[20512]

DHCP может раздавать тот же таз, на котором они стерминированы. А не получилось так наверное потому что у вас абон привязывается к порту свича, а не к vlan-у на тазе.

попробую объяснить.

несколько разных линий абонента объединяются в vlan на свичах. 3627 в ядре и 3526, 3200-Х на доступе.

соответственно "таз" в этой схеме не фигурирует. "таз" у нас один и он в ядре. По отношению к этим абонентам он вообще фигурирует только как шейпер. НАТа нет, DHCP нет, растительности нет, планета шелезяка, населена роботами :)

[Mallorn]

DHCP может раздавать тот же таз, на котором они стерминированы. А не получилось так наверное потому что у вас абон привязывается к порту свича, а не к vlan-у на тазе.

попробую объяснить.

несколько разных линий абонента объединяются в vlan на свичах. 3627 в ядре и 3526, 3200-Х на доступе.

соответственно "таз" в этой схеме не фигурирует. "таз" у нас один и он в ядре. По отношению к этим абонентам он вообще фигурирует только как шейпер. НАТа нет, DHCP нет, растительности нет, планета шелезяка, населена роботами :)

Железяка с поддержкой VRF-Lite как раз то, что доктор прописал. На каком железе и софте будете реализовывать - уже ваше дело. Попутно можно сделать и "плюшек" для этих клиентов в виде раздачи им внутренних адресов по dhcp, фильтрации интернет-трафика, файлового хранилища и прочего, прочего, прочего. Я бы стал делать, если они готовы за это платить деньги. Тем более вы говорите, что их полдюжины и будет еще больше.

[20512]

для VRF нужно L3 и MPLS...

[SergeiK]

для VRF нужно L3 и MPLS...

MPLS не нужен. Я уже написал, что это разные сущности, хотя работают вместе часто.

А вот L3 - само собой, но как иначе вы хотите роутер без L3? :).

 

Но если аппаратные роутеры далеко от сферы интересов - нечего парить мозг, ставьте сервер (+резервный, если надо), на него любую виртуализацию, какая нравиться (лично мне, по историческим причинам - ESXi от VMWare - халявный!), под ней - хоть 30, хоть 50 клиентских роутеров, только бы мощи хватило и памяти.

[20512]

Да мне б именно и хотелось что-то аппаратное.

Чтоб железяка одна, а внутри можно несколько десятков роутеров настроить.

Сервак это если совсем ни чего не найдем.

[srg555]

аппаратное или всё же брендированное/проприетарное? Если аппаратное, то железки с hw vrf и nat это дорогие игрушки(при том nat либо полуаппаратный, либо программный, но отдельная плата с отдельным cpu под него)

 

если нужно "законченное решение", то уже предложили - mikrotik metarouter, mikrotik vrf, cisco vrf, juniper vrf

[SergeiK]

Да мне б именно и хотелось что-то аппаратное.

Чтоб железяка одна, а внутри можно несколько десятков роутеров настроить.

Сервак это если совсем ни чего не найдем.

Сервак тоже будет одной железякой. Но логических серверов будет много, да.

 

Без шейперов, нат-ов и прочей шняги - L3 свитч от Cisco. Подбирать от требуемого числа маршрутов и MAC-оа и числа VRF, старые модели навскидку не нашел.

Но, полагаю, такая подойдет, для начала.

 

Со разными фокусами - от требуемой скорости суммарной скорости - от Cisco2911 до ASR - все умеют VRF.

 

Juniper не знаю, полагаю, что подойдет так же.

 

Базовая конфигурация Cisco в чистом L3 VRF функционале примитивна, по how-to за 30 минут настроите VRF, если остальное работает.

Но в целом, логика работы с ней сильно отличается от серверой, и просто завести её и включить в сети может быть отдельным вопросом, если никогда не сталкивались.

[adnull]

Nat то нужен в точке терминации как я понимаю. И dhcp тоже иначе забодают - почему ноутбук у директора не работает. Клиентам белые адреса выдаются? Абонентские vlan сводятся на на 3627g ? Самое простое, поставить отдельный таз, подключить его к 3627, абонентские vlan заруливать на таз, на тазу терминировать, натить, там же держать dhcp, отдельным вланом гнать обратно в 3627, кроме того связать 3627 и таз по ospf, чтобы они были были в курсе кто какие адреса обслуживает.. Или просто на тазу держать дефорт в сторону 3627, а на нем статикой маршруты по /32 в сторону тазика. Вот что на ум пришло.

[s.lobanov]

Кстати, как на linux-е заставить isc-dhcp-server работать per-vrf? Запускать кучу копий dhcpd в разных netns с разными pid и lease-файлами?

[adnull]

Или допилить isc-dhcp на тему глобальной секции netns :)

Ну проще уж тогда через ip netns exec наплодить процессов. А сверху налепить monit следить чтобы не упали.

[adnull]

Собственно, didandr, вот вам можно сказать прямой ман на виртуальный софтроутер: http://www.opennet.ru/tips/info/2683.shtml

[^rage^]

Собственно, didandr, вот вам можно сказать прямой ман на виртуальный софтроутер: http://www.opennet.ru/tips/info/2683.shtml

 

забавно видеть ссылку на мою статью :)

а вообще, я потом pppoe терминировал таким способом.

[adnull]

Ну статья как раз в отличии от всяких теоретических изысканий описывает решение с виртуальным роутером. Так что спасибо вам.

[s.lobanov]

Или допилить isc-dhcp на тему глобальной секции netns :)

 

ISC-шный код практически не читабельный. Сомневаюсь, что найдётся кто-то, кто готов допилить isc-dhcpd под netns. Да и даже если кто-то допилит, то не факт, что примут в апстрим

[adnull]

Да почему, там надо то наверное после прочтения конфига отспаунить несколько чайлдов и каждый переключить в свой NS. Другой вопрос что все равно получится по процессу на NS - по другому ведь не сделаешь by design. А это уже проще и на скриптах реализовать.

[20512]

Вобщем резюме темы получается такое:

Железяка, имеющая возможность внутри себя сделать несколько десятков роутеров без танцев с бубном в природе отсутствует.

 

*ушел думать.

[s.lobanov]

Вобщем резюме темы получается такое:

Железяка, имеющая возможность внутри себя сделать несколько десятков роутеров без танцев с бубном в природе отсутствует.

 

*ушел думать.

 

Вы плохо читаете. Решения "без бубнов" были предложены - vmware esxi(вроде кто-то продаёт бандл - железо(сервер)+флешка с предустановленным esxi(раз уж вы хотите "железку"), guest машины - что душе угодно - openwrt, mikrotik, vyatta, просто linux), juniper logical-system(дороже)

В этом случае вам совсем не нужно разбираться что такое vrf, как делать nat из vrf-а, как настраивать dhcp per-vrf.

В vmware - просто создать влан, привязать к физическому интерфейсу и сетевой карте виртуальной машины. В juniper logical-system - тоже самое. Создать влан/саб и привязать его к логической системе. Т.е. создание нового виртуального роутера это будет несколько кликов в вмваре или несколько команд в juniper-е

[20512]

Вы плохо читаете.

Эт точно.

Особенно с учетом тог, что вот эти буквы мне совершенно не понятны:

vmware esxi(вроде кто-то продаёт бандл - железо(сервер)+флешка с предустановленным esxi(раз уж вы хотите "железку"), guest машины - что душе угодно - openwrt, mikrotik, vyatta, просто linux), juniper logical-system(дороже)

:)

 

Я к тому, что всем спасибо за потраченное время и силы.

Полученную инфу на ус намотал, думаю что что-нибудь точно пригодится...

[murzik_one]

тазик с linux XEN не катит?

Изменено 29 января, 2014 пользователем murzik_one

[izuware]

НАТа нет, DHCP нет, растительности нет, планета шелезяка, населена роботами :)

чойта я не верю что сегодня есть сети без НАТа.

[artmc]

OpenVZ еще подойдет

[sexst]

OpenVZ еще подойдет

Не, OpenVZ юзать для сетевых нужд не стоит. Там же ведро древнее как черт знает что, половину современных хороших сетевых завести будет тот еще геморрой. Я бы вообще виртуализацию в это дело пихать не стал, лучше уже все же namespaces или через route tables разрулить - больше прожует, проще готовить, проще автоматизировать, проще нагорячую перенести в случае чего. Ну или железку взять с VRF.

VRF, кстати, вроде как в Vyatta экспериментально поддерживают и собираются в роутеры Edgemax прикрутить.

[20512]

Вопрос опять встал и стоит, ибо количество мыльниц в стойке уже начинает исчисляться десятками и начинает требоваться к ним удаленный доступ от нас.

 

Меня уверяют что:

1. VRF все-таки это то, что мне нужно.

2. Циски серии 2800 умеют это делать, и надо бы взять на пробу. Возможно они не правы.

Мне имхается, что ее явно маловато и VRF я там ненашел.

3. 4 виртуальных роутера на одной такой крутятся, но я лично не видел а наслово не верю.

 

Так же вылезла еще задача запихать всех юриков в одну железку.

И тех, у кого белые айпишники и тех, кто за НАТом.

РРРОЕ им не надо.

 

Т.е видение задачи на сегодняшний день такое: белый Айпишник привязывается сразу к виртуальному роутеру, тот к влану, в котором все точки юриков.

Роутер раздает DHCP в подсетку юрика и сорответственно НАТит там же.

На этой железке там же крутится НАТ, и после него уже виртуальный роутер.

Вроде как смог объяснил....

Сори за сленг начинающего ламера - я не админ, а всего лишь владелец бизнеса.

Мне нужно грамотно поставить задачу админам, для этого приходится учиться заново, ибо все мои познания в програмировании закончились на уровне асемблера для ZX-Spectrum и Фортрана для СМ2-М 20 лет назад...

[s.lobanov]

didandr

2800-ые cisco поддерживают vrf. Чтобы протестить их функционал(а не производительность!) покупать их не нужно. Берёте GNS3, находите нужный вам образ и тестируете. Сейчас очень много что проверяется виртуально, возится с реальным железом ради проверки фич это настоящий ад.

 

Т.е видение задачи на сегодняшний день такое: белый Айпишник привязывается сразу к виртуальному роутеру, тот к влану, в котором все точки юриков.

С таким даже унылый Mikrotik справится, только вот vrf там слегка кривоватый, я бы не рисковал одинаковую серую сеть использовать для всех юриков. Если они готовы у себя в локалке иметь локальные адреса которые вы им скажите, то всё нормально.

 

На Cisco проблем с одинаковой сетью в разных vrf нет (ибо в этом и состоит основная идея vrf), а вот на счёт dhcp-пулов-серверов под это дело надо протестить, сходу не скажу

[20512]

а вот на счёт dhcp-пулов-серверов под это дело надо протестить, сходу не скажу

На эту тему возникла мысль, что я готов расстаться с некоторой суммой денег в пользу того, кто готов подобрать соответстующую железяку, сконфигурировать ее согласно моему так сказать ТЗ и объяснить моим админам в двух словах как это готовить. Дальше они сами разберутся, думаю.