Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 01:05



Ответить на тему  [ Сообщений: 23 ] 
Мост между L3 интерфейсом и свич-модулем 
Автор Сообщение

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
Здравствуйте!
Что-то не соображу как правильно сделать; на руках 2821 с 16-портовым NME свич-модулем.
На один маршрутизируемый интерфейс вручную вашаю подсеть /28 от провайдера, хочу получить 16 провайдерских, внешних айпишников на одном из VLANов свич-модуля, без НАТов, пробросов и всего остального. Просто раздать со своего DHCP блок из провайдерсой подсети на подключенные к свич модулю машины. Нужно Bridge настроить? Но как, подскажите пожалуйста!


30 окт 2018, 03:39
Профиль

Зарегистрирован: 08 май 2013, 06:36
Сообщения: 322
siqueiros писал(а):
Здравствуйте!
Что-то не соображу как правильно сделать; на руках 2821 с 16-портовым NME свич-модулем.

siqueiros писал(а):
На один маршрутизируемый интерфейс вручную вашаю подсеть /28 от провайдера, хочу получить 16 провайдерских, внешних айпишников на одном из VLANов свич-модуля, без НАТов, пробросов и всего остального.

а как вы это сделаете, если из всего 14-ти один д.б. на шлюзе провайдера? Или у вас есть с ним линковая сеть типа /30?
siqueiros писал(а):
Просто раздать со своего DHCP блок из провайдерсой подсети на подключенные к свич модулю машины. Нужно Bridge настроить? Но как, подскажите пожалуйста!

обычно через bridge-group на L3 ифейсах, но мб лучше выбрать решение покрасивее


30 окт 2018, 08:10
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
ikiliikkuja писал(а):
siqueiros писал(а):
Здравствуйте!
Что-то не соображу как правильно сделать; на руках 2821 с 16-портовым NME свич-модулем.

siqueiros писал(а):
На один маршрутизируемый интерфейс вручную вашаю подсеть /28 от провайдера, хочу получить 16 провайдерских, внешних айпишников на одном из VLANов свич-модуля, без НАТов, пробросов и всего остального.

а как вы это сделаете, если из всего 14-ти один д.б. на шлюзе провайдера? Или у вас есть с ним линковая сеть типа /30?
siqueiros писал(а):
Просто раздать со своего DHCP блок из провайдерсой подсети на подключенные к свич модулю машины. Нужно Bridge настроить? Но как, подскажите пожалуйста!

обычно через bridge-group на L3 ифейсах, но мб лучше выбрать решение покрасивее


То есть мне нужно использовать еще один L3 интерфейс на роутере? И создать на нем /30 используя один из айпишников подсети провайдера?
Как потом "покрасивее" направить всё на один из VLAN свитч-модуля без NAT?


30 окт 2018, 09:52
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
Провайдер на запрос выдачи дополнительных, внешних айпишников передал /28-ми битовую подсеть, соответственно хочется найти изящный способ "разруливания" этой подсети и выделенных 14-ти айпи адресов.
Мне нужно настроить один из VLAN на свич-модуле, так, чтобы он прописывал локальным машинам автоматом (dhcp) некоторое количество внешних айпишников из блока /28, допустим, 10 из них. Остальные 4 адреса можно будет привязать к другому VLAN, с которого хотелось бы NATить статически на машины с локальными адресами.
Конечно также нужно оставить возможность управления ACL в обоих VLAN, пускать допустим только 80-й порт на машины веб-серверы, первого VLAN.
В принципе больше ничего и не нужно.


30 окт 2018, 11:22
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Для того чтобы использовать эту подсеть внутри вашей сети нужно чтобы провайдер на сеть /30 навешивал дополнительные сети /29 /28 и т.д.
т.е. в вашем случ. должно быть так /30 + /28


30 окт 2018, 11:37
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
root99 писал(а):
Для того чтобы использовать эту подсеть внутри вашей сети нужно чтобы провайдер на сеть /30 навешивал дополнительные сети /29 /28 и т.д.
т.е. в вашем случ. должно быть так /30 + /28

Или самому навесить у себя на другой L3, верно? То есть прописать один из айпишников из выданного блока на отдельный L3, прописать на него маршрут и раздавать уже с него у себя. Верно я вас понимаю?


30 окт 2018, 12:09
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Это будет работать как написано выше /30 + /28 по-другому это не будет работать


30 окт 2018, 12:49
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
root99 писал(а):
Это будет работать как написано выше /30 + /28 по-другому это не будет работать


Не совсем понял, честно говоря; что делает провайдер, когда навешивает эти сети, прокладывает маршрут между ними у себя?
То есть что я получу в результате в виде /30 +/28 от провайдера? Можете чуть пояснить, если не сложно.?


30 окт 2018, 13:11
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Провайдер отдаёт вам так как вы попросили, спросили /28 он вам отдал, а так как вы хотите для этого у провайдера нужно запросить интерфейсную пару /30 и на нее уже оператор с маршрутизирует /28 который вы сможете использвать на внутреннем интерфейсе и делать пул DHCP


30 окт 2018, 14:40
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
root99 писал(а):
Провайдер отдаёт вам так как вы попросили, спросили /28 он вам отдал, а так как вы хотите для этого у провайдера нужно запросить интерфейсную пару /30 и на нее уже оператор с маршрутизирует /28 который вы сможете использвать на внутреннем интерфейсе и делать пул DHCP


Понял, что ничего не понял! ;) Вы уж извините!
А как на моей стороне окажутся 14 адресов, если провайдер мне только /30 отдаёт? Прописывает у себя, на своем конце этого интерфейса маршрут в подсеть /28? Теперь начинаю правильно понимать? То есть у меня с провайдером будет настроен только один интерфейс на /30, а он с этого линка проложит маршрут в подсеть /28, из которого мне будут приходить 14 адресов? Это вы называли /30 +/28?
Тогда в каких случаях берут подсеть у провайдера и что с ней делать, для каких целей? Для общего развития понять бы. ;)
Спасибо в любом случае за помощь!


30 окт 2018, 17:41
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Ну как вы понимаете это уже вам решать, если на пальцах на GE0/0/0 смотрящего на провайдера прописывается для примера 172.16.0.2/30 на интерфейсе GE0/0/1 смотрящего в вашу внутр. сеть прописывается пул 10.0.0.1/28 - просто скажите провайдеру дайте нам /30 и маршрутизируемую сеть /28 дополнительно

когда просто выдают /28 и один из этих адресов является шлюзом на стороне оператора - то тогда всё делается через проброс НАТА


30 окт 2018, 18:05
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
root99 писал(а):
Ну как вы понимаете это уже вам решать, если на пальцах на GE0/0/0 смотрящего на провайдера прописывается для примера 172.16.0.2/30 на интерфейсе GE0/0/1 смотрящего в вашу внутр. сеть прописывается пул 10.0.0.1/28 - просто скажите провайдеру дайте нам /30 и маршрутизируемую сеть /28 дополнительно

когда просто выдают /28 и один из этих адресов является шлюзом на стороне оператора - то тогда всё делается через проброс НАТА


Ну, ладно, остановимся на том, чтобы иметь возможность присвоить локальным машинам внешние адреса, мне нужно брать /30 +/28. А дальше, мне надо изучать матчасть роутинга. ;)
Возвращаясь к части создания моста между L3 и свич модулем, как можно было бы передать этот поток напрямую на один из VLAN свич модуля? Создать bridge group вы говорили, но также отметили, что можно "красивее", как ?


30 окт 2018, 18:26
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
Простите на настойчивость, но спрошу еще раз; вот благодаря root99, мы разобрались, как получить сетку от провайдера. Допустим, что мы имеем то что нужно и от провайдера мы получаем блок внешних адресов и можем раздать их у себя в сети.
Но как сделать так, чтобы передать их на свитч-модуль. в первозданном виде, без NAT? Чтобы привязать к одному из VLAN на свитч-модуле и выдавать подключаемым машинам именно те, которые прописаны у провайдера.


31 окт 2018, 17:39
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
не нужно ничего передавать коммутатору - просто создаёте сабинтерфейсы на маршрутизаторе которые смотрят на коммутатор с нужными айпишниками, а на коммутаторе уже через вланы раздаёте на порты

Может конечно ошибаюсь уже не помню как это реализовано на ИСРг1, но на ИСРг2 ИСР4к это так работает


31 окт 2018, 18:00
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
root99 писал(а):
не нужно ничего передавать коммутатору - просто создаёте сабинтерфейсы на маршрутизаторе которые смотрят на коммутатор с нужными айпишниками, а на коммутаторе уже через вланы раздаёте на порты
Может конечно ошибаюсь уже не помню как это реализовано на ИСРг1, но на ИСРг2 ИСР4к это так работает


В моём случае нужен некий автоматизированный способ получения адресов из выделенного от провайдера блока, поскольку адреса будут выдаваться виртуальным машинам гипервизора, это будет слишком хлопотно, каждый раз назначать айпишники сабинтерфейсам. К тому же у меня коммутатор тоже L3 категории. Нужно более практичное и гибкое решение, которое могло позволить выдачу, назначение и освобождение айпишников переодически.
Один из VLANов коммутатора должен автоматом получать с роутера айпишники из провайдерского блока при необходимости.


01 ноя 2018, 00:00
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
Ну, так если провайдера вам выдаёт интерфейсную сетка /30 какую-то и дополнительный блок, который маршрутизирует в вас, то дальше уже внутри своей сети вы можете этот блок использовать хоть с DHCP, хоть без.


03 ноя 2018, 00:24
Профиль WWW
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
А я рекомендую обратиться к инженеру.


03 ноя 2018, 17:35
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
Bessmertniy писал(а):
А я рекомендую обратиться к инженеру.

А я поддерживаю. ;-)


05 ноя 2018, 00:05
Профиль WWW

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
Black Fox писал(а):
Bessmertniy писал(а):
А я рекомендую обратиться к инженеру.

А я поддерживаю. ;-)

А я не могу понять смысл и оценить ценность подобных советов в целом, уж извините, поверьте я говорю это не из вредности, просто не совсем понимаю смысл.
Я конечно могу ошибаться, и заранее прошу прощения у настоящих профи., если кого-то невольно потревожил или, господь упаси, оскорбил степенью своего дилетантства в попытках найти помощь и ответ, но в чём логика указать на своё место.
Если это закрытая площадка для инженеров, то еще раз, извините, значит я ошибся местом, но невольно возникает вопрос, но почему в таком случае доступ на такую профессиональную площадку доступен для каждого?
Сложно конечно быть объективным по отношению к самому себе и со стороны на себя другими глазами не посмотришь, но всё же мне казалось, что своей формой общения вроде как никого к обязательной консультации и беседе не принуждаю, ну есть наверное модераторы и админы на форуме, закрыли бы тему и указали бы "изучать матчасть".


05 ноя 2018, 01:47
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
siqueiros
То что Вы спрашиваете это самые основы, Вам и так ответили, и так, а раз понимания не наступает то нужно поучиться, на форуме этого не сделать. А без понимания базовых принципов маршрутизации в сетях вообще делать нечего. На форуме могут подсказать, но не научить.


05 ноя 2018, 10:01
Профиль

Зарегистрирован: 01 авг 2020, 16:12
Сообщения: 50
root99 писал(а):
Провайдер отдаёт вам так как вы попросили, спросили /28 он вам отдал, а так как вы хотите для этого у провайдера нужно запросить интерфейсную пару /30 и на нее уже оператор с маршрутизирует /28 который вы сможете использвать на внутреннем интерфейсе и делать пул DHCP


Когда провайдер выделяет подсеть, зачем еще /30 нужно ? У подсети уже есть "шлюз по-умолчанию", через которую трафик и так смаршритизируется от провайдера до выделенной клиенту подсетки /28 или какую ему там выделили, не важно и в обратную сторону от клиента до провайдера.
/30 это вообще что, отдельный тунель, для чего он нужен?


03 авг 2020, 16:22
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
Вы точно уверены, что есть смысл поднимать тему двухлетней давности? :-)

По существу вопроса. Это обычные p2p-линки. То есть линк между маршрутизатором провайдера и маршрутизатором клиента. Сетка /28 находится уже где-то внутри инфраструктуры клиента и может быть использована целиком как /28 или побита на более мелкие подсети, например, на две по /29.


03 авг 2020, 20:02
Профиль WWW

Зарегистрирован: 01 авг 2020, 16:12
Сообщения: 50
Black Fox писал(а):
Вы точно уверены, что есть смысл поднимать тему двухлетней давности? :-)

Гугл закинул ;), а так дату и не смотрел.


Black Fox писал(а):
По существу вопроса. Это обычные p2p-линки. То есть линк между маршрутизатором провайдера и маршрутизатором клиента. Сетка /28 находится уже где-то внутри инфраструктуры клиента и может быть использована целиком как /28 или побита на более мелкие подсети, например, на две по /29.


Это понятно, что выделенную подсеть можно у себя побить на мелкие. Но тут вроде эти "белые" адреса из провайдерской подсетки у клиента в локальной сети на машинах использовать не планируется, их нужно при надобности силами маршрутизатора переадресовать на локальные хосты, не знаю, я так понял.
Зачем в гипервизоре виртуальной машине, скорее всего временной, "тестовой" присваивать "белый" адрес из блока адресов подсети выделенной провайдером? Им нужно переадресовать NATом из этого блока адрес на роутере, по мере необходимости.


03 авг 2020, 22:25
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 23 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 50


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB