[20512]

Ситуация значит такая.

Имеем в своей сетке несколько клиентов, которым потребовалось соединить несколько точек в одну сеть.

Мы делаем сейчас так:

Объединяем клиентов по VLAN, выводим этот VLAN на порт коммутатора в стойке, этот порт в тыкаем в роутер. Пока обычный домашний. Этот роутер втыкается в порт в том же коммутаторе, на который прописывается абонент. Сейчас уже пол дюжини роутеров стоит в стойке, начинает напрягать.

Понимаю, что все это жутко коряво и не по феншую, но пока нам в голову ничего более умного не пришло.

Нутром чую, что существует ведь какая-то железяка, на которой это всё можно сделать более красиво.

Возможно есть и софтовое решение на Линуксе.

У этих абонентов статический внешний IP, учет трафика не производится, включать-выключать тоже не надо, только режется скорость.

 

Пните, плз в правильном направлении....

[k0stik]

Если я Вас правильно понял, то на маршрутизаторах эта технология называется VPLS. Умеет оборудование от Микротика до Juniper.

[Night_Snake]

Если я Вас правильно понял, то на маршрутизаторах эта технология называется VPLS. Умеет оборудование от Микротика до Juniper.

По-моему это называется VRF и его умеют все нормальные L3 железки (начиная с древних цисок 3550)

[SergeiK]

VRF это называется у всех. VRF - сущность на одном конкретном роутере.

Объединить несколько железок и создать виртуальную сеть можно по технологиям VRF-lite или уже MPLS.

VPLS - это уже LAN поверх виртуализированного L3 облака.

[20512]

Господа, вы кажется немного не в ту сторону ушли.

Не надо мне MPLS и иже с ними, у меня нет на доступе L3 коммутаторов.

 

Мне нужна железяка, на которой можно стерминировать некоторое количество VLAN и организовать внутри ее несколько виртуальных маршрутизаторов. Если такое впринципе возможно.

[SergeiK]

Господа, вы кажется немного не в ту сторону ушли.

Не надо мне MPLS и иже с ними, у меня нет на доступе L3 коммутаторов.

 

Мне нужна железяка, на которой можно стерминировать некоторое количество VLAN и организовать внутри ее несколько виртуальных маршрутизаторов. Если такое впринципе возможно.

Ну написали же именно про это.

VRF - сущность на одном роутере, который выделяет ресурсы для виртуальной таблицы маршрутов, отвязанной от остальных. В конкретный VRF загоняются конкретные интерфейсы, создаются отдельные процессы динамики, если надо, и отдельные статические маршруты. Возможен обмен маршрутами между VRF, но уже по специальным, отдельно прописываемым правилам.

 

Но если не нравиться - поставьте сервер, на него ESXi, транком VLAN-ы, и выделяйте виртуальные сервера под каждого клиента.

 

UPD. Да, MPLS для VRF не нужен :). Технологии хоть и работают совместно в современных сетях, но по сути совершенно различны.

Изменено 20 января, 2014 пользователем SergeiK

[alkanaft]

Таки да, аццки в сторону ушли: нужен функционал мыльницы

берёте гипервизор vmware esxi выводите на него все нужные вланы и запускаете под ним столько виртуалок с установленым routeros/kerio/вята/линупс/бздя которые будут это делать всё можно сделать на 1 тазике с 2 проводами к тазику 220 и витуха. в тазике надо поставить сразу 32 гига памяти --- нагрузки на неё почти не будет но если тотже роутерос ставить то по 128-256 метров надо выделить, итого 1 гиг памяти 4-6 виртуалок с роутерос. более нарядный для корпоративно-шизофреничных сетей с быдлоадминами умеющими только галочки в керио тыкать сам керио требует гиг памяти, но умеет резать вконтактег на ура за пару кликов. для извращенцев можно ставить вяту/пингвин/бздю. итого: тазик с кучей памяти и терабайтником на ура убирают ваш зоопарк коробочек.

[xxxupg]

вот уж куда бы я поставил CCR так это сюда :))

[alkanaft]

не взлетит...

[20512]

VRF - сущность на одном роутере, который выделяет ресурсы для виртуальной таблицы маршрутов, отвязанной от остальных. В конкретный VRF загоняются конкретные интерфейсы, создаются отдельные процессы динамики, если надо, и отдельные статические маршруты. Возможен обмен маршрутами между VRF, но уже по специальным, отдельно прописываемым правилам.

VRF чота совсем незнакомые для нас буквы, бум учиЦЦа :)

 

Таки да, аццки в сторону ушли: нужен функционал мыльницы

берёте гипервизор vmware esxi выводите на него все нужные вланы и запускаете под ним столько виртуалок с установленым routeros/kerio/вята/линупс/бздя которые будут это делать всё можно сделать на 1 тазике с 2 проводами к тазику 220 и витуха. в тазике надо поставить сразу 32 гига памяти --- нагрузки на неё почти не будет но если тотже роутерос ставить то по 128-256 метров надо выделить, итого 1 гиг памяти 4-6 виртуалок с роутерос. более нарядный для корпоративно-шизофреничных сетей с быдлоадминами умеющими только галочки в керио тыкать сам керио требует гиг памяти, но умеет резать вконтактег на ура за пару кликов. для извращенцев можно ставить вяту/пингвин/бздю. итого: тазик с кучей памяти и терабайтником на ура убирают ваш зоопарк коробочек.

С трудом перевел, но направление понял. Спасибо :)

[sexst]

Линукс тазик, метить пакеты в mangle и отправлять в свои цепочки и свою таблицу роутинга. Но это "типа VRF" для извращенцев =)

[srg555]

Мне нужна железяка, на которой можно стерминировать некоторое количество VLAN и организовать внутри ее несколько виртуальных маршрутизаторов. Если такое впринципе возможно.

 

Это называется VRF-Lite (когда VRF, но без mpls, в пределах одной железки, или в пределах нескольких, но для каждого vrf свой процесс обмена маршрутами).

Из самого дешёвого - mikrotik и обычный linux.

В современных линукс-ядрах есть net ns (network namespace) это по сути и есть vrf. Но фича относительно новая, документации почти нет, всё делается вручную через команды (я пока не видел каких-либо дистрибутивов, умеющих брать ns из конфига)

В более старых ядрах(и в новых) есть /etc/iproute2/rt_tables - таблицы маршрутизации. По сути это тоже vrf, но чуть менее полноценный(возникают проблемы с таблицей local, но решаемые).

 

Кроме того, современная китайщина в виде L3 свитчей умеют vrf-lite, типа такой http://shop.nag.ru/catalog/00001.Kommutatory/04963.SNR/09363.SNR-S3750G-24S-E , но оно не умеет NAT (а вам надо, судя по всему)

 

Ещё как вариант - Cisco типа c7201 или современная замена этой платформе, но тут нужно смотреть на цену и на трафик, который у вас есть, много это старьё(да и новые модели-аналоги) не съест. У других вендоров есть аналогичные продукты, например Juniper SRX.

[vitalyb]

Линукс тазик, метить пакеты в mangle и отправлять в свои цепочки и свою таблицу роутинга. Но это "типа VRF" для извращенцев =)

Или линукс тазик, network namespaces, и никаких извращенцев :)

[martini]

2 didandr - vmware esx + mikrotik, на четырехядерном I-7 висит около 70 юзерских роутеров с микротиком, загрузка проца пару процентов. Проще не придумаешь.

До этого стоял микротик на том же i7 c metarouter пакетом, работал тоже без проблем пока не здохла флешка )), поэтому vmware с их переливанием виртуалок между серваками идеальный вариант.

[ssjr]

Вообще не царское это дело клиентские цпе у себя ставить

 

Как вариант можно:

- дать транком клиенту 2 vlan'а (с удалёными офисами и интернетом) в комплекте с самым простым управляемым свитчом (типа des-2108),

- терминировать этот клиентский влан на своем роутере, дать ip (если /30 даёте) или разрешить pppoe для этого влана (если используете pppoe)

 

И непонятно: обязательно ли для клиента дхцп и нат делать

Изменено 20 января, 2014 пользователем ssjr

[alkanaft]

fat trollolo:

не царское это дело... да да, и говно придумывать сидя в своей паРашке пока белые дяди зашибают бабло на IaaS. вы про таки вещи наверное и не слышали, вот купит didandr 2 нормальных сервера, на одном развернёт пачку маршрутизаторов, по ospf зацепит их за бордер, на втором будет сдавать под всякие 1с (попутно взяв субподрядчиком очередных франчайзи за мзду в свой карман) виртуалки своим юрикам давая комплексно то, что именно щас нужно малому бизнесу , желающему скроить на всём и будет пилить бабло на пустом месте пока вы будете ездить постоянно менять говёные блоки питания у 2108, подохшие от очередной НЁХ

[srg555]

2 didandr - vmware esx + mikrotik, на четырехядерном I-7 висит около 70 юзерских роутеров с микротиком, загрузка проца пару процентов. Проще не придумаешь.

До этого стоял микротик на том же i7 c metarouter пакетом, работал тоже без проблем пока не здохла флешка )), поэтому vmware с их переливанием виртуалок между серваками идеальный вариант.

 

зачем нужны вмваре или метароутер, если микротик умеет сам vrf из коробки? единственный смысл что я вижу - отдать управление клиентам, но 99% клиентов, выносящих cpe к оператору вряд ли захотят ей управлять

 

по поводу царское это дело или нет - это вопрос исключительно в экономической плоскости. если клиенты хотят такой сервис, то пусть получают и платят за него

[sexst]

Линукс тазик, метить пакеты в mangle и отправлять в свои цепочки и свою таблицу роутинга. Но это "типа VRF" для извращенцев =)

Или линукс тазик, network namespaces, и никаких извращенцев :)

Читайте выше про конфиги сами =)

[pppoetest]

ip ru + ip ro достаточно

[izuware]

Ситуация значит такая.

Имеем в своей сетке несколько клиентов, которым потребовалось соединить несколько точек в одну сеть.

Мы делаем сейчас так:

Объединяем клиентов по VLAN,

и всё. больше ничего делать не надо. у вас же дальше все равно есть роутер с натом и серыми адресами (ну не может не быть) дайте им серую сеть, ну хоть /24 для простоты, DHCP тоже дайте.

У этих абонентов статический внешний IP, учет трафика не производится, включать-выключать тоже не надо, только режется скорость.

 

Пните, плз в правильном направлении....

не забудьте только отфильтровать от соседей )

[martini]

2 srg555 - а с помощью vrf я выдам каждому абону подсеть 192.168.0.0\24 ?? ато есть некоторые со странностями, им нужна только такая сеть )) у меня таких штук 10 есть.

И еще - вы с помощью vrf ограничите скорость для рабочих а директору сделаете максимум скорости и зафильтруете контакт остальным ??

Или редирект правил серваков ихних, или видеокамер...

 

Я могу продолжать долго )) у каждой конторы свои тараканы и приколы ) и почти все можно реализовать только если посадить контору на отдельную виртуальную\реальную железку.

[Night_Snake]

а с помощью vrf я выдам каждому абону подсеть 192.168.0.0\24 ??

Легко

 

И еще - вы с помощью vrf ограничите скорость для рабочих а директору сделаете максимум скорости и зафильтруете контакт остальным ??

Не путайте теплое с мягким. VRF - это роутинг. Изолированные таблицы маршрутизации. Шейпингом и фильтрацией занимаются совсем другие люди системы

 

Я могу продолжать долго )) у каждой конторы свои тараканы и приколы ) и почти все можно реализовать только если посадить контору на отдельную виртуальную\реальную железку.

Работал в операторе, которая на таких странных клиентах делала основной гешефт. Надобность в отдельной железке возникала крайне редко, при наличии под рукой Juniper MX/Mikrotik или тазика с фрей на худой конец (под разные цели разное железо, разумеется)

[srg555]

2 srg555 - а с помощью vrf я выдам каждому абону подсеть 192.168.0.0\24 ?? ато есть некоторые со странностями, им нужна только такая сеть )) у меня таких штук 10 есть.

И еще - вы с помощью vrf ограничите скорость для рабочих а директору сделаете максимум скорости и зафильтруете контакт остальным ??

Или редирект правил серваков ихних, или видеокамер...

 

Я могу продолжать долго )) у каждой конторы свои тараканы и приколы ) и почти все можно реализовать только если посадить контору на отдельную виртуальную\реальную железку.

 

Не могу сказать умеет ли это всё микротик(скачайте и попробуйте), но на какой-нибудь Cisco 7200(и аналогах от других вендоров) всё что вы описали делается без проблем.

 

Если контора не хочет упралять сама виртуальной CPE, то не вижу смысла делать решения типа vmware или metarouter.

 

didandr, ваши клиенты сами рулят CPE-шки, которые находятся у вас в серверной или же вы их настраиваете?

[20512]

didandr, ваши клиенты сами рулят CPE-шки, которые находятся у вас в серверной или же вы их настраиваете?

это не клиенты это лузеры.

Рулим железками мы.

 

Тем клиентам, которые могут сами чем-то рулить мы просто выдаем ВЛАНы туда, куда им надо.

 

и всё. больше ничего делать не надо. у вас же дальше все равно есть роутер с натом и серыми адресами (ну не может не быть) дайте им серую сеть, ну хоть /24 для простоты, DHCP тоже дайте.

Надо уточнить у моих админов почему так не получилось.

На сколько мне помнится потому, что на каждом конце несколько компов и как ни крути им нужен отдельный роутер DHCP раздавать. Или я чего-то недопонимаю.

 

И еще - вы с помощью vrf ограничите скорость для рабочих а директору сделаете максимум скорости и зафильтруете контакт остальным ??

Вот эта хрень нам точно не нужна. Сами пусть ипуца со своими скоростями.

[adnull]

DHCP может раздавать тот же таз, на котором они стерминированы. А не получилось так наверное потому что у вас абон привязывается к порту свича, а не к vlan-у на тазе.

Так вот, у меня есть абонент, к которому по историческим причинам от меня приходит оптика прямо в их коммутатор, а не роутер. В качестве временной меры я затерминировал их на своем тазу. Когда мне надоело наблюдать на этом интерфейсе DHCP запросы от всяких железок (видеорегистраторы там и прочее барахло), по тихому разрешил DHCP в их vlan. НАТятся они тоже на этом тазу. Другой вопрос что на одном тазу не сделаешь несколько сеток 192.168.0.0/24