Anticisco http://anticisco.ru/forum/ |
|
Коварный провайдер http://anticisco.ru/forum/viewtopic.php?f=3&t=3653 |
Страница 1 из 2 |
Автор: | Fedia [ 15 авг 2012, 23:39 ] | ||
Заголовок сообщения: | Коварный провайдер | ||
Что-то давно не брал я в руки шашек! (с) И тут вдруг придумалась задачка. Она совсем не жизненная, но тем интереснее ход ваших мыслей Итак: Представьте себе, что вы хитроумный и коварный провайдер в интернете. У вас в управлении 2 маршрутизатора (пусть cisco). Они соединены кабелем ethernet. Задача: заставить все пакеты, которые идут через вас, пройти через ваши маршрутизаторы 3 раза (вот такой петелькой, как указано на рисунке). Предложите ваши решения. ЗЫ Мне кажется, что я знаю 2 решения. Однако, ни одно из них я не проверял - все умозрительно.
|
Автор: | 1021 [ 16 авг 2012, 06:26 ] |
Заголовок сообщения: | Re: Коварный провайдер |
На каждом маршрутизаторе по 3 loopback'а, на которые у них есть маршруты. Сделать PBR по каким-либо меткам в пакете, например DSCP. На R1 пришло с 0 DSCP - значит next hop будет loopback 1 R2. На R2 видим что пришло с 0, ставим AF11, отправляем на loopback 1 R1. На R1 видим что пришло с AF11, отправляем на loopback 2 R2. R2 перебивает на AF21, отправляет на loopback 2 R1. И т.д. Другое решение будет с саб интерфейсами и VLAN тегами. |
Автор: | imperorr [ 16 авг 2012, 08:31 ] |
Заголовок сообщения: | Re: Коварный провайдер |
На loopback-и NAT NVI =) |
Автор: | Fedia [ 16 авг 2012, 13:38 ] |
Заголовок сообщения: | Re: Коварный провайдер |
С метками не очень понял: в условии есть "любой пакет". Значит и меткп DSCP может быть любая ПРо VLAN поподробнее, можно? Про NAT NVI: решение задачки принимается только с объяснениями и в идеале конфигом. Иначе похоже на сотрясание воздуха |
Автор: | imperorr [ 16 авг 2012, 16:43 ] |
Заголовок сообщения: | Re: Коварный провайдер |
Ха :) занимаюсь воплощением идеи в жизнь =Р |
Автор: | Lomax [ 17 авг 2012, 08:36 ] |
Заголовок сообщения: | Re: Коварный провайдер |
На каждом маршрутизаторе 3 VRF , соединить последовательно "лесенкой" 5-ю vlan |
Автор: | real1st [ 17 авг 2012, 10:11 ] |
Заголовок сообщения: | Re: Коварный провайдер |
Наверное, можно примерно так еще: - на левом маршрутизаторе помечаем пакет (match interface + match ACL any any) tag = 1 и отправляем направо - на правом матчим tag = 1, перемечаем на tag = 2 и отправляем влево - на левом матчим tag = 2, перемечаем на tag = 3 и отправляем вправо ... Второй вариант, как уже озвучили - бьем интерфейсы на сабы, каждый пихаем в разную VRF и получаем некую цепочку на пути пакета |
Автор: | Fedia [ 17 авг 2012, 12:24 ] |
Заголовок сообщения: | Re: Коварный провайдер |
Да, с ВРФами засчитывается, если в управлении оба маршрутизатора. Наиболее "нетравмирующий пакеты" метод.. Давайте усложним: пусть в управлении только правый рутер. Так смогем? |
Автор: | 998 [ 17 авг 2012, 16:20 ] |
Заголовок сообщения: | Re: Коварный провайдер |
Пишу по памяти (или как говорит мой дед "без памяти"), можно попробовать повесить такой PBR route-map TEST permit 9 match ip address ACL_WITH_DSCP_MATCH_ZZZ set ip next-hop NEXT_IP route-map TEST permit 9 match ip address ACL_WITH_DSCP_MATCH_YYY set set ip dscp ZZZ set ip next-hop BACK_IP route-map TEST permit 9 match ip address ACL_WITH_DSCP_MATCH_XXX set set ip dscp YYY set ip next-hop BACK_IP route-map TEST permit 10 match ip address PERMIT-ANY set set ip dscp XXX set ip next-hop BACK_IP |
Автор: | 998 [ 17 авг 2012, 16:21 ] |
Заголовок сообщения: | Re: Коварный провайдер |
Наврал с номерами seq PBR, но думаю смысл и так ясен route-map TEST permit 7 match ip address ACL_WITH_DSCP_MATCH_ZZZ set ip next-hop NEXT_IP route-map TEST permit 8 match ip address ACL_WITH_DSCP_MATCH_YYY set set ip dscp ZZZ set ip next-hop BACK_IP route-map TEST permit 9 match ip address ACL_WITH_DSCP_MATCH_XXX set set ip dscp YYY set ip next-hop BACK_IP route-map TEST permit 10 match ip address PERMIT-ANY set set ip dscp XXX set ip next-hop BACK_IP |
Автор: | Lomax [ 17 авг 2012, 19:11 ] |
Заголовок сообщения: | Re: Коварный провайдер |
В уточнении ТЗ есть замечание про "любые пакеты". а тут изначально имеющие XXX YYY ZZZ пройдут по кругу меньше трех раз. |
Автор: | real1st [ 17 авг 2012, 19:27 ] |
Заголовок сообщения: | Re: Коварный провайдер |
Илья, да и кто даст гарантию, что на левом раутере dscp не сбросятся в нуль? ) А мой коварный пост с решением был потерт? :) |
Автор: | 998 [ 17 авг 2012, 20:02 ] |
Заголовок сообщения: | Re: Коварный провайдер |
Да, очевидно что если сбрасывается или приелает описанные в правилах до 10 то сразу проплывает мимо. По поводе tag, насколько мне известно это для маршрутов, но никак не для пакетов, трафик эта команда не маркирует никоим образом. |
Автор: | 998 [ 17 авг 2012, 21:02 ] |
Заголовок сообщения: | Re: Коварный провайдер |
Сергей, могу ошибаться но кажется вот что вы хотели увидеть: ip nat pool ONE 10.0.0.1 10.0.0.255 prefix-length /24 type match-host ip nat pool TWO 11.0.0.1 11.0.0.255 prefix-length /24 type match-host ip nat pool THREE 12.0.0.1 12.0.0.255 prefix-length /24 type match-host ip nat pool ORIGINAL x.x.x.x x.x.x.x prefix-length /24 type match-host ! routes AS1 ip access-list TEST permit ip AS-1-routes AS-2-routes route-map NAT-NVI permit 10 match ip address TEST set interface loopback1 route-map NAT-NVI permit 20 match ip address ONE_POOL set interface loopback2 route-map NAT-NVI permit 30 match ip address TWO_POOL set interface loopback3 route-map NAT-NVI permit 40 match ip address THREE_POOL set interface loopback4 route-map BACK permit 10 set ip next-hop left_router_ip int fa0/0 ip policy route-map NAT-NVI int lo1 ip nat enable ip address x.x.x.x ip policy route-map BACK int lo2 ip nat enable ip address x.x.x.x ip policy route-map BACK int lo3 ip nat enable ip address x.x.x.x ip policy route-map BACK int lo4 ip nat enable ip address x.x.x.x access-list 1 permit ip AS-1-routes access-list 2 permit ip 10.0.0.0 0.0.0.255 access-list 3 permit ip 11.0.0.0 0.0.0.255 access-list 3 permit ip 12.0.0.0 0.0.0.255 ip nat source list 1 pool ONE ip nat source list 2 pool TWO ip nat source list 3pool THREE ip nat source list 4 pool ORIGINAL |
Автор: | real1st [ 17 авг 2012, 23:01 ] |
Заголовок сообщения: | Re: Коварный провайдер |
Илья, под термином "tag" имелось ввиду некое значение, которым можно маркировать конкретный IP-пакет. И Ваш конфиг - кстати, продолжение моей мысли о НАТе...я парвда здесь почему-то своего сообщения не вижу :( |
Автор: | 998 [ 17 авг 2012, 23:19 ] |
Заголовок сообщения: | Re: Коварный провайдер |
Ну так какое значение то ? Про метки qos сами сказали, что такого решение не подходит (ну и оно не полное, в принципе, я с самого начала это осознавал, но момент занимательный однако) так как может сбрасываться, известных мне аналогов в рамках решения данной задачи нет, при решении опираемся на то, что существует а не гипотетически возможно :) Про NAT я тоже к сожалению тоже не вижу сообщения, но у меня у самого сайт плохо открывается. Ближе всех к решению возможно еще подобрался господин imperorr, но воплощение в жизнь у него занимает не разумное время ) В общем приятная задача, но Сергей – желаю чтобы в следующий раз критерии были более детально описаны :) |
Автор: | 998 [ 17 авг 2012, 23:21 ] |
Заголовок сообщения: | Re: Коварный провайдер |
Забыл сказать, VRF самое очевидное решение в данном случае конечно же, но оно не спортивное получается :) |
Автор: | 1021 [ 18 авг 2012, 21:38 ] |
Заголовок сообщения: | Re: Коварный провайдер |
Насчет тегов - а чем вас не устраивает vlan тег? Если даже провайдеру приходят уже помеченные, можно сделать двойную инкапсуляцию, чем все провайдеры и пользуются. |
Автор: | 998 [ 18 авг 2012, 23:30 ] |
Заголовок сообщения: | Re: Коварный провайдер |
To nihilo666: Вы простите о чем вообще ? Мое сообщение было адресовано не вам, а fantas1st0. Имелось ввиду, то что через PBR нет известных меток которые можно было бы выставить к пакету идущему через IP сеть кроме меток qos (именно вставить через PBR). Вы моего комментария просто совершенно не поняли. То что вы предложили по поводу "бить на сабы" – работать будет, это очевидная вещь, но под управлением один маршрутизатор (Сергей уточнил это позже).. Про то что такое dot1q-tunnel я в курсе. В целом ваш комментарий не по делу, что ? откуда ? куда ? какие метки ? к какому провайдеру ? почему ? По задаче пакет нужно заставить ходить между двумя маршрутизаторами одного провайдера, т.е. исходя из логической схемы, пришел пакет с левой стороны, левый роутер сделал l3, отдал правому напрямую (что между левым и правым пофигу совершенно, одна метка, две или нет их вовсе) и так далее.. ps Засовывать сабы в VRF не обязательно, хватит и простого PBR на них :) |
Автор: | 1021 [ 19 авг 2012, 13:59 ] |
Заголовок сообщения: | Re: Коварный провайдер |
Я вас отлично понял. [quote]через PBR нет известных меток которые можно было бы выставить к пакету идущему через IP сеть кроме меток qos (именно вставить через PBR).[/quote] Вот на это я и ответил, что всегда для этой цели есть хотя бы vlan тег. Хотя вставить его напрямую командой set в route-map'е нельзя, достаточно отправить на требуемый next hop, маршрутизатор сам поменяет метку. Что vlan что dscp, суть одна - использование меток. Как вы правильно заметили, VRF делать не обязательно. В качестве такой метки также можно использовать mpls label по тому же принципу. |
Автор: | 998 [ 19 авг 2012, 14:57 ] |
Заголовок сообщения: | Re: Коварный провайдер |
Вы предлагаете мне с вами письками померяться чтоли ? Вы себе задачи на ходу сочиняете, вам пишут "именно вставить через PBR", то что вы пишите мне про VLAN ID вещи очевидные но c PBR связаны косвенно, я об этом даже не парюсь, но вы не учитываете что задача решается в рамках одного маршрутизатора, как минимум. Я и что такое MPLS в курсе и работал с ним долго, по этому в сообщении адресованном вам подчеркнул специально "IP сети", а не IP/MPLS сети. |
Автор: | Fedia [ 20 авг 2012, 11:08 ] |
Заголовок сообщения: | Re: Коварный провайдер |
Вижу, Илья, ты действительно не сдержан. Надеюсь, это преходящее, т.к. специалист ты прекрасные, мыслишь глубоко. Просто перестань видеть по ту сторону экрана врагов. Удалять я это не буду, тебя удалять - тоже. Со всеми бывает. Я помнится на заре туманной юности и не такие копья ломал по вовсе несущественным темам. По делу: да, NAT NVI - это первое решение, пришедшее в голову. Твое решение имеет косяяк в том, что 11 и 12 сети - глобально маршрутизируются (т.е. не отработает "для всех пакетов"). Но это ты легко поправишь. Расскажи, зачем тебе понадобилось делать match-host? ПРосто для красоты? Но для всех может не хватить. Я бы делал РАТ в большой пул. Но тогда не отработает для не TCP/UDP/ICMP. Решение с VRF (VLAN) по сути - одно и то же. Туда же можно добавить про int tunnel. Оно работает и в случае, если у нас в управлении один рутер. ЗЫ А задачка просто родилась из головы, ИМХО никакого реального применения, кроме разве что заворота трафика на какую-нить очистку, она не имеет. |
Автор: | 998 [ 20 авг 2012, 13:09 ] |
Заголовок сообщения: | Re: Коварный провайдер |
Сергей, Не понял про маршрутизацию серой сети. Я предложил сначало сделать NAT в сеть 10.0.0.0/24, вернуть пакет обратно, пришедший пакет пронатить в 11.0.0.0/24, вернуть обратно, пришедший пакет пронатить в 12.0.0.0/24, вернуть обратно, пришедший пакет пронатить в ORIGIN (исходный адрес который был до NAT в 10.0.0.0/24), почему будет проблема с маршрутизацией ? По поводу match-host - нужно для ната один в один, размер пулов ONE/TWO/TRHREE должен совпадать с размером сети за AS1 (в примере я отталкивался от того что за AS1 один блок /24). Таким образом мы получаем конфиг при котором не только пакет крутится три раза, но и хост находящийся в AS2 получает пакет с тем же source адресом который и был :) |
Автор: | 998 [ 20 авг 2012, 13:53 ] |
Заголовок сообщения: | Re: Коварный провайдер |
ыы, понял, понял ) |
Автор: | imperorr [ 20 авг 2012, 16:01 ] |
Заголовок сообщения: | Re: Коварный провайдер |
NAT NVI это мое решение :) в данный момент занимаюсь реализацией =P |
Страница 1 из 2 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |