Jump to content

OSPF IP Unnumbered

Saab95
 Share

Recommended Posts

Saab95

Saab95

Posted
Posted

Допустим есть пул адресов в количестве 255 штук, например 100.100.100.0/24. Есть 250 удаленных офисов, в которых нужно установить по 1 серверу, который должен иметь белый адрес из этой сети. Все удаленные офисы уже соединены через OSPF с центральным роутером, на котором и заведена эта белая подсеть (роутится на него). Нужно раздать в каждый офис по одному белому адресу без перерасхода. Оборудование везде Mikrotik.

 

Что делаем:

 

1.На каждом офисе устанавливаем адрес 100.100.100.1/24 на сетевом адаптере, например ether2.

2.Прописываем маршрут на адрес сервера, который подключен через этот адаптер, например в первом офисе это 100.100.100.2 на интерфейс ether2 (то есть сам на себя). Собственно на сервере, где нужен белый адрес, он заводится с настройками 100.100.100.2/24 и шлюз 100.100.100.1.

3.Включаем отправку статических маршрутов через OSPF.

4.Дефолтный маршрут в интернет 0.0.0.0/0 каждый офис получает через OSPF от центрального роутера.

 

На всех других офисах аналогично, только IP-адрес другой.

 

Сам центральный роутер в итоге знает где находится каждый адрес из подсети 100.100.100.0/24 (ему маршруты приходят по OSPF) и отправляет пакеты на тот маршрутизатор, где введен соответствующий статический маршрут. Пакет, придя на него, отправляется на подключенный сервер. Далее ответ от сервера направляется в сторону центрального роутера, ведь на него указан маршрут по умолчанию.

 

Более того, если соединить несколько удаленных офисов друг за другом гирляндой, то по идее первый же должен был бы завернуть этот пакет, отправив ответ что указанного адреса нет в сети, но этого не происходит. Пакет следует по цепочке маршрутизаторов, что видно на трейсе, и попадает точно куда нужно.

 

В итоге все работает. Но возможно могут быть подводные камни, которых с ходу не видно, иначе технология была бы достаточно распространена. Единственный недостаток, который я заметил, это большая таблица маршрутизации, которая прилетает на каждый офис. Возможно можно заблокировать отправку всех маршрутов в удаленные офисы, но пока это толком не получилось, да и это идет вразрез с самим OSPF.

 

Для наглядности нарисовал картинку:

 

OSPF_IP_UNNUMBERED.png

 

Очень нуждаюсь в конструктивной критике.

nnm

nnm

Posted
Posted (edited)

Очень нуждаюсь в конструктивной критике.

 

Да ради бога :)

Если это действительно сервера на нормальных OS, то проще повесить на loopback сервера /32-адрес из публичной сети, а на физический ethernet приватную сетку. Потом на рутере статиком зарутить адрес 100.100.100.X/32 на адрес сервера в connected Ethernet-сегменте и отдать его по OSPF. В результате появится возможность разделить сеть на area и уменьшить таблицу маршрутизации в удаленном офисе до одного default.

Эстеты могут залудить quagga на сервере и отдать адрес loopback прямо с сервера :)

Edited by nnm
Saab95

Saab95

Posted
  • Author
Posted

А чем просто статика не устраивает? 100.100.100.2 должен иметь L3-связность с 100.100.100.3?

 

Статика не подходит, все должно работать автоматически и безотказно, все настройки должны заводиться только в офисах, без изменения настроек центра. В центре стоит несколько железок для резервирования, в каждом офисе по несколько каналов интернета, через каждый поднимается отдельное PPP соединение, если одно оборвется, то при использовании OSPF маршруты сами изменятся.

 

Если это действительно сервера на нормальных OS, то проще повесить на loopback сервера /32-адрес из публичной сети, а на физический ethernet приватную сетку. Потом на рутере статиком зарутить адрес 100.100.100.X/32 на адрес сервера в connected Ethernet-сегменте и отдать его по OSPF. В результате появится возможность разделить сеть на area и уменьшить таблицу маршрутизации в удаленном офисе до одного default.

 

Нужно что бы белый адрес вводился непосредственно на самом сервере.

nnm

nnm

Posted
Posted

Если это действительно сервера на нормальных OS, то проще повесить на loopback сервера /32-адрес из публичной сети, а на физический ethernet приватную сетку. Потом на рутере статиком зарутить адрес 100.100.100.X/32 на адрес сервера в connected Ethernet-сегменте и отдать его по OSPF. В результате появится возможность разделить сеть на area и уменьшить таблицу маршрутизации в удаленном офисе до одного default.

 

Нужно что бы белый адрес вводился непосредственно на самом сервере.

 

А я что написал? :)

 

'повесить на loopback СЕРВЕРА /32-адрес из публичной сети'

Saab95

Saab95

Posted
  • Author
Posted

Если это действительно сервера на нормальных OS, то проще повесить на loopback сервера /32-адрес из публичной сети, а на физический ethernet приватную сетку. Потом на рутере статиком зарутить адрес 100.100.100.X/32 на адрес сервера в connected Ethernet-сегменте и отдать его по OSPF. В результате появится возможность разделить сеть на area и уменьшить таблицу маршрутизации в удаленном офисе до одного default.

 

Нужно что бы белый адрес вводился непосредственно на самом сервере.

 

А я что написал? :)

 

'повесить на loopback СЕРВЕРА /32-адрес из публичной сети'

 

Windows такое не позволяет=)

st_re

st_re

Posted
Posted

А пойти стандартным путем, поставив в центh концентратор ВПН, и соединяясь с каждой удаленной точки к нему по pptp не подойдет ? В качестве концентратора хоть железка, хоть виндовый же сервер. Безовсяких оспф итд? Зачем городить огород ?

Saab95

Saab95

Posted
  • Author
Posted

Windows такое не позволяет=)

разве loopback adapter не дает вешать /32 ? вроде ж раньше умел.

 

Такая схема не подходит, адрес нужно устанавливать именно на сетевом адаптере.

 

А пойти стандартным путем, поставив в центh концентратор ВПН, и соединяясь с каждой удаленной точки к нему по pptp не подойдет ? В качестве концентратора хоть железка, хоть виндовый же сервер. Безовсяких оспф итд? Зачем городить огород ?

 

В каждом офисе, кроме сервера, работают еще и другие компьютеры, а так же установлены точки доступа беспроводной сети (5-10 штук) которыми уже нужно управлять из центра. Поэтому и нужно в существующую систему внедрить выдачу белых адресов без потерь, не меняя схему работы.

tartila

tartila

Posted
Posted

Такая схема не подходит, адрес нужно устанавливать именно на сетевом адаптере.

 

Как говорил в Ворониных отец семейства: "Хрень какая-то..."

 

Ну так заведите EoIP во все офисы, сбриджуйте и выдавайте без перерасхода /24 каждому, как на большом коммутаторе. Если смущает броадкастовый домен из EoIP тоннелей, разделите офисы в L2 сегменты и сделайте на центральном роутере Unnumbered. Нет, пл@ть, надо придумать какой-то OSPF здесь... :)

Saab95

Saab95

Posted
  • Author
Posted

Как говорил в Ворониных отец семейства: "Хрень какая-то..."

 

Ну так заведите EoIP во все офисы, сбриджуйте и выдавайте без перерасхода /24 каждому, как на большом коммутаторе. Если смущает броадкастовый домен из EoIP тоннелей, разделите офисы в L2 сегменты и сделайте на центральном роутере Unnumbered. Нет, пл@ть, надо придумать какой-то OSPF здесь... :)

 

От EoIP уже ушли, потому что это действительно "Хрень какая-то". Связь уже идет через интернет по туннелям, следовательно уменьшается MTU (вернее он реально не уменьшается, потому что MRRU=1500, однако через интернет идет большой + маленький пакет, что увеличивает пакетную нагрузку), а EoIP вносит и свой оверхед, и в итоге арендуя канал интернета 10мбит, для работы остается около 8 мегабит. С маршрутизацией, даже учитывая потери в туннелях, реальная пропускная способность получается 9 - 9.5 мегабит и снижается нагрузка на оборудование.

tartila

tartila

Posted
Posted

От EoIP уже ушли, потому что это действительно "Хрень какая-то". Связь уже идет через интернет по туннелям, следовательно уменьшается MTU (вернее он реально не уменьшается, потому что MRRU=1500, однако через интернет идет большой + маленький пакет, что увеличивает пакетную нагрузку), а EoIP вносит и свой оверхед, и в итоге арендуя канал интернета 10мбит, для работы остается около 8 мегабит.

 

/ip packing вернет вам ваши 1,5 MBit :)

 

С маршрутизацией, даже учитывая потери в туннелях, реальная пропускная способность получается 9 - 9.5 мегабит и снижается нагрузка на оборудование.

 

Вы хотите и на ... сесть и на елку залезть? Офисы соединить в некий домен и не пострадать в полосе и не в ущерб нагрузке оборудования? :)

st_re

st_re

Posted
Posted

 

А пойти стандартным путем, поставив в центh концентратор ВПН, и соединяясь с каждой удаленной точки к нему по pptp не подойдет ? В качестве концентратора хоть железка, хоть виндовый же сервер. Безовсяких оспф итд? Зачем городить огород ?

 

В каждом офисе, кроме сервера, работают еще и другие компьютеры, а так же установлены точки доступа беспроводной сети (5-10 штук) которыми уже нужно управлять из центра. Поэтому и нужно в существующую систему внедрить выдачу белых адресов без потерь, не меняя схему работы.

 

Одно другому не мешает. вот поверх существующего туннеля и пробрасываете пптп. Что за проблема то ? можно без шифрации, чтобы проц не грузить.

Tsvetkov

Tsvetkov

Posted
Posted (edited)

берете cisco asa 55xx(или тазик с линухом/бздей) - на ней нат 1-1 , да фаерволл - получаетсо по феншую - нефиг сервера задом в инет выставлять

а сервера в своих приватных диапозонах сети пусть будут

Edited by Tsvetkov
ollsanek

ollsanek

Posted
Posted

... все настройки должны заводиться только в офисах, без изменения настроек центра....

 

А не боитесь, что в разных офисах поставят одинаковые адреса?

а так, если петель не появится - будет нормально работать.

Поставьте на каждый офис свою NSSA, будет уменьшение таблицы маршрутизации и нагрузки на офисные роутеры.

Saab95

Saab95

Posted
  • Author
Posted

Одинаковых адресов не будет.

 

Если разделять по зонам то опять же понадобится вмешательство не центральном маршрутизаторе.

agr

agr

Posted
Posted

Из-за вот этого

Единственный недостаток, который я заметил, это большая таблица маршрутизации, которая прилетает на каждый офис.

у вас вот это

Более того, если соединить несколько удаленных офисов друг за другом гирляндой, то по идее первый же должен был бы завернуть этот пакет, отправив ответ что указанного адреса нет в сети, но этого не происходит. Пакет следует по цепочке маршрутизаторов, что видно на трейсе, и попадает точно куда нужно.

 

Если бы на каждом роутере не было полной таблицы, то транзитные пакеты бы не ходили.

White_Alex

White_Alex

Posted
Posted

Допустим есть пул адресов в количестве 255 штук, например 100.100.100.0/24. Есть 250 удаленных офисов, в которых нужно установить по 1 серверу, который должен иметь белый адрес из этой сети.

как уже сказали тут не раз, надо это все дело тупо натить с центрального офиса, а серверам - серые адреса из технологической корпоративной сети, в любом случае, насколько я понял, эти адреса будут видны в сети только через головной офис, так зачем колхозиь непонятную схему?

Saab95

Saab95

Posted
  • Author
Posted

Допустим есть пул адресов в количестве 255 штук, например 100.100.100.0/24. Есть 250 удаленных офисов, в которых нужно установить по 1 серверу, который должен иметь белый адрес из этой сети.

как уже сказали тут не раз, надо это все дело тупо натить с центрального офиса, а серверам - серые адреса из технологической корпоративной сети, в любом случае, насколько я понял, эти адреса будут видны в сети только через головной офис, так зачем колхозиь непонятную схему?

 

Потому что на серверах нужно указывать именно белые адреса, серые нельзя. Если бы можно было хитрить то нашли бы какое-то другое решение.

White_Alex

White_Alex

Posted
Posted (edited)

Потому что на серверах нужно указывать именно белые адреса, серые нельзя.

политика или какое-то спец.ПО, писанное "прямыми" руками талантливейших студентов?

Edited by White_Alex
Tosha

Tosha

Posted
Posted

(вернее он реально не уменьшается, потому что MRRU=1500, однако через интернет идет большой + маленький пакет, что увеличивает пакетную нагрузку)

А почему бы не поставить везде по офисам MTU=1200?

Saab95

Saab95

Posted
  • Author
Posted

Потому что на серверах нужно указывать именно белые адреса, серые нельзя.

политика или какое-то спец.ПО, писанное "прямыми" руками талантливейших студентов?

 

Политика, как бы несколько подразделений и у каждого свои требования. Одно должно предоставить другому доступ в сеть и выдать 1 статический белый адрес, который должен быть указан в сопроводительном письме, естественно если там будет указан серый то сразу пожалуются наверх и будет очень не хорошо=)

 

(вернее он реально не уменьшается, потому что MRRU=1500, однако через интернет идет большой + маленький пакет, что увеличивает пакетную нагрузку)

А почему бы не поставить везде по офисам MTU=1200?

 

А смысл? Все равно по статистике, собранной на портах передаются пакеты и 64, и 1500 байт. Если будет MTU=1200, то по факту нет никакой разницы с MRRU=1500, т.к. по каналу все равно пойдет пакет + довесок.

  • 5 years later...
Saab95

Saab95

Posted
  • Author
Posted

Естественно, уже писал в других темах, на микротике на интерфейсе указывается вместо IP адрес шлюза абонента, а вместо Network адрес, выдаваемый абоненту.

 

Например:

 

IP: 65.31.50.1

Network: 65.31.50.10

 

Абонент указывает себе:

 

IP: 65.31.50.10

Netmask: 255.255.255.0

Gateway: 65.31.50.1

 

И все отлично работает.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.