавай что хочешь и как хочешь, вплоть до IPv6.

[esvaf]

+к этому надо продумывать защиту от arp spoofing

Ну как минимум в настроках бриджа есть

arp (disabled | enabled | proxy-arp | reply-only; Default: enabled) Address Resolution Protocol setting

 

Разве proxy-arp мне не поможет?

 

Вот не удержусь... )

Если бы все было так просто.... Важна простота конфигурирования у абонентов и простота замены железки в случае поломки... В рассматриваемом изначально варианте просто вешаешь любой роутер с правильными адресами и вот оно счастье пока не починишь основной.

 

 

 

Тут еще сразу вопрос, насколько такое решение защищено от содинения патч-кордом двух розеток.... Что думаете на эту тему?

 

protocol-mode (none | rstp | stp; Default: none) Select Spanning tree protocol (STP) or Rapid spanning tree protocol (RSTP) to ensure a loop-free topology for any bridged LAN. RSTP provides provides for faster spanning tree convergence after a topology change.

Edited June 28, 2011 by esvaf

[Deac]

Так здесь вообще ничего не надо - забил логин/пароль и пох какая железка.

[ingress]

Вот не удержусь... )

PPPoE наше всё, выдавай что хочешь и как хочешь, вплоть до IPv6.

 

поделитесь рецептом как под windows xp включить ipv6 на pppoe/l2tp/pptp(ipv6cp)?

[esvaf]

забил логин/пароль

Для этого железка должна уметь работать с пппое и я должен иметь базу паролей и возможность их быстро импортировать....

[s.lobanov]

+к этому надо продумывать защиту от arp spoofing

Ну как минимум в настроках бриджа есть

arp (disabled | enabled | proxy-arp | reply-only; Default: enabled) Address Resolution Protocol setting

 

Разве proxy-arp мне не поможет?

 

Если при этом обрабатывается весь arp-трафик и не пересылается в другие вланы, из которых сделан этот бридж, то достаточно.

[Bushi]

Единая суперсеть на лупбеке, все абоненты - через ip vlan unnumbered + proxy arp, причем терминировать можно на разных роутерах. Пространство используется оптимально, можно выдавать как статические адреса, так и из динамических пулов. Минус - дополнительный маршрут на каждый активный хост, приходится поднимать динамическую маршрутизацию (ospf/eigrp). При такой схеме можно делать vlan на дом или район (при условии использовании нормальных свичей с acl L2-L4 на доступе).

Edited June 28, 2011 by Bushi

[Deac]

забил логин/пароль

Для этого железка должна уметь работать с пппое и я должен иметь базу паролей и возможность их быстро импортировать....

 

Железки все умеют.

База у тебя уже есть, иначе как ты их авторизуешь? )

[Ivan_83]

ip unnumbered и по vlan на юрика, можно ещё кучу костылей придумать в зависимости от оборудования, а если правильно, то как не крути по 4-ре ip придётся жертвовать правильности ради.

 

Правильно!???

 

Правильно - это когда работает.

 

/30 это для тех кто про L2 ничего не знает или там оно отличное от эзернета.

 

 

[Ivan_83]

Я правильно понимаю, что как вариант реализации можно сделать: У каждого клиента свой влан, на маршрутизаторе он фильтруется на предмет пропуска трафика только от правильного ip, дальше все эти вланы в бридж, имеющий ip, прописанный у всех шлюзом? Адреса публичные, поэтому общение клиентов между собой не возбраняется.

 

Зависит от реализации на "бридже" (не вижу смысла в бридже, там по логике роутер).

 

На роутере на каждый влан по интерфейсу с фейковым/любым IP, дальше в таблице маршрутизации прописываются маршруты к клиентским IP через соотвествующие влан интерфейсы. Чтобы клиент себе не ставил ответ он будет получать только на тот IP адрес который ему выдал пров.

 

Фейковый ИП нужен клиенту чтобы его роутер мог с помощью АРП преобразовать этот фейковый ип шлюза в мак шлюза и слать туда пакеты.

 

 

[Zaqwr]

ip unnumbered и по vlan на юрика, можно ещё кучу костылей придумать в зависимости от оборудования, а если правильно, то как не крути по 4-ре ip придётся жертвовать правильности ради.

 

Правильно!???

 

Правильно - это когда работает.

 

/30 это для тех кто про L2 ничего не знает или там оно отличное от эзернета.

тогда бы вы жили в /20 или сколько там у вас... а поделитесь как у вас? знатока L2 ...

[Deac]

Вот не удержусь... )

PPPoE наше всё, выдавай что хочешь и как хочешь, вплоть до IPv6.

 

поделитесь рецептом как под windows xp включить ipv6 на pppoe/l2tp/pptp(ipv6cp)?

 

А это уже не проблема узла. )

 

Ну уж если оч. хочется:

http://www.cfos.de/ipv6_link/ipv6_link_e.htm

Edited June 28, 2011 by Deac

[s.lobanov]

Да всё в порядке. Windows XP SP3(почти все вариации) снимут с поддержки в 2014 году(http://support.microsoft.com/lifecycle/search/default.aspx?sort=PN&alpha=Windows+XP&Filter=FilterNO ). Ещё не факт что к этому времени ipv6 будет внедрён массово.

[ingress]

500 рублей за то что должно быть из коробки я несогласен платить.

предлагаете для большинства массово закупить этот драйвер? это целый ARPU, а кое где уже и два.

[s.lobanov]

Если ipv6 пойдёт в массы до 2014 года, то сделают бесплатный ppp-диалер для winxp(и всё что умеет эта хрень), желающих прославиться и потешить своё ЧСВ найдётся много

[ingress]

я не сомневаюсь что можно конечно и подождать, но проще просто убрать тунели и сделать native ipv6, хотя бы без subscriber management(т.к. там не всё так однозначно и не у всех реализовано), в бесплатном неограниченном режиме с контролем адресов и защитой от атак.

просто в модели pppoe это будет сделать затруднительно, т.к. на доступе обычно мыло с сегментацией трафика или смарты без ipv6 функционала.

 

p.s. можно конечно подождать... :)

[s.lobanov]

смарты без ipv6 функционала.

 

Ну да, обязательно надо нагрузить и так слабенький cpu L2+ свитчей всякими снупингами, инспекциями и прочими фишками FOR_RUSSIAN_ISP, а потом жаловаться, что свитчи виснут, глючат и дропают некоторые типы трафика. Благодаря тунелям есть возможность использовать L2-свитчи как L2-свитчи, а не как интеллектуальный фаервол с функцией коммутации кадров.

[ingress]

а можно и cvlan сделать, и оставить на них только igmp snooping с MVR ;)