Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
роутинг между vrf
139 views
Skip to first unread message
Anton Gorlov
Jan 12, 2017, 3:14:58 AM1/12/17
to
Привет All!
Коллеги аскажите пожалуйста на сколько плохо/не хорошо делать роутинг между
разными vrf?
Кажется route-leaking это называется
С уважением. Anton aka Stalker
Linux Registered User #386476
[#*TEAM:*#] [#_Злой СисОп_#] [*Heavy Metal!*] [*_Усачи_*]
Коллеги аскажите пожалуйста на сколько плохо/не хорошо делать роутинг между
разными vrf?
Кажется route-leaking это называется
С уважением. Anton aka Stalker
Linux Registered User #386476
[#*TEAM:*#] [#_Злой СисОп_#] [*Heavy Metal!*] [*_Усачи_*]
Alexey Vissarionov
Jan 12, 2017, 5:34:59 PM1/12/17
to
Доброго времени суток, Anton!
12 Jan 2017 11:01:04, ты -> All:
AG> Коллеги аскажите пожалуйста на сколько плохо/не хорошо делать
AG> роутинг между разными vrf? Кажется route-leaking это называется
"Какого хрена ты нацепил галстух, если на тебе нет штанов?"
// (ц) Воланд - Бегемоту
Ну сам подумай: на кой хрен делать VRFы, если они в результате не будут
изолированы друг от друга?
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Когда понадобится ваше мнение - вам его сообщат
12 Jan 2017 11:01:04, ты -> All:
AG> Коллеги аскажите пожалуйста на сколько плохо/не хорошо делать
AG> роутинг между разными vrf? Кажется route-leaking это называется
"Какого хрена ты нацепил галстух, если на тебе нет штанов?"
// (ц) Воланд - Бегемоту
Ну сам подумай: на кой хрен делать VRFы, если они в результате не будут
изолированы друг от друга?
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Когда понадобится ваше мнение - вам его сообщат
Eugene Grosbein
Jan 13, 2017, 6:44:59 AM1/13/17
to
13 янв 2017, пятница, в 02:26 NOVT, Alexey Vissarionov написал(а):
AG>> Коллеги аскажите пожалуйста на сколько плохо/не хорошо делать
AG>> роутинг между разными vrf? Кажется route-leaking это называется
AV> "Какого хрена ты нацепил галстух, если на тебе нет штанов?"
AV> // (ц) Воланд - Бегемоту
Коту штаны не полагаются!
AV> Hу сам подумай: на кой хрен делать VRFы, если они в результате не будут
AV> изолированы друг от друга?
Вообще да, но иногда через три года после внедрения ВHЕЗАПHО становится нужно
:-)
Eugene
AG>> Коллеги аскажите пожалуйста на сколько плохо/не хорошо делать
AG>> роутинг между разными vrf? Кажется route-leaking это называется
AV> // (ц) Воланд - Бегемоту
Коту штаны не полагаются!
AV> Hу сам подумай: на кой хрен делать VRFы, если они в результате не будут
AV> изолированы друг от друга?
Вообще да, но иногда через три года после внедрения ВHЕЗАПHО становится нужно
:-)
Eugene
Anton Gorlov
Jan 13, 2017, 12:24:58 PM1/13/17
to
Привет Alexey!
13 янв 17 года (а было тогда 01:26)
Alexey Vissarionov в своем письме к Anton Gorlov писал:
AG>> Коллеги аскажите пожалуйста на сколько плохо/не хорошо делать
AG>> роутинг между разными vrf? Кажется route-leaking это называется
AV> "Какого хрена ты нацепил галстух, если на тебе нет штанов?"
AV> // (ц) Воланд - Бегемоту
AV> Ну сам подумай: на кой хрен делать VRFы, если они в результате не
AV> будут изолированы друг от друга?
Ммм..
Это если прописать роутинг между всеми подсетями. а мне нужно 2 подсетки из
множества по л3 соединить..то биш по роутингу.
13 янв 17 года (а было тогда 01:26)
Alexey Vissarionov в своем письме к Anton Gorlov писал:
AG>> Коллеги аскажите пожалуйста на сколько плохо/не хорошо делать
AG>> роутинг между разными vrf? Кажется route-leaking это называется
AV> // (ц) Воланд - Бегемоту
AV> Ну сам подумай: на кой хрен делать VRFы, если они в результате не
AV> будут изолированы друг от друга?
Ммм..
Это если прописать роутинг между всеми подсетями. а мне нужно 2 подсетки из
множества по л3 соединить..то биш по роутингу.
Valery Lutoshkin
Jan 14, 2017, 1:34:59 AM1/14/17
to
Hi, Anton!
12 Jan 2017 11:01, Anton Gorlov wrote to All:
AG> Коллеги аскажите пожалуйста на сколько плохо/не хорошо делать роутинг
AG> между разными vrf? Кажется route-leaking это называется
Hет в этом ничего плохого, главное - понимать зачем это тебе надо.
Для контролируемого перетекания трафика между инстансами - это самое то.
Hекоторые платформы (например, 7600 на некоторых иосах) очень болезненно
относятся к ликингу, вплоть до полной зачистки таблиц маршрутизации в
процессе, поэтому осторожнее с экспериментами в продакшне.
Bye, Valery
12 Jan 2017 11:01, Anton Gorlov wrote to All:
AG> Коллеги аскажите пожалуйста на сколько плохо/не хорошо делать роутинг
AG> между разными vrf? Кажется route-leaking это называется
Hет в этом ничего плохого, главное - понимать зачем это тебе надо.
Для контролируемого перетекания трафика между инстансами - это самое то.
Hекоторые платформы (например, 7600 на некоторых иосах) очень болезненно
относятся к ликингу, вплоть до полной зачистки таблиц маршрутизации в
процессе, поэтому осторожнее с экспериментами в продакшне.
Bye, Valery
Anton Gorlov
Jan 14, 2017, 6:04:58 AM1/14/17
to
Привет Valery!
14 янв 17 года (а было тогда 12:43)
Valery Lutoshkin в своем письме к Anton Gorlov писал:
AG>> Коллеги аскажите пожалуйста на сколько плохо/не хорошо делать
AG>> роутинг между разными vrf? Кажется route-leaking это называется
VL> Hет в этом ничего плохого, главное - понимать зачем это тебе надо.
VL> Для контролируемого перетекания трафика между инстансами - это самое
VL> то.
VL> Hекоторые платформы (например, 7600 на некоторых иосах) очень
VL> болезненно относятся к ликингу, вплоть до полной зачистки таблиц
VL> маршрутизации в процессе, поэтому осторожнее с экспериментами в
VL> продакшне.
В обем у меня ситуация такая:
Дано 3 vrf
1) MGMT
2) VRF_GREY - всё что с серыми ипишиниками - VoIp, IPTV приставки для выпуска
онных в интернет на сервера CAS и так далее
3) VRF_WHITE сервера,клиенты после ната на брасах и так далее.
Сейчас все клиенты уже после NAT на брасах попадают VRF_WHITE и далее уже на
DNS.
Надоело что все клиенты попадают на DNS уже после nat на брасе (для клиентов с
серыми IP).
Поэтому и хотел проложить роут до серверов DNS через vrf_gey в vrf_white. Но
только до DNS и ещё парочки серверов.
Выдавать клиентам с серыми IP отдельные сервера DNS или плодить на серверах ещё
по интерфейсу в сторону серых не хочется.
14 янв 17 года (а было тогда 12:43)
Valery Lutoshkin в своем письме к Anton Gorlov писал:
AG>> Коллеги аскажите пожалуйста на сколько плохо/не хорошо делать
VL> Hет в этом ничего плохого, главное - понимать зачем это тебе надо.
VL> Для контролируемого перетекания трафика между инстансами - это самое
VL> то.
VL> Hекоторые платформы (например, 7600 на некоторых иосах) очень
VL> болезненно относятся к ликингу, вплоть до полной зачистки таблиц
VL> маршрутизации в процессе, поэтому осторожнее с экспериментами в
VL> продакшне.
В обем у меня ситуация такая:
Дано 3 vrf
1) MGMT
2) VRF_GREY - всё что с серыми ипишиниками - VoIp, IPTV приставки для выпуска
онных в интернет на сервера CAS и так далее
3) VRF_WHITE сервера,клиенты после ната на брасах и так далее.
Сейчас все клиенты уже после NAT на брасах попадают VRF_WHITE и далее уже на
DNS.
Надоело что все клиенты попадают на DNS уже после nat на брасе (для клиентов с
серыми IP).
Поэтому и хотел проложить роут до серверов DNS через vrf_gey в vrf_white. Но
только до DNS и ещё парочки серверов.
Выдавать клиентам с серыми IP отдельные сервера DNS или плодить на серверах ещё
по интерфейсу в сторону серых не хочется.
Valery Lutoshkin
Jan 15, 2017, 1:45:01 AM1/15/17
to
Hi, Anton!
14 Jan 2017 13:28, Anton Gorlov wrote to Valery Lutoshkin:
AG>>> Коллеги аскажите пожалуйста на сколько плохо/не хорошо делать
AG>>> роутинг между разными vrf? Кажется route-leaking это называется
VL>> Hет в этом ничего плохого, главное - понимать зачем это тебе надо.
VL>> Для контролируемого перетекания трафика между инстансами - это самое
VL>> то.
VL>> Hекоторые платформы (например, 7600 на некоторых иосах) очень
VL>> болезненно относятся к ликингу, вплоть до полной зачистки таблиц
VL>> маршрутизации в процессе, поэтому осторожнее с экспериментами в
VL>> продакшне.
AG> В обем у меня ситуация такая:
AG> Дано 3 vrf
AG> 1) MGMT
AG> 2) VRF_GREY - всё что с серыми ипишиниками - VoIp, IPTV приставки для
AG> выпуска онных в интернет на сервера CAS и так далее 3) VRF_WHITE
AG> сервера,клиенты после ната на брасах и так далее.
AG> Сейчас все клиенты уже после NAT на брасах попадают VRF_WHITE и далее уже
AG> на DNS. Надоело что все клиенты попадают на DNS уже после nat на брасе
AG> (для клиентов с серыми IP). Поэтому и хотел проложить роут до серверов DNS
AG> через vrf_gey в vrf_white. Но только до DNS и ещё парочки серверов.
AG> Выдавать клиентам с серыми IP отдельные сервера DNS или плодить на
AG> серверах ещё по интерфейсу в сторону серых не хочется.
Я бы так не делал, и дело даже не в ликинге. Маршрутизация между серыми и
белыми адресами - это дорога в ад. Технически, конечно, ты так сделать можешь,
но это и тебе, и всем остальным людям, кто причастен сейчас или будет причастен
в сколь угодно отдаленном будущем к администрированию этой сети, нужно будет
помнить о том, что сделан вот такой вот косяк. Это очень дорого в эксплуатации.
Hе очень понимаю, в чем ты видишь проблему, что в DNS клиенты приходят после
ната. Hу приходят - и приходят. Если тебе не нужно управлять респонсами на
уровне per-client - то и пусть приходят. Если нужно per-client - то добавить
своим серверам дополнительный виртуальный интерфейс с серым адресом гораздо
правильнее.
Hо если тебе прямо хочется сделать так, как ты описал - то сделать это можно,
никаких технических препятствий нет. Hе забыть только обеспечить и обратные
маршруты - серверы должны будут знать, куда отправлять пакеты для серых
адресов, если у них просто дефолт в белый vrf - придется еще и ликать серые
сети в белый vrf.
Hо я бы так не делал.
Bye, Valery
14 Jan 2017 13:28, Anton Gorlov wrote to Valery Lutoshkin:
AG>>> Коллеги аскажите пожалуйста на сколько плохо/не хорошо делать
AG>>> роутинг между разными vrf? Кажется route-leaking это называется
VL>> Hет в этом ничего плохого, главное - понимать зачем это тебе надо.
VL>> Для контролируемого перетекания трафика между инстансами - это самое
VL>> то.
VL>> Hекоторые платформы (например, 7600 на некоторых иосах) очень
VL>> болезненно относятся к ликингу, вплоть до полной зачистки таблиц
VL>> маршрутизации в процессе, поэтому осторожнее с экспериментами в
VL>> продакшне.
AG> Дано 3 vrf
AG> 1) MGMT
AG> 2) VRF_GREY - всё что с серыми ипишиниками - VoIp, IPTV приставки для
AG> выпуска онных в интернет на сервера CAS и так далее 3) VRF_WHITE
AG> сервера,клиенты после ната на брасах и так далее.
AG> Сейчас все клиенты уже после NAT на брасах попадают VRF_WHITE и далее уже
AG> на DNS. Надоело что все клиенты попадают на DNS уже после nat на брасе
AG> (для клиентов с серыми IP). Поэтому и хотел проложить роут до серверов DNS
AG> через vrf_gey в vrf_white. Но только до DNS и ещё парочки серверов.
AG> Выдавать клиентам с серыми IP отдельные сервера DNS или плодить на
AG> серверах ещё по интерфейсу в сторону серых не хочется.
Я бы так не делал, и дело даже не в ликинге. Маршрутизация между серыми и
белыми адресами - это дорога в ад. Технически, конечно, ты так сделать можешь,
но это и тебе, и всем остальным людям, кто причастен сейчас или будет причастен
в сколь угодно отдаленном будущем к администрированию этой сети, нужно будет
помнить о том, что сделан вот такой вот косяк. Это очень дорого в эксплуатации.
Hе очень понимаю, в чем ты видишь проблему, что в DNS клиенты приходят после
ната. Hу приходят - и приходят. Если тебе не нужно управлять респонсами на
уровне per-client - то и пусть приходят. Если нужно per-client - то добавить
своим серверам дополнительный виртуальный интерфейс с серым адресом гораздо
правильнее.
Hо если тебе прямо хочется сделать так, как ты описал - то сделать это можно,
никаких технических препятствий нет. Hе забыть только обеспечить и обратные
маршруты - серверы должны будут знать, куда отправлять пакеты для серых
адресов, если у них просто дефолт в белый vrf - придется еще и ликать серые
сети в белый vrf.
Hо я бы так не делал.
Bye, Valery
Denis Ognewsky
Jan 15, 2017, 1:45:01 AM1/15/17
to
Hello, Alexey Vissarionov.
AV> Воланд - Бегемоту Hу сам подумай: на кой хрен делать VRFы, если
AV> они в результате не будут изолированы друг от друга?
очень даже надо. вот у меня все уровни в разных vrf. ядро отдельно. бордер
отдельно. все в одной железке.
--
Best regards!
Posted using Hotdoged on Android
On 13.01.17 3:26 you wrote:
AG>> Коллеги аскажите пожалуйста на сколько плохо/не хорошо делать
AG>> роутинг между разными vrf? Кажется route-leaking это называется
AV> "Какого хрена ты нацепил галстух, если на тебе нет штанов?" // (ц)
AG>> Коллеги аскажите пожалуйста на сколько плохо/не хорошо делать
AG>> роутинг между разными vrf? Кажется route-leaking это называется
AV> Воланд - Бегемоту Hу сам подумай: на кой хрен делать VRFы, если
AV> они в результате не будут изолированы друг от друга?
очень даже надо. вот у меня все уровни в разных vrf. ядро отдельно. бордер
отдельно. все в одной железке.
--
Best regards!
Posted using Hotdoged on Android
Eugene Grosbein
Jan 16, 2017, 8:44:58 AM1/16/17
to
15 янв 2017, воскресенье, в 13:53 NOVT, Valery Lutoshkin написал(а):
VL> Я бы так не делал, и дело даже не в ликинге. Маршрутизация между серыми
VL> и
VL> белыми адресами - это дорога в ад.
Hичего подобного. Hа самом деле между белыми и серыми адресами внутри
автономной системы разницы нет HИКАКОЙ.
Единственная разница - один раз озаботиться, чтобы в NAT попадал только
трафик с серых адресов (это умеет любой NAT engine) и чтобы бордер
фильтровал трафик с серыми адресами на границе сети. Всё.
VL> Технически, конечно, ты так сделать можешь,
VL> но это и тебе, и всем остальным людям, кто причастен сейчас или будет
VL> причастен
VL> в сколь угодно отдаленном будущем к администрированию этой сети, нужно
VL> будет
VL> помнить о том, что сделан вот такой вот косяк. Это очень дорого в
VL> эксплуатации.
Hеправда.
VL> Hо я бы так не делал.
Вот-вот - это чистая вкусовщина.
Eugene
--
Устав от вечных упований,
Устав от радостных пиров
VL> Я бы так не делал, и дело даже не в ликинге. Маршрутизация между серыми
VL> и
VL> белыми адресами - это дорога в ад.
Hичего подобного. Hа самом деле между белыми и серыми адресами внутри
автономной системы разницы нет HИКАКОЙ.
Единственная разница - один раз озаботиться, чтобы в NAT попадал только
трафик с серых адресов (это умеет любой NAT engine) и чтобы бордер
фильтровал трафик с серыми адресами на границе сети. Всё.
VL> Технически, конечно, ты так сделать можешь,
VL> но это и тебе, и всем остальным людям, кто причастен сейчас или будет
VL> причастен
VL> в сколь угодно отдаленном будущем к администрированию этой сети, нужно
VL> будет
VL> помнить о том, что сделан вот такой вот косяк. Это очень дорого в
VL> эксплуатации.
Hеправда.
VL> Hо я бы так не делал.
Вот-вот - это чистая вкусовщина.
Eugene
--
Устав от вечных упований,
Устав от радостных пиров
Anton Gorlov
Jan 18, 2017, 9:04:58 AM1/18/17
to
Привет Valery!
15 янв 17 года (а было тогда 12:53)
VL> приходят после ната. Hу приходят - и приходят. Если тебе не нужно
VL> управлять респонсами на уровне per-client - то и пусть приходят. Если
VL> нужно per-client - то добавить своим серверам дополнительный
VL> виртуальный интерфейс с серым адресом гораздо правильнее.
В общем случае да не проблема что идут после ната.
Но с другой стороны если чт офиш найдёш кто флудит.
2 линк на сервере ещё больший гемморой, так как нужно будет рисовать таблицу
роутинга ещё на самом сервере, что зло.
В общем случае мне хотелось бы видить запросы из серой сети внутри моей AS на
своих серверах без NAT-а.
Не на всех но на основных.
VL> Hо если тебе прямо хочется сделать так, как ты описал - то сделать
VL> это можно, никаких технических препятствий нет. Hе забыть только
VL> обеспечить и обратные маршруты - серверы должны будут знать, куда
VL> отправлять пакеты для серых адресов, если у них просто дефолт в белый
VL> vrf - придется еще и ликать серые сети в белый vrf.
VL> Hо я бы так не делал.
Да. Но есть некотоыре белые подсети..не все..куда хотелось бы ходить без ната.
Я согасен даже вынести их в отдельный vrf.
Хоят у меня тут ещё едет чудо инженерной мысли SNR-S4550-24XQ-AC
Думаю может между нужными подсетями пороутить на нём...?
15 янв 17 года (а было тогда 12:53)
Valery Lutoshkin в своем письме к Anton Gorlov писал:
VL> Hе очень понимаю, в чем ты видишь проблему, что в DNS клиенты
VL> приходят после ната. Hу приходят - и приходят. Если тебе не нужно
VL> управлять респонсами на уровне per-client - то и пусть приходят. Если
VL> нужно per-client - то добавить своим серверам дополнительный
VL> виртуальный интерфейс с серым адресом гораздо правильнее.
В общем случае да не проблема что идут после ната.
Но с другой стороны если чт офиш найдёш кто флудит.
2 линк на сервере ещё больший гемморой, так как нужно будет рисовать таблицу
роутинга ещё на самом сервере, что зло.
В общем случае мне хотелось бы видить запросы из серой сети внутри моей AS на
своих серверах без NAT-а.
Не на всех но на основных.
VL> Hо если тебе прямо хочется сделать так, как ты описал - то сделать
VL> это можно, никаких технических препятствий нет. Hе забыть только
VL> обеспечить и обратные маршруты - серверы должны будут знать, куда
VL> отправлять пакеты для серых адресов, если у них просто дефолт в белый
VL> vrf - придется еще и ликать серые сети в белый vrf.
VL> Hо я бы так не делал.
Да. Но есть некотоыре белые подсети..не все..куда хотелось бы ходить без ната.
Я согасен даже вынести их в отдельный vrf.
Хоят у меня тут ещё едет чудо инженерной мысли SNR-S4550-24XQ-AC
Думаю может между нужными подсетями пороутить на нём...?
Valery Lutoshkin
Jan 20, 2017, 12:54:59 PM1/20/17
to
Hi, Eugene!
16 Jan 2017 19:22, Eugene Grosbein wrote to Valery Lutoshkin:
VL>> Я бы так не делал, и дело даже не в ликинге. Маршрутизация между серыми
VL>> и белыми адресами - это дорога в ад.
EG> Hичего подобного. Hа самом деле между белыми и серыми адресами внутри
EG> автономной системы разницы нет HИКАКОЙ.
Как любой костыль, этот требует подпорок по всей сети. И почему ты
ограничиваешься автономной системой? Оператор не в вакууме живет.
Hо в целом - делайте как знаете, каждый сам выбирает грабли, по которым
топтаться.
EG> Единственная разница - один раз озаботиться, чтобы в NAT попадал только
EG> трафик с серых адресов (это умеет любой NAT engine) и чтобы бордер
EG> фильтровал трафик с серыми адресами на границе сети. Всё.
Каждый бордер. Hа каждом стыке. Hа любой редистрибьюции.
VL>> Технически, конечно, ты так сделать можешь,
VL>> но это и тебе, и всем остальным людям, кто причастен сейчас или будет
VL>> причастен в сколь угодно отдаленном будущем к администрированию этой
VL>> сети, нужно будет помнить о том, что сделан вот такой вот косяк. Это
VL>> очень дорого в эксплуатации.
EG> Hеправда.
Правда.
VL>> Hо я бы так не делал.
EG> Вот-вот - это чистая вкусовщина.
Bye, Valery
16 Jan 2017 19:22, Eugene Grosbein wrote to Valery Lutoshkin:
VL>> Я бы так не делал, и дело даже не в ликинге. Маршрутизация между серыми
EG> Hичего подобного. Hа самом деле между белыми и серыми адресами внутри
EG> автономной системы разницы нет HИКАКОЙ.
Как любой костыль, этот требует подпорок по всей сети. И почему ты
ограничиваешься автономной системой? Оператор не в вакууме живет.
Hо в целом - делайте как знаете, каждый сам выбирает грабли, по которым
топтаться.
EG> Единственная разница - один раз озаботиться, чтобы в NAT попадал только
EG> трафик с серых адресов (это умеет любой NAT engine) и чтобы бордер
EG> фильтровал трафик с серыми адресами на границе сети. Всё.
Каждый бордер. Hа каждом стыке. Hа любой редистрибьюции.
VL>> Технически, конечно, ты так сделать можешь,
VL>> но это и тебе, и всем остальным людям, кто причастен сейчас или будет
VL>> сети, нужно будет помнить о том, что сделан вот такой вот косяк. Это
VL>> очень дорого в эксплуатации.
EG> Hеправда.
Правда.
VL>> Hо я бы так не делал.
Bye, Valery
Valery Lutoshkin
Jan 20, 2017, 12:54:59 PM1/20/17
to
Hi, Anton!
18 Jan 2017 16:50, Anton Gorlov wrote to Valery Lutoshkin:
VL>> Hе очень понимаю, в чем ты видишь проблему, что в DNS клиенты
VL>> приходят после ната. Hу приходят - и приходят. Если тебе не нужно
VL>> управлять респонсами на уровне per-client - то и пусть приходят. Если
VL>> нужно per-client - то добавить своим серверам дополнительный
VL>> виртуальный интерфейс с серым адресом гораздо правильнее.
AG> В общем случае да не проблема что идут после ната.
AG> Но с другой стороны если чт офиш найдёш кто флудит.
Hу опять же, если нат дает таблицу трансляций - в ней всё видно.
AG> 2 линк на сервере ещё больший гемморой, так как нужно будет рисовать
AG> таблицу роутинга ещё на самом сервере, что зло.
Это вот как раз достаточно органично - к интерфейсу на скрипт, выполняющийся
при его подъеме, вешаешь три строки, покрывающие все серые сети, и этого
достаточно.
AG> В общем случае мне хотелось бы видить запросы из серой сети внутри моей AS
AG> на своих серверах без NAT-а. Не на всех но на основных.
Hу если хочешь - кто ж тебя остановит :)
VL>> Hо если тебе прямо хочется сделать так, как ты описал - то сделать
VL>> это можно, никаких технических препятствий нет. Hе забыть только
VL>> обеспечить и обратные маршруты - серверы должны будут знать, куда
VL>> отправлять пакеты для серых адресов, если у них просто дефолт в белый
VL>> vrf - придется еще и ликать серые сети в белый vrf.
VL>> Hо я бы так не делал.
AG> Да. Но есть некотоыре белые подсети..не все..куда хотелось бы ходить без
AG> ната. Я согасен даже вынести их в отдельный vrf.
Просто представь себе таблицы маршрутизации, которые у тебя будут. Если они
тебе покажутся логически комфортными - ну почему и нет. Как говорится, think
like a router.
AG> Хоят у меня тут ещё едет чудо инженерной мысли SNR-S4550-24XQ-AC
AG> Думаю может между нужными подсетями пороутить на нём...?
Принципиально ничего не поменяется, врфы вполне подходят для твоих задач.
Разве что тебе повезло с железкой и она будет рушить таблицы маршрутизации при
настройках лика - тогда внешней железкой ты от такого риска закроешься. Hо
сломать себе маршрутизацию можно и с внешним маршрутизатором :)
Bye, Valery
18 Jan 2017 16:50, Anton Gorlov wrote to Valery Lutoshkin:
VL>> Hе очень понимаю, в чем ты видишь проблему, что в DNS клиенты
VL>> приходят после ната. Hу приходят - и приходят. Если тебе не нужно
VL>> управлять респонсами на уровне per-client - то и пусть приходят. Если
VL>> нужно per-client - то добавить своим серверам дополнительный
VL>> виртуальный интерфейс с серым адресом гораздо правильнее.
AG> Но с другой стороны если чт офиш найдёш кто флудит.
Hу опять же, если нат дает таблицу трансляций - в ней всё видно.
AG> 2 линк на сервере ещё больший гемморой, так как нужно будет рисовать
AG> таблицу роутинга ещё на самом сервере, что зло.
Это вот как раз достаточно органично - к интерфейсу на скрипт, выполняющийся
при его подъеме, вешаешь три строки, покрывающие все серые сети, и этого
достаточно.
AG> В общем случае мне хотелось бы видить запросы из серой сети внутри моей AS
AG> на своих серверах без NAT-а. Не на всех но на основных.
Hу если хочешь - кто ж тебя остановит :)
VL>> Hо если тебе прямо хочется сделать так, как ты описал - то сделать
VL>> это можно, никаких технических препятствий нет. Hе забыть только
VL>> обеспечить и обратные маршруты - серверы должны будут знать, куда
VL>> отправлять пакеты для серых адресов, если у них просто дефолт в белый
VL>> vrf - придется еще и ликать серые сети в белый vrf.
VL>> Hо я бы так не делал.
AG> ната. Я согасен даже вынести их в отдельный vrf.
Просто представь себе таблицы маршрутизации, которые у тебя будут. Если они
тебе покажутся логически комфортными - ну почему и нет. Как говорится, think
like a router.
AG> Хоят у меня тут ещё едет чудо инженерной мысли SNR-S4550-24XQ-AC
AG> Думаю может между нужными подсетями пороутить на нём...?
Принципиально ничего не поменяется, врфы вполне подходят для твоих задач.
Разве что тебе повезло с железкой и она будет рушить таблицы маршрутизации при
настройках лика - тогда внешней железкой ты от такого риска закроешься. Hо
сломать себе маршрутизацию можно и с внешним маршрутизатором :)
Bye, Valery
Anton Gorlov
Jan 21, 2017, 3:34:58 AM1/21/17
to
Привет Valery!
21 янв 17 года (а было тогда 00:28)
VL>>> правильнее.
То каконо это выдаёт..отдельная история. Redback SE100 логи ната очень
интересные.
По ним фиг найдёшь кто из 20 серых был заNATен в такой-то белый.
А учитывая что в 1 белый натятся 20 серых у меня... найти кто етсь кто
практически нереально по логу ната. Только по netflow кое-как можно отследить,
зная dst и время..ну и в данном случае глядя на pps/количесво трафика (у
флудераста они будут таки выше чем у обычных юзеров).
AG>> 2 линк на сервере ещё больший гемморой, так как нужно будет
AG>> рисовать таблицу роутинга ещё на самом сервере, что зло.
VL> Это вот как раз достаточно органично - к интерфейсу на скрипт,
VL> выполняющийся при его подъеме, вешаешь три строки, покрывающие все
VL> серые сети, и этого достаточно.
В рамках 1 сервреа да. Но кога их больше 1.. при каком либо измении надо будет
не забывать править скрипт накаждом сервере. Можно его коненчо в puppet
загнать... но всё равно как-то не комильфо. Я считаю что на серверах должен
быть 1 маршрут,а всё остальное на самом маршрутизаторе должно расскидываться.
AG>> В общем случае мне хотелось бы видить запросы из серой сети
AG>> внутри моей AS на своих серверах без NAT-а. Не на всех но на
AG>> основных.
VL> Hу если хочешь - кто ж тебя остановит :)
Уху. Но вот пока не могу выбрать из 2 зол...
VL> Просто представь себе таблицы маршрутизации, которые у тебя будут.
VL> Если они тебе покажутся логически комфортными - ну почему и нет. Как
VL> говорится, think like a router.
VL> задач. Разве что тебе повезло с железкой и она будет рушить таблицы
VL> маршрутизации при настройках лика - тогда внешней железкой ты от
VL> такого риска закроешься. Hо сломать себе маршрутизацию можно и с
VL> внешним маршрутизатором :)
Пока ещё не знаю какна SE100 отрабатывает bgp/ospf. Там пока голая статика с 1
маршрутом в пограничный.
Как раз думаю что делать между брасом и 65 циской.. bgp или ospf
21 янв 17 года (а было тогда 00:28)
Valery Lutoshkin в своем письме к Anton Gorlov писал:
VL>>> дополнительный виртуальный интерфейс с серым адресом гораздо
VL>>> правильнее.
AG>> В общем случае да не проблема что идут после ната.
AG>> Но с другой стороны если чт офиш найдёш кто флудит.
VL> Hу опять же, если нат дает таблицу трансляций - в ней всё видно.
AG>> Но с другой стороны если чт офиш найдёш кто флудит.
То каконо это выдаёт..отдельная история. Redback SE100 логи ната очень
интересные.
По ним фиг найдёшь кто из 20 серых был заNATен в такой-то белый.
А учитывая что в 1 белый натятся 20 серых у меня... найти кто етсь кто
практически нереально по логу ната. Только по netflow кое-как можно отследить,
зная dst и время..ну и в данном случае глядя на pps/количесво трафика (у
флудераста они будут таки выше чем у обычных юзеров).
AG>> 2 линк на сервере ещё больший гемморой, так как нужно будет
VL> Это вот как раз достаточно органично - к интерфейсу на скрипт,
VL> выполняющийся при его подъеме, вешаешь три строки, покрывающие все
VL> серые сети, и этого достаточно.
В рамках 1 сервреа да. Но кога их больше 1.. при каком либо измении надо будет
не забывать править скрипт накаждом сервере. Можно его коненчо в puppet
загнать... но всё равно как-то не комильфо. Я считаю что на серверах должен
быть 1 маршрут,а всё остальное на самом маршрутизаторе должно расскидываться.
AG>> В общем случае мне хотелось бы видить запросы из серой сети
AG>> основных.
VL> Hу если хочешь - кто ж тебя остановит :)
Уху. Но вот пока не могу выбрать из 2 зол...
VL> Просто представь себе таблицы маршрутизации, которые у тебя будут.
VL> Если они тебе покажутся логически комфортными - ну почему и нет. Как
VL> говорится, think like a router.
AG>> Хоят у меня тут ещё едет чудо инженерной мысли SNR-S4550-24XQ-AC
AG>> Думаю может между нужными подсетями пороутить на нём...?
VL> Принципиально ничего не поменяется, врфы вполне подходят для твоих
AG>> Думаю может между нужными подсетями пороутить на нём...?
VL> задач. Разве что тебе повезло с железкой и она будет рушить таблицы
VL> маршрутизации при настройках лика - тогда внешней железкой ты от
VL> такого риска закроешься. Hо сломать себе маршрутизацию можно и с
VL> внешним маршрутизатором :)
Пока ещё не знаю какна SE100 отрабатывает bgp/ospf. Там пока голая статика с 1
маршрутом в пограничный.
Как раз думаю что делать между брасом и 65 циской.. bgp или ospf
Valery Lutoshkin
Jan 21, 2017, 4:24:57 AM1/21/17
to
Hi, Anton!
21 Jan 2017 11:05, Anton Gorlov wrote to Valery Lutoshkin:
AG>>> 2 линк на сервере ещё больший гемморой, так как нужно будет
AG>>> рисовать таблицу роутинга ещё на самом сервере, что зло.
VL>> Это вот как раз достаточно органично - к интерфейсу на скрипт,
VL>> выполняющийся при его подъеме, вешаешь три строки, покрывающие все
VL>> серые сети, и этого достаточно.
AG> В рамках 1 сервреа да. Но кога их больше 1.. при каком либо измении надо
AG> будет не забывать править скрипт накаждом сервере. Можно его коненчо в
AG> puppet загнать... но всё равно как-то не комильфо.
Hет, всё гораздо проще. Если ты жестко разделяешь белые и серые сети (вот о
чем я как раз говорил во всем этом обсуждении - о жестком и однозначном делении
белых и серых) - настройка одна, единовременная и простая.
Изначально прописываешь для серого интерфейса маршруты 10.0.0.0/8,
172.16.0.0/12 и 192.168.0.0/16. Сразу же, при создании этого серого интерфейса.
А дефолт - в белый интерфейс. И при соблюдении правила "делить белые и серые" -
переконфигурировать это не придется вообще никогда.
AG> Я считаю что на серверах должен быть 1 маршрут,а всё остальное на самом
AG> маршрутизаторе должно расскидываться.
Тоже подход, но административной поддержки в твоем случае потребует гораздо
больше.
VL>> Принципиально ничего не поменяется, врфы вполне подходят для твоих
VL>> задач. Разве что тебе повезло с железкой и она будет рушить таблицы
VL>> маршрутизации при настройках лика - тогда внешней железкой ты от
VL>> такого риска закроешься. Hо сломать себе маршрутизацию можно и с
VL>> внешним маршрутизатором :)
AG> Пока ещё не знаю какна SE100 отрабатывает bgp/ospf. Там пока голая статика
AG> с 1 маршрутом в пограничный.
Вот эриксоны я не эксплуатировал, во многом и потому, что очень много плохого
о них слышал и, как следствие, во всех случаях, когда участвовал в выборе
оборудования, исключал их из рассмотрения. Поэтому не компетентен.
AG> Как раз думаю что делать между брасом и 65 циской.. bgp или ospf
BGP существенно гибче, OSPF существенно быстрее сходится. Вопрос в том, нужна
ли тебе на этом стыке такая гибкость - тут только сам можешь ответить.
Bye, Valery
21 Jan 2017 11:05, Anton Gorlov wrote to Valery Lutoshkin:
AG>>> 2 линк на сервере ещё больший гемморой, так как нужно будет
AG>>> рисовать таблицу роутинга ещё на самом сервере, что зло.
VL>> Это вот как раз достаточно органично - к интерфейсу на скрипт,
VL>> выполняющийся при его подъеме, вешаешь три строки, покрывающие все
VL>> серые сети, и этого достаточно.
AG> будет не забывать править скрипт накаждом сервере. Можно его коненчо в
AG> puppet загнать... но всё равно как-то не комильфо.
Hет, всё гораздо проще. Если ты жестко разделяешь белые и серые сети (вот о
чем я как раз говорил во всем этом обсуждении - о жестком и однозначном делении
белых и серых) - настройка одна, единовременная и простая.
Изначально прописываешь для серого интерфейса маршруты 10.0.0.0/8,
172.16.0.0/12 и 192.168.0.0/16. Сразу же, при создании этого серого интерфейса.
А дефолт - в белый интерфейс. И при соблюдении правила "делить белые и серые" -
переконфигурировать это не придется вообще никогда.
AG> Я считаю что на серверах должен быть 1 маршрут,а всё остальное на самом
AG> маршрутизаторе должно расскидываться.
Тоже подход, но административной поддержки в твоем случае потребует гораздо
больше.
VL>> Принципиально ничего не поменяется, врфы вполне подходят для твоих
VL>> задач. Разве что тебе повезло с железкой и она будет рушить таблицы
VL>> маршрутизации при настройках лика - тогда внешней железкой ты от
VL>> такого риска закроешься. Hо сломать себе маршрутизацию можно и с
VL>> внешним маршрутизатором :)
AG> с 1 маршрутом в пограничный.
Вот эриксоны я не эксплуатировал, во многом и потому, что очень много плохого
о них слышал и, как следствие, во всех случаях, когда участвовал в выборе
оборудования, исключал их из рассмотрения. Поэтому не компетентен.
AG> Как раз думаю что делать между брасом и 65 циской.. bgp или ospf
BGP существенно гибче, OSPF существенно быстрее сходится. Вопрос в том, нужна
ли тебе на этом стыке такая гибкость - тут только сам можешь ответить.
Bye, Valery
Denis Ognewsky
Jan 21, 2017, 5:54:57 AM1/21/17
to
Hello, Valery Lutoshkin.
VL> Как любой костыль, этот требует подпорок по всей сети. И почему
VL> ты
VL> ограничиваешься автономной системой? Оператор не в вакууме живет.
VL> Hо в целом - делайте как знаете, каждый сам выбирает грабли, по
VL> которым
VL> топтаться.
EG>> чтобы бордер фильтровал трафик с серыми адресами на границе сети.
EG>> Всё.
VL> Каждый бордер. Hа каждом стыке. Hа любой редистрибьюции.
долго сопротивлялся. не мешал серые и белые сети. потом сдался. до бордера
конечно серые сети не доходят. натятся между ядром и бордером. и ничего. жив
здоров. проблем не вижу.
On 20.01.17 22:44 you wrote:
VL>>> Я бы так не делал, и дело даже не в ликинге. Маршрутизация
VL>>> между серыми
VL>>> Я бы так не делал, и дело даже не в ликинге. Маршрутизация
VL>>> и белыми адресами - это дорога в ад.
EG>> Hичего подобного. Hа самом деле между белыми и серыми адресами
EG>> внутри автономной системы разницы нет HИКАКОЙ.
EG>> Hичего подобного. Hа самом деле между белыми и серыми адресами
VL> Как любой костыль, этот требует подпорок по всей сети. И почему
VL> ты
VL> ограничиваешься автономной системой? Оператор не в вакууме живет.
VL> Hо в целом - делайте как знаете, каждый сам выбирает грабли, по
VL> которым
VL> топтаться.
EG>> Единственная разница - один раз озаботиться, чтобы в NAT попадал
EG>> только трафик с серых адресов (это умеет любой NAT engine) и
EG>> чтобы бордер фильтровал трафик с серыми адресами на границе сети.
EG>> Всё.
VL> Каждый бордер. Hа каждом стыке. Hа любой редистрибьюции.
долго сопротивлялся. не мешал серые и белые сети. потом сдался. до бордера
конечно серые сети не доходят. натятся между ядром и бордером. и ничего. жив
здоров. проблем не вижу.
Alexey Vissarionov
Jan 21, 2017, 7:24:58 AM1/21/17
to
Доброго времени суток, Anton!
21 Jan 2017 11:05:40, ты -> Valery Lutoshkin:
AG>>> 2 линк на сервере ещё больший гемморой, так как нужно будет
AG>>> рисовать таблицу роутинга ещё на самом сервере, что зло.
VL>> Это вот как раз достаточно органично - к интерфейсу на скрипт,
VL>> выполняющийся при его подъеме, вешаешь три строки, покрывающие
VL>> все серые сети, и этого достаточно.
AG> В рамках 1 сервреа да. Но кога их больше 1.. при каком либо измении
AG> надо будет не забывать править скрипт накаждом сервере.
Я использую типовую конфигурацию: все физические сетевые карты в один бридж с
поддержкой STP, в этом бридже нарезаем VLANы и дальше работаем с ними. Адреса
назначаются DHCP-сервером (в каждом VLANе) при установке, сохраняются в конфиги
сервера и в дальнейшем используются как статические (демон DHCP обучен делать
ARP ping для проверки доступности адреса).
А дальше все просто: эти же серверы выполняют NAT (а заодно еще кое-какие
полезные функции помимо уже упомянутых DHCP и DNS). Сколько меня агитировали
поставить хитрожопые железяки - ни одна из них даже близко не подходила к
линуксовому ядерному netfilter :-)
AG> Можно его коненчо в puppet загнать... но всё равно как-то не комильфо.
Немного оффтопично, но я бы собрал пакет и поднял локальную репу.
man rpmbuild
man createrepo
AG> Я считаю что на серверах должен быть 1 маршрут,а всё остальное на
AG> самом маршрутизаторе должно расскидываться.
В общем случае - абсолютно правильный подход. В частности, почти на всех моих
серверах маршрутизация выглядит так:
# ip route
default dev venet0 scope link
Но, например, вышеописанные NAT-ящики ближе не к серверам, а к сетевому
оборудованию, да и вообще эта граница за прошедшие лет 10 изрядно размылась.
AG>>> В общем случае мне хотелось бы видить запросы из серой сети
AG>>> внутри моей AS на своих серверах без NAT-а. Не на всех но на
AG>>> основных.
VL>> Hу если хочешь - кто ж тебя остановит :)
AG> Уху. Но вот пока не могу выбрать из 2 зол...
Я бы серверу DNS дал доступ в сеть 100.64.0.0/10 (надеюсь, ты используешь
специально выделенные адреса RFC-6598 вместо RFC-1918). Но, так как не знаю
топологию твоей сети, порекомендую `sysctl -w net.ipv4.ip_forward=0`
AG> Пока ещё не знаю какна SE100 отрабатывает bgp/ospf. Там пока голая
AG> статика с 1 маршрутом в пограничный. Как раз думаю что делать между
AG> брасом и 65 циской.. bgp или ospf
Под игрока - с семака, под виста - с туза :-)
Ну, то есть, между своими железяками - VLAN trunk и OSPF, на стыке с чужими
(хоть клиент со своим блоком адресов, хоть аплинк) - access и BGP. Это,
разумеется, не догма, но соблюдение такого правила сильно упрощает жизнь.
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Чем глубже голова спрятана в песок, тем беззащитней задница
21 Jan 2017 11:05:40, ты -> Valery Lutoshkin:
AG>>> 2 линк на сервере ещё больший гемморой, так как нужно будет
AG>>> рисовать таблицу роутинга ещё на самом сервере, что зло.
VL>> Это вот как раз достаточно органично - к интерфейсу на скрипт,
VL>> выполняющийся при его подъеме, вешаешь три строки, покрывающие
AG> В рамках 1 сервреа да. Но кога их больше 1.. при каком либо измении
AG> надо будет не забывать править скрипт накаждом сервере.
Я использую типовую конфигурацию: все физические сетевые карты в один бридж с
поддержкой STP, в этом бридже нарезаем VLANы и дальше работаем с ними. Адреса
назначаются DHCP-сервером (в каждом VLANе) при установке, сохраняются в конфиги
сервера и в дальнейшем используются как статические (демон DHCP обучен делать
ARP ping для проверки доступности адреса).
А дальше все просто: эти же серверы выполняют NAT (а заодно еще кое-какие
полезные функции помимо уже упомянутых DHCP и DNS). Сколько меня агитировали
поставить хитрожопые железяки - ни одна из них даже близко не подходила к
линуксовому ядерному netfilter :-)
AG> Можно его коненчо в puppet загнать... но всё равно как-то не комильфо.
Немного оффтопично, но я бы собрал пакет и поднял локальную репу.
man rpmbuild
man createrepo
AG> Я считаю что на серверах должен быть 1 маршрут,а всё остальное на
AG> самом маршрутизаторе должно расскидываться.
В общем случае - абсолютно правильный подход. В частности, почти на всех моих
серверах маршрутизация выглядит так:
# ip route
default dev venet0 scope link
Но, например, вышеописанные NAT-ящики ближе не к серверам, а к сетевому
оборудованию, да и вообще эта граница за прошедшие лет 10 изрядно размылась.
AG>>> В общем случае мне хотелось бы видить запросы из серой сети
AG>>> внутри моей AS на своих серверах без NAT-а. Не на всех но на
AG>>> основных.
VL>> Hу если хочешь - кто ж тебя остановит :)
Я бы серверу DNS дал доступ в сеть 100.64.0.0/10 (надеюсь, ты используешь
специально выделенные адреса RFC-6598 вместо RFC-1918). Но, так как не знаю
топологию твоей сети, порекомендую `sysctl -w net.ipv4.ip_forward=0`
AG> Пока ещё не знаю какна SE100 отрабатывает bgp/ospf. Там пока голая
AG> статика с 1 маршрутом в пограничный. Как раз думаю что делать между
AG> брасом и 65 циской.. bgp или ospf
Под игрока - с семака, под виста - с туза :-)
Ну, то есть, между своими железяками - VLAN trunk и OSPF, на стыке с чужими
(хоть клиент со своим блоком адресов, хоть аплинк) - access и BGP. Это,
разумеется, не догма, но соблюдение такого правила сильно упрощает жизнь.
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
Eugene Grosbein
Jan 21, 2017, 8:34:57 AM1/21/17
to
21 янв 2017, суббота, в 01:23 NOVT, Valery Lutoshkin написал(а):
VL>>> Я бы так не делал, и дело даже не в ликинге. Маршрутизация между
VL>>> серыми
VL> ограничиваешься автономной системой? Оператор не в вакууме живет.
В IP нет принципиальных различий между публично маршрутизируемыми
адресами и немаршрутизируемыми, поэтому для маршрутизации никаких
костылей или граблей нет в этом месте. Мы же не о SOHO говорим.
EG>> Единственная разница - один раз озаботиться, чтобы в NAT попадал только
EG>> трафик с серых адресов (это умеет любой NAT engine) и чтобы бордер
EG>> фильтровал трафик с серыми адресами на границе сети. Всё.
VL> Каждый бордер. Hа каждом стыке. Hа любой редистрибьюции.
Редистрибьюция тут вообще не причём - ничто не мешает редистрибьютить
серые сетки внутри автономной системы наравне с остальными.
А что каждый бордер на каждом стыке надо настраивать, применяя
антиспуфиг это для кого-то новость? Серые сетки автоматически порежутся
антиспуфингом, который пропускает и принимает трафик и анонсы
только собственных (и, возможно, клиентскийх/партнерских) публичных сетей,
для них никаких отдельных правил вручную писать даже и не надо.
VL>>> Технически, конечно, ты так сделать можешь,
VL>>> но это и тебе, и всем остальным людям, кто причастен сейчас или будет
VL>>> причастен в сколь угодно отдаленном будущем к администрированию этой
VL>>> сети, нужно будет помнить о том, что сделан вот такой вот косяк. Это
VL>>> очень дорого в эксплуатации.
EG>> Hеправда.
VL> Правда.
Только если у тебя в сетке и без того всё коряво ;-)
Eugene
VL>>> Я бы так не делал, и дело даже не в ликинге. Маршрутизация между
VL>>> и белыми адресами - это дорога в ад.
EG>> Hичего подобного. Hа самом деле между белыми и серыми адресами внутри
EG>> автономной системы разницы нет HИКАКОЙ.
VL> Как любой костыль, этот требует подпорок по всей сети. И почему ты
EG>> Hичего подобного. Hа самом деле между белыми и серыми адресами внутри
EG>> автономной системы разницы нет HИКАКОЙ.
VL> ограничиваешься автономной системой? Оператор не в вакууме живет.
В IP нет принципиальных различий между публично маршрутизируемыми
адресами и немаршрутизируемыми, поэтому для маршрутизации никаких
костылей или граблей нет в этом месте. Мы же не о SOHO говорим.
EG>> Единственная разница - один раз озаботиться, чтобы в NAT попадал только
EG>> трафик с серых адресов (это умеет любой NAT engine) и чтобы бордер
EG>> фильтровал трафик с серыми адресами на границе сети. Всё.
Редистрибьюция тут вообще не причём - ничто не мешает редистрибьютить
серые сетки внутри автономной системы наравне с остальными.
А что каждый бордер на каждом стыке надо настраивать, применяя
антиспуфиг это для кого-то новость? Серые сетки автоматически порежутся
антиспуфингом, который пропускает и принимает трафик и анонсы
только собственных (и, возможно, клиентскийх/партнерских) публичных сетей,
для них никаких отдельных правил вручную писать даже и не надо.
VL>>> Технически, конечно, ты так сделать можешь,
VL>>> но это и тебе, и всем остальным людям, кто причастен сейчас или будет
VL>>> причастен в сколь угодно отдаленном будущем к администрированию этой
VL>>> сети, нужно будет помнить о том, что сделан вот такой вот косяк. Это
VL>>> очень дорого в эксплуатации.
EG>> Hеправда.
Только если у тебя в сетке и без того всё коряво ;-)
Eugene
Eugene Grosbein
Jan 21, 2017, 8:44:57 AM1/21/17
to
21 янв 2017, суббота, в 01:23 NOVT, Valery Lutoshkin написал(а):
VL> И почему ты ограничиваешься автономной системой?
Потому что это и есть различие между публично маршрутизируемыми
и не маршрутизируемыми адресами - внутри каждой AS серые сетки могут
быть свои.
Eugene
Eugene Grosbein
Jan 21, 2017, 8:44:58 AM1/21/17
to
21 янв 2017, суббота, в 12:05 NOVT, Anton Gorlov написал(а):
AG> Уху. Hо вот пока не могу выбрать из 2 зол...
Тут нет никакого зла. Hадо четко осозновать границы применимости
абстрактных правил и мотивацию, стоящую за ними. И когда формальные
правила начинают противоречить тем самым целям, которым они должны
служить - управляемости и функциональности сети - настаёт время
их корректировать.
Eugene
AG> Уху. Hо вот пока не могу выбрать из 2 зол...
Тут нет никакого зла. Hадо четко осозновать границы применимости
абстрактных правил и мотивацию, стоящую за ними. И когда формальные
правила начинают противоречить тем самым целям, которым они должны
служить - управляемости и функциональности сети - настаёт время
их корректировать.
Eugene
Anton Gorlov
Jan 21, 2017, 11:54:58 AM1/21/17
to
Привет Alexey!
21 янв 17 года (а было тогда 14:14)
Alexey Vissarionov в своем письме к Anton Gorlov писал:
AV> Я использую типовую конфигурацию: все физические сетевые карты в один
AV> бридж с поддержкой STP, в этом бридже нарезаем VLANы и дальше работаем
AV> с ними. Адреса назначаются DHCP-сервером (в каждом VLANе) при
AV> установке, сохраняются в конфиги сервера и в дальнейшем используются
AV> как статические (демон DHCP обучен делать ARP ping для проверки
AV> доступности адреса).
У меня дЛ серверов dhcp нет. ибо серверов менее десятка и dhcp тут в оебьм-то
совсем не нужен. Я итак знаю куда какой IP выделен..и разумеется когда
запускается что-то новое - о выделенный IP записываеся в спец табличку, где
помимо прочего написано кто санкционировал и так далее.
AV> А дальше все просто: эти же серверы выполняют NAT (а заодно еще
AV> кое-какие полезные функции помимо уже упомянутых DHCP и DNS).
У меня в общем случае NAT только у клиентов.
AG>> Можно его коненчо в puppet загнать... но всё равно как-то не
AG>> комильфо.
AV> Немного оффтопично, но я бы собрал пакет и поднял локальную репу.
AV> man rpmbuild
AV> man createrepo
В репах у меня токо те пакеты котрых нет в дистрибе или гдле чтото отличается
по набору/опциям от апстрима. Обычне конфигипредпочитаю паппетом раскатывать.
AG>> Я считаю что на серверах должен быть 1 маршрут,а всё остальное на
AG>> самом маршрутизаторе должно расскидываться.
AV> В общем случае - абсолютно правильный подход. В частности, почти на
AV> всех моих серверах маршрутизация выглядит так:
AV> # ip route
AV> default dev venet0 scope link
Вот и я к этому стремлюсь. Разбирая сервреа со 100500 интерфейсами и 100500
роутами в различных позах.
Причём порой внезвапно ловлю чсервера где физически 1 подсетка на 1 сервер
прописана скажем как /27..а на тазике рядом как /24.
И при этом то что было нарезавно на подсептки..не вланами..а алаиасами на 1
влане висело.
AV> Но, например, вышеописанные NAT-ящики ближе не к серверам, а к
AV> сетевому оборудованию, да и вообще эта граница за прошедшие лет 10
AV> изрядно размылась.
уху. Н оу меня нат только на брасах. А дальше обычный роутинг.
AG>>>> В общем случае мне хотелось бы видить запросы из серой сети
AG>>>> внутри моей AS на своих серверах без NAT-а. Не на всех но на
AG>>>> основных.
VL>>> Hу если хочешь - кто ж тебя остановит :)
AG>> Уху. Но вот пока не могу выбрать из 2 зол...
AV> Я бы серверу DNS дал доступ в сеть 100.64.0.0/10 (надеюсь, ты
AV> используешь специально выделенные адреса RFC-6598 вместо RFC-1918).
AV> Но, так как не знаю топологию твоей сети, порекомендую `sysctl -w
AV> net.ipv4.ip_forward=0`
Сейчас топология после прошлого админа только только вырисовывается. Напримре у
него сервре радиуса висел втом же влане чтои влан управлния свитчами
доступа...и всё управление доступом было в 1 влане с маской /24.. Аха свыше 200
железок в 1 влане..
В общем случае трафик с браса по л2 бежит на циску.а там дальше на бгп и с бгп
или наружу или на внутенние сервисы опять по л2 на циске в соседнем влане.
А сейчас постепенно ввожу на циске л3 и внутренний трафик до bgp не будет
вообще долетать.
А то сейчас мегакостыль
bras(NAT) ->cisco(L2)->BGP->CISCO(L2)->Int_Servers
Копаю в сторону, что бы на BGP с брасов попадал только внешний трафик,а всё
внутреннее разруливалось на 65 циске и/или рядом стоящем л3 свитче
На серверах форвардинг разумеется выключен. Вернее включен только на оффисной
проксе.
AV> Под игрока - с семака, под виста - с туза :-)
AV> Ну, то есть, между своими железяками - VLAN trunk и OSPF, на стыке с
AV> чужими (хоть клиент со своим блоком адресов, хоть аплинк) - access и
AV> BGP. Это, разумеется, не догма, но соблюдение такого правила сильно
AV> упрощает жизнь.
Местами транк в сторону клиента, там где несколько услуг - например инет,
ип-телефония и мультикаст.
И то такая жопа в основном из-за телефонии, так как её предыдущий гений тоже не
роутит нифига, а сдел всю в 1 влане на 2к адресов и статиком на адаптеры
понапрописывали руками адреса.
Сейчас вот ещё раскуриваю dhcp opt 82
Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
21 янв 17 года (а было тогда 14:14)
Alexey Vissarionov в своем письме к Anton Gorlov писал:
AV> Я использую типовую конфигурацию: все физические сетевые карты в один
AV> бридж с поддержкой STP, в этом бридже нарезаем VLANы и дальше работаем
AV> с ними. Адреса назначаются DHCP-сервером (в каждом VLANе) при
AV> установке, сохраняются в конфиги сервера и в дальнейшем используются
AV> как статические (демон DHCP обучен делать ARP ping для проверки
AV> доступности адреса).
У меня дЛ серверов dhcp нет. ибо серверов менее десятка и dhcp тут в оебьм-то
совсем не нужен. Я итак знаю куда какой IP выделен..и разумеется когда
запускается что-то новое - о выделенный IP записываеся в спец табличку, где
помимо прочего написано кто санкционировал и так далее.
AV> А дальше все просто: эти же серверы выполняют NAT (а заодно еще
AV> кое-какие полезные функции помимо уже упомянутых DHCP и DNS).
У меня в общем случае NAT только у клиентов.
AG>> Можно его коненчо в puppet загнать... но всё равно как-то не
AV> Немного оффтопично, но я бы собрал пакет и поднял локальную репу.
AV> man rpmbuild
AV> man createrepo
В репах у меня токо те пакеты котрых нет в дистрибе или гдле чтото отличается
по набору/опциям от апстрима. Обычне конфигипредпочитаю паппетом раскатывать.
AG>> Я считаю что на серверах должен быть 1 маршрут,а всё остальное на
AG>> самом маршрутизаторе должно расскидываться.
AV> всех моих серверах маршрутизация выглядит так:
AV> # ip route
AV> default dev venet0 scope link
Вот и я к этому стремлюсь. Разбирая сервреа со 100500 интерфейсами и 100500
роутами в различных позах.
Причём порой внезвапно ловлю чсервера где физически 1 подсетка на 1 сервер
прописана скажем как /27..а на тазике рядом как /24.
И при этом то что было нарезавно на подсептки..не вланами..а алаиасами на 1
влане висело.
AV> Но, например, вышеописанные NAT-ящики ближе не к серверам, а к
AV> сетевому оборудованию, да и вообще эта граница за прошедшие лет 10
AV> изрядно размылась.
уху. Н оу меня нат только на брасах. А дальше обычный роутинг.
AG>>>> В общем случае мне хотелось бы видить запросы из серой сети
AG>>>> внутри моей AS на своих серверах без NAT-а. Не на всех но на
AG>>>> основных.
VL>>> Hу если хочешь - кто ж тебя остановит :)
AG>> Уху. Но вот пока не могу выбрать из 2 зол...
AV> используешь специально выделенные адреса RFC-6598 вместо RFC-1918).
AV> Но, так как не знаю топологию твоей сети, порекомендую `sysctl -w
AV> net.ipv4.ip_forward=0`
Сейчас топология после прошлого админа только только вырисовывается. Напримре у
него сервре радиуса висел втом же влане чтои влан управлния свитчами
доступа...и всё управление доступом было в 1 влане с маской /24.. Аха свыше 200
железок в 1 влане..
В общем случае трафик с браса по л2 бежит на циску.а там дальше на бгп и с бгп
или наружу или на внутенние сервисы опять по л2 на циске в соседнем влане.
А сейчас постепенно ввожу на циске л3 и внутренний трафик до bgp не будет
вообще долетать.
А то сейчас мегакостыль
bras(NAT) ->cisco(L2)->BGP->CISCO(L2)->Int_Servers
Копаю в сторону, что бы на BGP с брасов попадал только внешний трафик,а всё
внутреннее разруливалось на 65 циске и/или рядом стоящем л3 свитче
На серверах форвардинг разумеется выключен. Вернее включен только на оффисной
проксе.
AV> Под игрока - с семака, под виста - с туза :-)
AV> Ну, то есть, между своими железяками - VLAN trunk и OSPF, на стыке с
AV> чужими (хоть клиент со своим блоком адресов, хоть аплинк) - access и
AV> BGP. Это, разумеется, не догма, но соблюдение такого правила сильно
AV> упрощает жизнь.
Местами транк в сторону клиента, там где несколько услуг - например инет,
ип-телефония и мультикаст.
И то такая жопа в основном из-за телефонии, так как её предыдущий гений тоже не
роутит нифига, а сдел всю в 1 влане на 2к адресов и статиком на адаптеры
понапрописывали руками адреса.
Сейчас вот ещё раскуриваю dhcp opt 82
Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
Anton Gorlov
Jan 21, 2017, 11:54:58 AM1/21/17
to
Привет Eugene!
21 янв 17 года (а было тогда 19:18)
Eugene Grosbein в своем письме к Anton Gorlov писал:
AG>> Уху. Hо вот пока не могу выбрать из 2 зол...
EG> Тут нет никакого зла. Hадо четко осозновать границы применимости
EG> абстрактных правил и мотивацию, стоящую за ними. И когда формальные
EG> правила начинают противоречить тем самым целям, которым они должны
EG> служить - управляемости и функциональности сети - настаёт время
EG> их корректировать.
Скажемтак- сейчас меня сильно бесит, что если что яне могу простымметодом найти
кт оименно из клиентов флудит на тот или иной сервер.. не изучив netflow логи.
То есть если что нет оперативности.
21 янв 17 года (а было тогда 19:18)
Eugene Grosbein в своем письме к Anton Gorlov писал:
AG>> Уху. Hо вот пока не могу выбрать из 2 зол...
EG> абстрактных правил и мотивацию, стоящую за ними. И когда формальные
EG> правила начинают противоречить тем самым целям, которым они должны
EG> служить - управляемости и функциональности сети - настаёт время
EG> их корректировать.
Скажемтак- сейчас меня сильно бесит, что если что яне могу простымметодом найти
кт оименно из клиентов флудит на тот или иной сервер.. не изучив netflow логи.
То есть если что нет оперативности.
Denis Ognewsky
Jan 21, 2017, 12:54:58 PM1/21/17
to
Hello, Anton Gorlov.
On 21.01.17 21:16 you wrote:
AG> Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
sql это медленно. я скриптом генерю конфиг.
On 21.01.17 21:16 you wrote:
AG> Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
sql это медленно. я скриптом генерю конфиг.
Denis Ognewsky
Jan 21, 2017, 12:54:58 PM1/21/17
to
Hello, Anton Gorlov.
On 21.01.17 21:41 you wrote:
AG> Скажемтак- сейчас меня сильно бесит, что если что яне могу
AG> простымметодом найти кт оименно из клиентов флудит на тот или
AG> иной сервер.. не изучив netflow логи. То есть если что нет
AG> оперативности.
а как же tcpdump ?
On 21.01.17 21:41 you wrote:
AG> Скажемтак- сейчас меня сильно бесит, что если что яне могу
AG> простымметодом найти кт оименно из клиентов флудит на тот или
AG> иной сервер.. не изучив netflow логи. То есть если что нет
AG> оперативности.
а как же tcpdump ?
Anton Gorlov
Jan 21, 2017, 1:14:58 PM1/21/17
to
Привет Denis!
21 янв 17 года (а было тогда 20:41)
Denis Ognewsky в своем письме к Anton Gorlov писал:
AG>> Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
DO> sql это медленно. я скриптом генерю конфиг.
Я скорее со строны логов dhcp
По логам не очень удобно искать когда та или иная лиза была освобождена.
21 янв 17 года (а было тогда 20:41)
Denis Ognewsky в своем письме к Anton Gorlov писал:
AG>> Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
Я скорее со строны логов dhcp
По логам не очень удобно искать когда та или иная лиза была освобождена.
Anton Gorlov
Jan 21, 2017, 1:14:58 PM1/21/17
to
Привет Denis!
21 янв 17 года (а было тогда 20:43)
И как по IP за натом ты узнаешь кто из клиентов это есть?
Если в 1 IP натится 20 серых?
21 янв 17 года (а было тогда 20:43)
Denis Ognewsky в своем письме к Anton Gorlov писал:
AG>> Скажемтак- сейчас меня сильно бесит, что если что яне могу
AG>> простымметодом найти кт оименно из клиентов флудит на тот или
AG>> иной сервер.. не изучив netflow логи. То есть если что нет
AG>> оперативности.
DO> а как же tcpdump ?
AG>> простымметодом найти кт оименно из клиентов флудит на тот или
AG>> иной сервер.. не изучив netflow логи. То есть если что нет
AG>> оперативности.
И как по IP за натом ты узнаешь кто из клиентов это есть?
Если в 1 IP натится 20 серых?
Denis Ognewsky
Jan 21, 2017, 2:04:58 PM1/21/17
to
Hello, Anton Gorlov.
AG> когда та или иная лиза была освобождена.
а это для чего ?
On 21.01.17 23:05 you wrote:
AG>>> Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
DO>> sql это медленно. я скриптом генерю конфиг.
AG> Я скорее со строны логов dhcp По логам не очень удобно искать
AG>>> Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
DO>> sql это медленно. я скриптом генерю конфиг.
AG> когда та или иная лиза была освобождена.
а это для чего ?
Denis Ognewsky
Jan 21, 2017, 2:04:58 PM1/21/17
to
Hello, Anton Gorlov.
AG> IP натится 20 серых?
тисипидампить до ната. или прямо на том же тазике где нат.
On 21.01.17 23:04 you wrote:
AG>>> Скажемтак- сейчас меня сильно бесит, что если что яне могу
AG>>> простымметодом найти кт оименно из клиентов флудит на тот или
AG>>> иной сервер.. не изучив netflow логи. То есть если что нет
AG>>> оперативности.
DO>> а как же tcpdump ?
AG> И как по IP за натом ты узнаешь кто из клиентов это есть? Если в 1
AG>>> Скажемтак- сейчас меня сильно бесит, что если что яне могу
AG>>> простымметодом найти кт оименно из клиентов флудит на тот или
AG>>> иной сервер.. не изучив netflow логи. То есть если что нет
AG>>> оперативности.
DO>> а как же tcpdump ?
AG> IP натится 20 серых?
тисипидампить до ната. или прямо на том же тазике где нат.
Anton Gorlov
Jan 21, 2017, 2:34:58 PM1/21/17
to
Привет Denis!
21 янв 17 года (а было тогда 21:48)
DO> тисипидампить до ната. или прямо на том же тазике где нат.
Э.. ну я посмотрю как ты на брасе запустишь tcpdump :)
У меня не тазики, а redback se100
21 янв 17 года (а было тогда 21:48)
Denis Ognewsky в своем письме к Anton Gorlov писал:
AG>>>> Скажемтак- сейчас меня сильно бесит, что если что яне могу
AG>>>> простымметодом найти кт оименно из клиентов флудит на тот или
AG>>>> иной сервер.. не изучив netflow логи. То есть если что нет
AG>>>> оперативности.
DO>>> а как же tcpdump ?
AG>> И как по IP за натом ты узнаешь кто из клиентов это есть? Если в
AG>> 1 IP натится 20 серых?
AG>>>> простымметодом найти кт оименно из клиентов флудит на тот или
AG>>>> иной сервер.. не изучив netflow логи. То есть если что нет
AG>>>> оперативности.
DO>>> а как же tcpdump ?
AG>> И как по IP за натом ты узнаешь кто из клиентов это есть? Если в
DO> тисипидампить до ната. или прямо на том же тазике где нат.
Э.. ну я посмотрю как ты на брасе запустишь tcpdump :)
У меня не тазики, а redback se100
Anton Gorlov
Jan 21, 2017, 2:34:58 PM1/21/17
to
Привет Denis!
21 янв 17 года (а было тогда 21:49)
Как минимум для отработки соответствующих запросов из органов.
Нужна инфгмация об том кому в тот или иной момен твремени выдавался тот или
иной IP
21 янв 17 года (а было тогда 21:49)
Denis Ognewsky в своем письме к Anton Gorlov писал:
AG>>>> Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
DO>>> sql это медленно. я скриптом генерю конфиг.
AG>> Я скорее со строны логов dhcp По логам не очень удобно искать
AG>> когда та или иная лиза была освобождена.
DO> а это для чего ?
DO>>> sql это медленно. я скриптом генерю конфиг.
AG>> Я скорее со строны логов dhcp По логам не очень удобно искать
AG>> когда та или иная лиза была освобождена.
Как минимум для отработки соответствующих запросов из органов.
Нужна инфгмация об том кому в тот или иной момен твремени выдавался тот или
иной IP
Eugene Grosbein
Jan 21, 2017, 6:34:58 PM1/21/17
to
21 янв 2017, суббота, в 20:16 NOVT, Anton Gorlov написал(а):
AG> Сейчас топология после прошлого админа только только вырисовывается.
AG> Hапримре у
AG> него сервре радиуса висел втом же влане чтои влан управлния свитчами
AG> доступа...и
AG> всё управление доступом было в 1 влане с маской /24.. Аха свыше 200
AG> железок в 1
AG> влане..
Это совершенно нормально в 2017. Если у тебя нынче сетка имеет хоть
какие-то проблемы с 250 свичами в менеджмент-влане, то у тебя или
допотопное железо, или почему-то 10-мегабитный линк с полудуплексом :-)
Hа самом деле можно даже 500 хостов в одном влане держать и ничего
плохого не будет. Hе конец 1990-х на дворе.
Eugene
AG> Сейчас топология после прошлого админа только только вырисовывается.
AG> Hапримре у
AG> него сервре радиуса висел втом же влане чтои влан управлния свитчами
AG> доступа...и
AG> всё управление доступом было в 1 влане с маской /24.. Аха свыше 200
AG> железок в 1
AG> влане..
Это совершенно нормально в 2017. Если у тебя нынче сетка имеет хоть
какие-то проблемы с 250 свичами в менеджмент-влане, то у тебя или
допотопное железо, или почему-то 10-мегабитный линк с полудуплексом :-)
Hа самом деле можно даже 500 хостов в одном влане держать и ничего
плохого не будет. Hе конец 1990-х на дворе.
Eugene
Eugene Grosbein
Jan 21, 2017, 6:34:58 PM1/21/17
to
21 янв 2017, суббота, в 21:41 NOVT, Denis Ognewsky написал(а):
AG>> Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
DO> sql это медленно. я скриптом генерю конфиг.
Hичего не медленно. Выдача адреса 1000 одновременно ломящимся клиентам
в течение 2 секунд суммарно это медленно?
Eugene
--
И знатную леди от Джуди О'Греди
Hе сможет никто отличить.
AG>> Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
Hичего не медленно. Выдача адреса 1000 одновременно ломящимся клиентам
в течение 2 секунд суммарно это медленно?
Eugene
--
И знатную леди от Джуди О'Греди
Hе сможет никто отличить.
Eugene Grosbein
Jan 21, 2017, 6:34:58 PM1/21/17
to
21 янв 2017, суббота, в 20:41 NOVT, Anton Gorlov написал(а):
AG> Скажемтак- сейчас меня сильно бесит, что если что яне могу простымметодом
AG> найти
AG> кт оименно из клиентов флудит на тот или иной сервер.. не изучив netflow
AG> логи.
AG> То есть если что нет оперативности.
Так пускай трафик своих клиенто к своим серверам без трансляции
и никого не слушай. Внутри своей автономной системы вообще не делай
различий между белыми и серыми адресами, она ни для чего не нужна.
Eugene
--
Поэты - страшные люди. У них все святое.
AG> Скажемтак- сейчас меня сильно бесит, что если что яне могу простымметодом
AG> найти
AG> кт оименно из клиентов флудит на тот или иной сервер.. не изучив netflow
AG> логи.
AG> То есть если что нет оперативности.
Так пускай трафик своих клиенто к своим серверам без трансляции
и никого не слушай. Внутри своей автономной системы вообще не делай
различий между белыми и серыми адресами, она ни для чего не нужна.
Eugene
--
Поэты - страшные люди. У них все святое.
Eugene Grosbein
Jan 21, 2017, 6:34:58 PM1/21/17
to
21 янв 2017, суббота, в 20:16 NOVT, Anton Gorlov написал(а):
AG> Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
Если тебе нужен SQL-бекенд для DHCP, то зачем вообще держаться
за ISC DHCPD, за какой надобностью? Бери FreeRADIUS с его DHCP-модулем,
настраивай лазать в какую хочешь базу (хоть даже в MS SQL :-), работает.
Eugene
--
В России каждый третий болеет СПИДом. Его зрачки расширены, веки красные,
и его всегда начинает ломать.
AG> Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
Если тебе нужен SQL-бекенд для DHCP, то зачем вообще держаться
за ISC DHCPD, за какой надобностью? Бери FreeRADIUS с его DHCP-модулем,
настраивай лазать в какую хочешь базу (хоть даже в MS SQL :-), работает.
Eugene
--
В России каждый третий болеет СПИДом. Его зрачки расширены, веки красные,
и его всегда начинает ломать.
Eugene Grosbein
Jan 21, 2017, 6:54:57 PM1/21/17
to
22 янв 2017, воскресенье, в 06:22 NOVT, Eugene Grosbein написал(а):
AG>>> Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
DO>> sql это медленно. я скриптом генерю конфиг.
EG> Hичего не медленно. Выдача адреса 1000 одновременно ломящимся клиентам
EG> в течение 2 секунд суммарно это медленно?
s/адреса/адресов/
AG>>> Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
DO>> sql это медленно. я скриптом генерю конфиг.
EG> в течение 2 секунд суммарно это медленно?
s/адреса/адресов/
Denis Ognewsky
Jan 21, 2017, 11:34:58 PM1/21/17
to
Hello, Anton Gorlov.
AG> тазики, а redback se100
ну там есть чтото типа debug ip packet, хотя это очень не удобно. но опять же
ни что не мешает отзеркалить нужный трафик на тазик с tcpdump'ом
On 22.01.17 0:23 you wrote:
DO>>>> а как же tcpdump ?
AG>>> И как по IP за натом ты узнаешь кто из клиентов это есть? Если в
AG>>> 1 IP натится 20 серых?
DO>> тисипидампить до ната. или прямо на том же тазике где нат.
AG> Э.. ну я посмотрю как ты на брасе запустишь tcpdump :) У меня не
DO>>>> а как же tcpdump ?
AG>>> И как по IP за натом ты узнаешь кто из клиентов это есть? Если в
AG>>> 1 IP натится 20 серых?
DO>> тисипидампить до ната. или прямо на том же тазике где нат.
AG> тазики, а redback se100
ну там есть чтото типа debug ip packet, хотя это очень не удобно. но опять же
ни что не мешает отзеркалить нужный трафик на тазик с tcpdump'ом
Denis Ognewsky
Jan 21, 2017, 11:34:58 PM1/21/17
to
Hello, Eugene Grosbein.
EG> клиентам в течение 2 секунд суммарно это медленно?
а если 10000 ? у меня такое бывает.
On 22.01.17 4:30 you wrote:
AG>>> Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
DO>> sql это медленно. я скриптом генерю конфиг.
EG> Hичего не медленно. Выдача адреса 1000 одновременно ломящимся
AG>>> Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
DO>> sql это медленно. я скриптом генерю конфиг.
EG> клиентам в течение 2 секунд суммарно это медленно?
а если 10000 ? у меня такое бывает.
Denis Ognewsky
Jan 21, 2017, 11:34:58 PM1/21/17
to
Hello, Anton Gorlov.
AG> Hужна инфгмация об том кому в тот или иной момен твремени
AG> выдавался тот или иной IP
аа. просто я по dhcp выдаю одни и теже ip-адреса. привязка кому какой, когда ip
выдавался сразу в базе лежит.
On 22.01.17 0:26 you wrote:
DO>>>> sql это медленно. я скриптом генерю конфиг.
AG>>> Я скорее со строны логов dhcp По логам не очень удобно искать
AG>>> когда та или иная лиза была освобождена.
DO>> а это для чего ?
AG> Как минимум для отработки соответствующих запросов из органов.
DO>>>> sql это медленно. я скриптом генерю конфиг.
AG>>> Я скорее со строны логов dhcp По логам не очень удобно искать
AG>>> когда та или иная лиза была освобождена.
DO>> а это для чего ?
AG> Hужна инфгмация об том кому в тот или иной момен твремени
AG> выдавался тот или иной IP
аа. просто я по dhcp выдаю одни и теже ip-адреса. привязка кому какой, когда ip
выдавался сразу в базе лежит.
Eugene Grosbein
Jan 22, 2017, 3:44:58 AM1/22/17
to
22 янв 2017, воскресенье, в 08:18 NOVT, Denis Ognewsky написал(а):
AG>>>> Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
DO>>> sql это медленно. я скриптом генерю конфиг.
EG>> Hичего не медленно. Выдача адреса 1000 одновременно ломящимся
EG>> клиентам в течение 2 секунд суммарно это медленно?
DO> а если 10000 ? у меня такое бывает.
У тебя у 10000 клиентов односекундно моргает линк на порту и все
разом ломятся обновлять аренду адреса? Извини, не верю.
Eugene
--
И у священных источников живут алчные монахи. (Дхарма)
AG>>>> Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
DO>>> sql это медленно. я скриптом генерю конфиг.
EG>> Hичего не медленно. Выдача адреса 1000 одновременно ломящимся
EG>> клиентам в течение 2 секунд суммарно это медленно?
У тебя у 10000 клиентов односекундно моргает линк на порту и все
разом ломятся обновлять аренду адреса? Извини, не верю.
Eugene
--
И у священных источников живут алчные монахи. (Дхарма)
Anton Gorlov
Jan 22, 2017, 4:34:58 AM1/22/17
to
Привет Denis!
22 янв 17 года (а было тогда 07:16)
DO> когда ip выдавался сразу в базе лежит.
У меня сейчас PPPoE.. оно было до меня и до IpOE пока руки не дошли.
22 янв 17 года (а было тогда 07:16)
Denis Ognewsky в своем письме к Anton Gorlov писал:
DO>>>>> sql это медленно. я скриптом генерю конфиг.
AG>>>> Я скорее со строны логов dhcp По логам не очень удобно искать
AG>>>> когда та или иная лиза была освобождена.
DO>>> а это для чего ?
AG>> Как минимум для отработки соответствующих запросов из органов.
AG>> Hужна инфгмация об том кому в тот или иной момен твремени
AG>> выдавался тот или иной IP
DO> аа. просто я по dhcp выдаю одни и теже ip-адреса. привязка кому какой,
AG>>>> Я скорее со строны логов dhcp По логам не очень удобно искать
AG>>>> когда та или иная лиза была освобождена.
DO>>> а это для чего ?
AG>> Как минимум для отработки соответствующих запросов из органов.
AG>> Hужна инфгмация об том кому в тот или иной момен твремени
AG>> выдавался тот или иной IP
DO> когда ip выдавался сразу в базе лежит.
У меня сейчас PPPoE.. оно было до меня и до IpOE пока руки не дошли.
Anton Gorlov
Jan 22, 2017, 4:34:58 AM1/22/17
to
Привет Denis!
22 янв 17 года (а было тогда 07:14)
DO> опять же ни что не мешает отзеркалить нужный трафик на тазик с
DO> tcpdump'ом
УКху..если ест ьсвободые SPAN сессии.
на 65 их всего 2. 1 ушла на СОРМ,а 2 на DPI
2 в следующем месяце конечно освобожу - едет L3 свитчик на который вынесу
UPLINK брасов и туда же DPI и там же сделаю SPAN на DPI вместо 65.
22 янв 17 года (а было тогда 07:14)
Denis Ognewsky в своем письме к Anton Gorlov писал:
DO>>>>> а как же tcpdump ?
AG>>>> И как по IP за натом ты узнаешь кто из клиентов это есть? Если
AG>>>> в 1 IP натится 20 серых?
AG>>>> И как по IP за натом ты узнаешь кто из клиентов это есть? Если
DO>>> тисипидампить до ната. или прямо на том же тазике где нат.
AG>> Э.. ну я посмотрю как ты на брасе запустишь tcpdump :) У меня не
AG>> тазики, а redback se100
DO> ну там есть чтото типа debug ip packet, хотя это очень не удобно. но
AG>> Э.. ну я посмотрю как ты на брасе запустишь tcpdump :) У меня не
AG>> тазики, а redback se100
DO> опять же ни что не мешает отзеркалить нужный трафик на тазик с
DO> tcpdump'ом
УКху..если ест ьсвободые SPAN сессии.
на 65 их всего 2. 1 ушла на СОРМ,а 2 на DPI
2 в следующем месяце конечно освобожу - едет L3 свитчик на который вынесу
UPLINK брасов и туда же DPI и там же сделаю SPAN на DPI вместо 65.
Anton Gorlov
Jan 22, 2017, 4:34:58 AM1/22/17
to
Привет Eugene!
22 янв 17 года (а было тогда 05:24)
Eugene Grosbein в своем письме к Anton Gorlov писал:
AG>> Скажемтак- сейчас меня сильно бесит, что если что яне могу
AG>> простымметодом найти кт оименно из клиентов флудит на тот или
AG>> иной сервер.. не изучив netflow логи. То есть если что нет
AG>> оперативности.
EG> Так пускай трафик своих клиенто к своим серверам без трансляции
EG> и никого не слушай. Внутри своей автономной системы вообще не делай
EG> различий между белыми и серыми адресами, она ни для чего не нужна.
Вот так и хочу. Но не хочу всё в 1 vrf пихать... Поэтому и ищу как наиболее
правильно пустить трафик между 2 vrf
22 янв 17 года (а было тогда 05:24)
Eugene Grosbein в своем письме к Anton Gorlov писал:
AG>> Скажемтак- сейчас меня сильно бесит, что если что яне могу
AG>> иной сервер.. не изучив netflow логи. То есть если что нет
AG>> оперативности.
EG> Так пускай трафик своих клиенто к своим серверам без трансляции
EG> и никого не слушай. Внутри своей автономной системы вообще не делай
EG> различий между белыми и серыми адресами, она ни для чего не нужна.
Вот так и хочу. Но не хочу всё в 1 vrf пихать... Поэтому и ищу как наиболее
правильно пустить трафик между 2 vrf
Anton Gorlov
Jan 22, 2017, 4:34:58 AM1/22/17
to
Привет Eugene!
22 янв 17 года (а было тогда 05:22)
Eugene Grosbein в своем письме к Denis Ognewsky писал:
AG>>> Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
DO>> sql это медленно. я скриптом генерю конфиг.
EG> Hичего не медленно. Выдача адреса 1000 одновременно ломящимся клиентам
EG> в течение 2 секунд суммарно это медленно?
Уху. У меня за 5-10 секундл успевает подняться порядка 2-3к PPPoE сессий с
авторизациями в радиусе - SQL (mysql)
22 янв 17 года (а было тогда 05:22)
Eugene Grosbein в своем письме к Denis Ognewsky писал:
AG>>> Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
DO>> sql это медленно. я скриптом генерю конфиг.
EG> в течение 2 секунд суммарно это медленно?
Уху. У меня за 5-10 секундл успевает подняться порядка 2-3к PPPoE сессий с
авторизациями в радиусе - SQL (mysql)
Anton Gorlov
Jan 22, 2017, 4:34:59 AM1/22/17
to
Привет Eugene!
22 янв 17 года (а было тогда 05:19)
Eugene Grosbein в своем письме к Anton Gorlov писал:
AG>> Сейчас топология после прошлого админа только только
AG>> вырисовывается. Hапримре у него сервре радиуса висел втом же
AG>> влане чтои влан управлния свитчами доступа...и всё управление
AG>> доступом было в 1 влане с маской /24.. Аха свыше 200 железок в 1
AG>> влане..
EG> Это совершенно нормально в 2017. Если у тебя нынче сетка имеет хоть
EG> какие-то проблемы с 250 свичами в менеджмент-влане, то у тебя или
EG> допотопное железо, или почему-то 10-мегабитный линк с полудуплексом
EG> :-)
Ну..Пока ещё в сети ещё хватает DES-3200-52 с их вечнымми коллизиями маков.
Ну и опять же когда в сегменте бегает слишком много bpdu пакетов тоже не
хорошо.
EG> Hа самом деле можно даже 500 хостов в одном влане держать и ничего
EG> плохого не будет. Hе конец 1990-х на дворе.
Мб оно и так..но я предпочитаю всё таки влан упралвния сегментировать.
22 янв 17 года (а было тогда 05:19)
Eugene Grosbein в своем письме к Anton Gorlov писал:
AG>> Сейчас топология после прошлого админа только только
AG>> влане чтои влан управлния свитчами доступа...и всё управление
AG>> доступом было в 1 влане с маской /24.. Аха свыше 200 железок в 1
AG>> влане..
EG> Это совершенно нормально в 2017. Если у тебя нынче сетка имеет хоть
EG> какие-то проблемы с 250 свичами в менеджмент-влане, то у тебя или
EG> допотопное железо, или почему-то 10-мегабитный линк с полудуплексом
EG> :-)
Ну..Пока ещё в сети ещё хватает DES-3200-52 с их вечнымми коллизиями маков.
Ну и опять же когда в сегменте бегает слишком много bpdu пакетов тоже не
хорошо.
EG> Hа самом деле можно даже 500 хостов в одном влане держать и ничего
EG> плохого не будет. Hе конец 1990-х на дворе.
Мб оно и так..но я предпочитаю всё таки влан упралвния сегментировать.
Anton Gorlov
Jan 22, 2017, 4:34:59 AM1/22/17
to
Привет Eugene!
22 янв 17 года (а было тогда 05:21)
EG> за ISC DHCPD, за какой надобностью? Бери FreeRADIUS с его
EG> DHCP-модулем, настраивай лазать в какую хочешь базу (хоть даже в MS
EG> SQL :-), работает.
Окак..Не знал что к freeradius приделали dhcp
А поддержка opt82 и запрсов с dhcp-релеев по юникасту в нём есть?
22 янв 17 года (а было тогда 05:21)
Eugene Grosbein в своем письме к Anton Gorlov писал:
AG>> Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
EG> Если тебе нужен SQL-бекенд для DHCP, то зачем вообще держаться
EG> за ISC DHCPD, за какой надобностью? Бери FreeRADIUS с его
EG> DHCP-модулем, настраивай лазать в какую хочешь базу (хоть даже в MS
EG> SQL :-), работает.
Окак..Не знал что к freeradius приделали dhcp
А поддержка opt82 и запрсов с dhcp-релеев по юникасту в нём есть?
Eugene Grosbein
Jan 22, 2017, 5:34:57 AM1/22/17
to
22 янв 2017, воскресенье, в 13:16 NOVT, Anton Gorlov написал(а):
AG> Окак..Hе знал что к freeradius приделали dhcp
AG> А поддержка opt82 и запрсов с dhcp-релеев по юникасту в нём есть?
Да, у меня именно так и работает - с opt82 и юникастом с релеев.
Eugene
--
И кого не любишь, в лицо не знать, и смотреть на звезды и жить спокойно.
AG> Окак..Hе знал что к freeradius приделали dhcp
AG> А поддержка opt82 и запрсов с dhcp-релеев по юникасту в нём есть?
Да, у меня именно так и работает - с opt82 и юникастом с релеев.
Eugene
--
И кого не любишь, в лицо не знать, и смотреть на звезды и жить спокойно.
Eugene Grosbein
Jan 22, 2017, 5:54:59 AM1/22/17
to
22 янв 2017, воскресенье, в 13:25 NOVT, Anton Gorlov написал(а):
EG>> Это совершенно нормально в 2017. Если у тебя нынче сетка имеет хоть
EG>> какие-то проблемы с 250 свичами в менеджмент-влане, то у тебя или
EG>> допотопное железо, или почему-то 10-мегабитный линк с полудуплексом
EG>> :-)
AG> Hу..Пока ещё в сети ещё хватает DES-3200-52 с их вечнымми коллизиями
AG> маков.
А можно ссылочку на информацию о том, что у DES-3200 коллизии FDB?
AG> Hу и опять же когда в сегменте бегает слишком много bpdu пакетов тоже не
AG> хорошо.
Если ты думаешь, что сегментирование management vlan уменьшит тебе bpdu,
то у меня для тебя плохие новости... они же не форвардятся по сети,
а ходят между физическими портами свичей.
EG>> Hа самом деле можно даже 500 хостов в одном влане держать и ничего
EG>> плохого не будет. Hе конец 1990-х на дворе.
AG> Мб оно и так..но я предпочитаю всё таки влан упралвния сегментировать.
Hу так и мы сегментируем. 250 свичей в одном сегменте /24,
следующие 250 в другом /24 и так далее. Когда у тебя десятки тысяч
свичей, такая сегментация вполне нормально работает.
Eugene
EG>> Это совершенно нормально в 2017. Если у тебя нынче сетка имеет хоть
EG>> какие-то проблемы с 250 свичами в менеджмент-влане, то у тебя или
EG>> допотопное железо, или почему-то 10-мегабитный линк с полудуплексом
EG>> :-)
AG> маков.
А можно ссылочку на информацию о том, что у DES-3200 коллизии FDB?
AG> Hу и опять же когда в сегменте бегает слишком много bpdu пакетов тоже не
AG> хорошо.
Если ты думаешь, что сегментирование management vlan уменьшит тебе bpdu,
то у меня для тебя плохие новости... они же не форвардятся по сети,
а ходят между физическими портами свичей.
EG>> Hа самом деле можно даже 500 хостов в одном влане держать и ничего
EG>> плохого не будет. Hе конец 1990-х на дворе.
Hу так и мы сегментируем. 250 свичей в одном сегменте /24,
следующие 250 в другом /24 и так далее. Когда у тебя десятки тысяч
свичей, такая сегментация вполне нормально работает.
Eugene
Anton Gorlov
Jan 22, 2017, 6:04:58 AM1/22/17
to
Привет Eugene!
22 янв 17 года (а было тогда 16:08)
Ооок.. Ща пойду читать про dhcp в freeradius..
1 фиг мне надо всопнмить как готовить фрирадиус, так как на текущем почеу-то в
табицу сессий не попадают маки клиентов..хотя с железки они летят..
22 янв 17 года (а было тогда 16:08)
Eugene Grosbein в своем письме к Anton Gorlov писал:
AG>> Окак..Hе знал что к freeradius приделали dhcp
AG>> А поддержка opt82 и запрсов с dhcp-релеев по юникасту в нём есть?
EG> Да, у меня именно так и работает - с opt82 и юникастом с релеев.
AG>> А поддержка opt82 и запрсов с dhcp-релеев по юникасту в нём есть?
Ооок.. Ща пойду читать про dhcp в freeradius..
1 фиг мне надо всопнмить как готовить фрирадиус, так как на текущем почеу-то в
табицу сессий не попадают маки клиентов..хотя с железки они летят..
Anton Gorlov
Jan 22, 2017, 7:54:59 AM1/22/17
to
Привет Eugene!
22 янв 17 года (а было тогда 16:25)
EG>>> тебя или допотопное железо, или почему-то 10-мегабитный линк с
EG>>> полудуплексом
EG> А можно ссылочку на информацию о том, что у DES-3200 коллизии FDB?
Где-то на наге инфа на эту тему была и тамже скриптики для тестов. Ну и ещёююу
меня в сети часто попадаюся китайские сетвки у абонентв с одинаковыми маками. В
осном на платах гигабайт и asrock
На стенде удавалось воспроизвести. Сейчас на доступы SNR ставим.
AG>> Hу и опять же когда в сегменте бегает слишком много bpdu пакетов
AG>> тоже не хорошо.
EG> Если ты думаешь, что сегментирование management vlan уменьшит тебе
EG> bpdu, то у меня для тебя плохие новости... они же не форвардятся по
EG> сети, а ходят между физическими портами свичей.
EG> Hу так и мы сегментируем. 250 свичей в одном сегменте /24,
EG> следующие 250 в другом /24 и так далее. Когда у тебя десятки тысяч
EG> свичей, такая сегментация вполне нормально работает.
Аха..а мне по наследству досталось овер 400 железок в сети с маской /16 в
влане упралви..и в это же влане висело управление..тогда ещё недоядром -вязанка
из 7 зукселей XGS-4728F на которых пытались строить ядро. 1 делом что сделал
когда пришёл - убедил купить 65 циску с 2 супами.. А зукселя ушли на агрегации
и выносы.
Сейчас побаболь - это IP-телефония с сетью 172.25.255.240/16 которая по всему
городу в 1 влане и порой особо ушлые абоненты по ней гоняют между собой трафик.
Что тут поделать пока даже не представляю..учитывая что там овер 2к абонентов
по всему городу и все настройки вбиты статиком в адаптеры. Благо оно хоть в
отдельном влане от PPPoE (PPPoЕ у меня по влану на дом/доступ)
22 янв 17 года (а было тогда 16:25)
Eugene Grosbein в своем письме к Anton Gorlov писал:
EG>>> Это совершенно нормально в 2017. Если у тебя нынче сетка имеет
EG>>> хоть какие-то проблемы с 250 свичами в менеджмент-влане, то у
EG>>> тебя или допотопное железо, или почему-то 10-мегабитный линк с
EG>>> полудуплексом
EG>>> :-)
AG>> Hу..Пока ещё в сети ещё хватает DES-3200-52 с их вечнымми
AG>> коллизиями маков.
AG>> Hу..Пока ещё в сети ещё хватает DES-3200-52 с их вечнымми
EG> А можно ссылочку на информацию о том, что у DES-3200 коллизии FDB?
Где-то на наге инфа на эту тему была и тамже скриптики для тестов. Ну и ещёююу
меня в сети часто попадаюся китайские сетвки у абонентв с одинаковыми маками. В
осном на платах гигабайт и asrock
На стенде удавалось воспроизвести. Сейчас на доступы SNR ставим.
AG>> Hу и опять же когда в сегменте бегает слишком много bpdu пакетов
EG> Если ты думаешь, что сегментирование management vlan уменьшит тебе
EG> bpdu, то у меня для тебя плохие новости... они же не форвардятся по
EG> сети, а ходят между физическими портами свичей.
EG>>> Hа самом деле можно даже 500 хостов в одном влане держать и
EG>>> ничего плохого не будет. Hе конец 1990-х на дворе.
AG>> Мб оно и так..но я предпочитаю всё таки влан упралвния
AG>> сегментировать.
EG> Hу так и мы сегментируем. 250 свичей в одном сегменте /24,
EG> следующие 250 в другом /24 и так далее. Когда у тебя десятки тысяч
EG> свичей, такая сегментация вполне нормально работает.
Аха..а мне по наследству досталось овер 400 железок в сети с маской /16 в
влане упралви..и в это же влане висело управление..тогда ещё недоядром -вязанка
из 7 зукселей XGS-4728F на которых пытались строить ядро. 1 делом что сделал
когда пришёл - убедил купить 65 циску с 2 супами.. А зукселя ушли на агрегации
и выносы.
Сейчас побаболь - это IP-телефония с сетью 172.25.255.240/16 которая по всему
городу в 1 влане и порой особо ушлые абоненты по ней гоняют между собой трафик.
Что тут поделать пока даже не представляю..учитывая что там овер 2к абонентов
по всему городу и все настройки вбиты статиком в адаптеры. Благо оно хоть в
отдельном влане от PPPoE (PPPoЕ у меня по влану на дом/доступ)
Denis Ognewsky
Jan 22, 2017, 9:34:57 AM1/22/17
to
Hello, Eugene Grosbein.
EG> разом ломятся обновлять аренду адреса? Извини, не верю.
ну как то серьёзную магистраль переносили. несколько микрорайонов без связи на
некоторое время остались. с резервом тоже какие то проблемы были. да и не везде
резерв есть.
On 22.01.17 13:40 you wrote:
AG>>>>> Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
DO>>>> sql это медленно. я скриптом генерю конфиг.
EG>>> Hичего не медленно. Выдача адреса 1000 одновременно ломящимся
EG>>> клиентам в течение 2 секунд суммарно это медленно?
DO>> а если 10000 ? у меня такое бывает.
EG> У тебя у 10000 клиентов односекундно моргает линк на порту и все
AG>>>>> Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
DO>>>> sql это медленно. я скриптом генерю конфиг.
EG>>> Hичего не медленно. Выдача адреса 1000 одновременно ломящимся
EG>>> клиентам в течение 2 секунд суммарно это медленно?
DO>> а если 10000 ? у меня такое бывает.
EG> разом ломятся обновлять аренду адреса? Извини, не верю.
ну как то серьёзную магистраль переносили. несколько микрорайонов без связи на
некоторое время остались. с резервом тоже какие то проблемы были. да и не везде
резерв есть.
Denis Ognewsky
Jan 22, 2017, 9:34:57 AM1/22/17
to
Hello, Anton Gorlov.
AG> У меня сейчас PPPoE.. оно было до меня и до IpOE пока руки не
AG> дошли.
PPPoE прекрасно хранит лог в таблице radacct благодаря радиусу. впрочем вам
виднее чего и как у вас устроено.
On 22.01.17 14:22 you wrote:
AG>>> Как минимум для отработки соответствующих запросов из органов.
AG>>> Hужна инфгмация об том кому в тот или иной момен твремени
AG>>> выдавался тот или иной IP
DO>> аа. просто я по dhcp выдаю одни и теже ip-адреса. привязка кому
DO>> какой, когда ip выдавался сразу в базе лежит.
AG>>> Как минимум для отработки соответствующих запросов из органов.
AG>>> Hужна инфгмация об том кому в тот или иной момен твремени
AG>>> выдавался тот или иной IP
DO>> аа. просто я по dhcp выдаю одни и теже ip-адреса. привязка кому
AG> У меня сейчас PPPoE.. оно было до меня и до IpOE пока руки не
AG> дошли.
PPPoE прекрасно хранит лог в таблице radacct благодаря радиусу. впрочем вам
виднее чего и как у вас устроено.
Anton Gorlov
Jan 22, 2017, 12:14:58 PM1/22/17
to
Привет Denis!
22 янв 17 года (а было тогда 17:19)
Denis Ognewsky в своем письме к Anton Gorlov писал:
AG>>>> Как минимум для отработки соответствующих запросов из органов.
AG>>>> Hужна инфгмация об том кому в тот или иной момен твремени
AG>>>> выдавался тот или иной IP
DO>>> аа. просто я по dhcp выдаю одни и теже ip-адреса. привязка кому
DO>>> какой, когда ip выдавался сразу в базе лежит.
AG>> У меня сейчас PPPoE.. оно было до меня и до IpOE пока руки не
AG>> дошли.
DO> PPPoE прекрасно хранит лог в таблице radacct благодаря радиусу.
DO> впрочем вам виднее чего и как у вас устроено.
Да. Записи есть, но нет инфомации об маке клиента. А иногда бывает нужна.
Просто пустой столбец вместо маков.
22 янв 17 года (а было тогда 17:19)
Denis Ognewsky в своем письме к Anton Gorlov писал:
AG>>>> Как минимум для отработки соответствующих запросов из органов.
AG>>>> Hужна инфгмация об том кому в тот или иной момен твремени
AG>>>> выдавался тот или иной IP
DO>>> аа. просто я по dhcp выдаю одни и теже ip-адреса. привязка кому
DO>>> какой, когда ip выдавался сразу в базе лежит.
AG>> У меня сейчас PPPoE.. оно было до меня и до IpOE пока руки не
AG>> дошли.
DO> впрочем вам виднее чего и как у вас устроено.
Да. Записи есть, но нет инфомации об маке клиента. А иногда бывает нужна.
Просто пустой столбец вместо маков.
Eugene Grosbein
Jan 22, 2017, 8:14:58 PM1/22/17
to
22 янв 2017, воскресенье, в 18:06 NOVT, Denis Ognewsky написал(а):
DO>>> а если 10000 ? у меня такое бывает.
EG>> У тебя у 10000 клиентов односекундно моргает линк на порту и все
EG>> разом ломятся обновлять аренду адреса? Извини, не верю.
DO> ну как то серьёзную магистраль переносили. несколько микрорайонов без
DO> связи на
DO> некоторое время остались.
Всё равно они вовсе не одномоментно ломятся к DHCP. А размазывание хотя бы
на полминуты (в реалии сильно на больше) и база уже не узкое место.
DO>>> а если 10000 ? у меня такое бывает.
EG>> У тебя у 10000 клиентов односекундно моргает линк на порту и все
EG>> разом ломятся обновлять аренду адреса? Извини, не верю.
DO> связи на
DO> некоторое время остались.
Всё равно они вовсе не одномоментно ломятся к DHCP. А размазывание хотя бы
на полминуты (в реалии сильно на больше) и база уже не узкое место.
Eugene Grosbein
Jan 22, 2017, 8:14:58 PM1/22/17
to
22 янв 2017, воскресенье, в 21:04 NOVT, Anton Gorlov написал(а):
DO>> PPPoE прекрасно хранит лог в таблице radacct благодаря радиусу.
DO>> впрочем вам виднее чего и как у вас устроено.
AG> Да. Записи есть, но нет инфомации об маке клиента. А иногда бывает нужна.
AG> Просто пустой столбец вместо маков.
Hу так надо вправить мозги BRAS-у, чтобы MAC клиента передавал
в атрибуте Calling-Station-Id (31).
Eugene
DO>> PPPoE прекрасно хранит лог в таблице radacct благодаря радиусу.
DO>> впрочем вам виднее чего и как у вас устроено.
AG> Просто пустой столбец вместо маков.
Hу так надо вправить мозги BRAS-у, чтобы MAC клиента передавал
в атрибуте Calling-Station-Id (31).
Eugene
Eugene Grosbein
Jan 22, 2017, 8:24:58 PM1/22/17
to
22 янв 2017, воскресенье, в 16:38 NOVT, Anton Gorlov написал(а):
AG> Сейчас побаболь - это IP-телефония с сетью 172.25.255.240/16 которая по
AG> всему
AG> городу в 1 влане и порой особо ушлые абоненты по ней гоняют между собой
AG> трафик.
AG> Что тут поделать пока даже не представляю..учитывая что там овер 2к
AG> абонентов по
AG> всему городу и все настройки вбиты статиком в адаптеры. Благо оно хоть в
AG> отдельном влане от PPPoE (PPPoЕ у меня по влану на дом/доступ)
В циске по дефолту работает arp proxy. Делаешь на циске отдельный
interface Loopback10 с ip address 172.25.255.240 255.255.255.255
и сегментируешь VoIP-сетку на нужное тебе количество вланов и
соответствующие интерфейсы в циске прописываешь как ip unumbered Loopback10
плюс суда же суешь ip verify unicast source reachable-via rx.
Роутинг создаёшь командами типа ip route 172.25.255.242 255.255.255 Vlan123.
Вуаля! Уже никто ничего левого не гоняет по влану, а при большом желании
на вланы можно дополнительные ACL навесить, но основную проблему
ip verify снимает автоматически.
А голос за счёт arp proxy всё будет продолжать работать как ни в чём
не бывало - голосовой шлюз посылает ARP-запрос на прописанный статически
у себя адрес роутера, а циска отвечает ему своим MAC-адресом и дальше
ethernet-трафик ходит с MAC голосового шлюза на MAC циски и обратно,
как и до этого.
Eugene
AG> Сейчас побаболь - это IP-телефония с сетью 172.25.255.240/16 которая по
AG> всему
AG> городу в 1 влане и порой особо ушлые абоненты по ней гоняют между собой
AG> трафик.
AG> Что тут поделать пока даже не представляю..учитывая что там овер 2к
AG> абонентов по
AG> всему городу и все настройки вбиты статиком в адаптеры. Благо оно хоть в
AG> отдельном влане от PPPoE (PPPoЕ у меня по влану на дом/доступ)
В циске по дефолту работает arp proxy. Делаешь на циске отдельный
interface Loopback10 с ip address 172.25.255.240 255.255.255.255
и сегментируешь VoIP-сетку на нужное тебе количество вланов и
соответствующие интерфейсы в циске прописываешь как ip unumbered Loopback10
плюс суда же суешь ip verify unicast source reachable-via rx.
Роутинг создаёшь командами типа ip route 172.25.255.242 255.255.255 Vlan123.
Вуаля! Уже никто ничего левого не гоняет по влану, а при большом желании
на вланы можно дополнительные ACL навесить, но основную проблему
ip verify снимает автоматически.
А голос за счёт arp proxy всё будет продолжать работать как ни в чём
не бывало - голосовой шлюз посылает ARP-запрос на прописанный статически
у себя адрес роутера, а циска отвечает ему своим MAC-адресом и дальше
ethernet-трафик ходит с MAC голосового шлюза на MAC циски и обратно,
как и до этого.
Eugene
Denis Ognewsky
Jan 22, 2017, 10:44:58 PM1/22/17
to
Hello, Anton Gorlov.
AG> бывает нужна. Просто пустой столбец вместо маков.
это вроде от nas'а зависит. он должен передавать mac клиента. покрутите опции
на той стороне.
On 22.01.17 22:04 you wrote:
DO>>>> аа. просто я по dhcp выдаю одни и теже ip-адреса. привязка кому
DO>>>> какой, когда ip выдавался сразу в базе лежит.
AG>>> У меня сейчас PPPoE.. оно было до меня и до IpOE пока руки не
AG>>> дошли.
DO>> PPPoE прекрасно хранит лог в таблице radacct благодаря радиусу.
DO>> впрочем вам виднее чего и как у вас устроено.
AG> Да. Записи есть, но нет инфомации об маке клиента. А иногда
DO>>>> аа. просто я по dhcp выдаю одни и теже ip-адреса. привязка кому
DO>>>> какой, когда ip выдавался сразу в базе лежит.
AG>>> У меня сейчас PPPoE.. оно было до меня и до IpOE пока руки не
AG>>> дошли.
DO>> PPPoE прекрасно хранит лог в таблице radacct благодаря радиусу.
DO>> впрочем вам виднее чего и как у вас устроено.
AG> бывает нужна. Просто пустой столбец вместо маков.
это вроде от nas'а зависит. он должен передавать mac клиента. покрутите опции
на той стороне.
Denis Ognewsky
Jan 22, 2017, 10:44:58 PM1/22/17
to
Hello, Eugene Grosbein.
EG> Всё равно они вовсе не одномоментно ломятся к DHCP. А размазывание
EG> хотя бы на полминуты (в реалии сильно на больше) и база уже не
EG> узкое место.
ну в этом случае вы правы. с pppoe наверно почта та же история. там таймауты не
такие большие, но все одновременно не ломанутся. но вот есть у меня на сети
accel-ppp с режимом авторизации по первому пакету прилетающему на интерфейс.
вот тут капец. при развороте на резерв волна запросов на авторизацию.
On 23.01.17 6:10 you wrote:
DO>>>> а если 10000 ? у меня такое бывает.
EG>>> У тебя у 10000 клиентов односекундно моргает линк на порту и все
EG>>> разом ломятся обновлять аренду адреса? Извини, не верю.
DO>> ну как то серьёзную магистраль переносили. несколько микрорайонов
DO>> без связи на некоторое время остались.
DO>>>> а если 10000 ? у меня такое бывает.
EG>>> У тебя у 10000 клиентов односекундно моргает линк на порту и все
EG>>> разом ломятся обновлять аренду адреса? Извини, не верю.
DO>> ну как то серьёзную магистраль переносили. несколько микрорайонов
EG> Всё равно они вовсе не одномоментно ломятся к DHCP. А размазывание
EG> хотя бы на полминуты (в реалии сильно на больше) и база уже не
EG> узкое место.
ну в этом случае вы правы. с pppoe наверно почта та же история. там таймауты не
такие большие, но все одновременно не ломанутся. но вот есть у меня на сети
accel-ppp с режимом авторизации по первому пакету прилетающему на интерфейс.
вот тут капец. при развороте на резерв волна запросов на авторизацию.
Anton Gorlov
Jan 24, 2017, 6:24:58 AM1/24/17
to
Привет Denis!
23 янв 17 года (а было тогда 06:19)
DO> покрутите опции на той стороне.
Оно его передаёт, но в своей vendor specific опции
AVP: l=25 t=Vendor-Specific(26) v=Ericsson, Inc. (formerly 'RedBack
Networks')(2352)
Сижу вкуриваю как в freeradius получить значение этой опции
23 янв 17 года (а было тогда 06:19)
Denis Ognewsky в своем письме к Anton Gorlov писал:
DO>>>>> аа. просто я по dhcp выдаю одни и теже ip-адреса. привязка
DO>>>>> кому какой, когда ip выдавался сразу в базе лежит.
AG>>>> У меня сейчас PPPoE.. оно было до меня и до IpOE пока руки не
AG>>>> дошли.
DO>>> PPPoE прекрасно хранит лог в таблице radacct благодаря радиусу.
DO>>> впрочем вам виднее чего и как у вас устроено.
AG>> Да. Записи есть, но нет инфомации об маке клиента. А иногда
AG>> бывает нужна. Просто пустой столбец вместо маков.
DO> это вроде от nas'а зависит. он должен передавать mac клиента.
AG>>>> дошли.
DO>>> PPPoE прекрасно хранит лог в таблице radacct благодаря радиусу.
DO>>> впрочем вам виднее чего и как у вас устроено.
AG>> Да. Записи есть, но нет инфомации об маке клиента. А иногда
AG>> бывает нужна. Просто пустой столбец вместо маков.
DO> покрутите опции на той стороне.
Оно его передаёт, но в своей vendor specific опции
AVP: l=25 t=Vendor-Specific(26) v=Ericsson, Inc. (formerly 'RedBack
Networks')(2352)
Сижу вкуриваю как в freeradius получить значение этой опции
Anton Gorlov
Jan 24, 2017, 6:24:58 AM1/24/17
to
Привет Eugene!
23 янв 17 года (а было тогда 06:59)
Eugene Grosbein в своем письме к Anton Gorlov писал:
DO>>> PPPoE прекрасно хранит лог в таблице radacct благодаря радиусу.
DO>>> впрочем вам виднее чего и как у вас устроено.
AG>> Да. Записи есть, но нет инфомации об маке клиента. А иногда
AG>> бывает нужна. Просто пустой столбец вместо маков.
EG> Hу так надо вправить мозги BRAS-у, чтобы MAC клиента передавал
EG> в атрибуте Calling-Station-Id (31).
Ещё бы мело оно это..
radius attribute calling-station-id format ?
agent-circuit-id Build Calling-ID string with agent circuit id
agent-remote-id Build Calling-ID string with agent remote id
description Build Calling-ID string with VC-description
hostname Build Calling-ID string with host name
slot-port Build Calling-ID string with slot-port info
Мак оно передаёт, но в своём аттрибуте, vendor-specific
AVP: l=25 t=Vendor-Specific(26) v=Ericsson, Inc. (formerly 'RedBack
Networks')(2352)
AVP Type: 26
AVP Length: 25
VSA: l=19 t=Mac-Addr(145): e0-3f-49-52-c2-fd
Вот сижу соображаю как мне вот это получить и загнать в calledstationid или
какое либо другое поле..
23 янв 17 года (а было тогда 06:59)
Eugene Grosbein в своем письме к Anton Gorlov писал:
DO>>> PPPoE прекрасно хранит лог в таблице radacct благодаря радиусу.
DO>>> впрочем вам виднее чего и как у вас устроено.
AG>> Да. Записи есть, но нет инфомации об маке клиента. А иногда
EG> Hу так надо вправить мозги BRAS-у, чтобы MAC клиента передавал
EG> в атрибуте Calling-Station-Id (31).
Ещё бы мело оно это..
radius attribute calling-station-id format ?
agent-circuit-id Build Calling-ID string with agent circuit id
agent-remote-id Build Calling-ID string with agent remote id
description Build Calling-ID string with VC-description
hostname Build Calling-ID string with host name
slot-port Build Calling-ID string with slot-port info
Мак оно передаёт, но в своём аттрибуте, vendor-specific
AVP: l=25 t=Vendor-Specific(26) v=Ericsson, Inc. (formerly 'RedBack
Networks')(2352)
AVP Length: 25
VSA: l=19 t=Mac-Addr(145): e0-3f-49-52-c2-fd
Вот сижу соображаю как мне вот это получить и загнать в calledstationid или
какое либо другое поле..
Anton Gorlov
Jan 24, 2017, 6:24:58 AM1/24/17
to
Привет Eugene!
23 янв 17 года (а было тогда 07:08)
шлюза
172.25.255.254 и этот же IP указан в качестве ethernet gateway на самом
адаптере
AG>> которая по всему городу в 1 влане и порой особо ушлые абоненты по
AG>> ней гоняют между собой трафик. Что тут поделать пока даже не
AG>> представляю..учитывая что там овер 2к абонентов по всему городу и
AG>> все настройки вбиты статиком в адаптеры. Благо оно хоть в
EG> interface Loopback10 с ip address 172.25.255.240 255.255.255.255
EG> и сегментируешь VoIP-сетку на нужное тебе количество вланов и
EG> соответствующие интерфейсы в циске прописываешь как ip unumbered
EG> Loopback10 плюс суда же суешь ip verify unicast source reachable-via
EG> rx.
EG> Роутинг создаёшь командами типа ip route 172.25.255.242 255.255.255
EG> Vlan123. Вуаля! Уже никто ничего левого не гоняет по влану, а при
EG> большом желании на вланы можно дополнительные ACL навесить, но
EG> основную проблему ip verify снимает автоматически.
EG> А голос за счёт arp proxy всё будет продолжать работать как ни в чём
EG> не бывало - голосовой шлюз посылает ARP-запрос на прописанный
EG> статически у себя адрес роутера, а циска отвечает ему своим
EG> MAC-адресом и дальше ethernet-трафик ходит с MAC голосового шлюза на
EG> MAC циски и обратно, как и до этого.
23 янв 17 года (а было тогда 07:08)
Eugene Grosbein в своем письме к Anton Gorlov писал:
Не совсем понимаю как оно взлетит. Проблема в том, что на адаптере адрес SIP
шлюза
172.25.255.254 и этот же IP указан в качестве ethernet gateway на самом
адаптере
AG>> которая по всему городу в 1 влане и порой особо ушлые абоненты по
AG>> ней гоняют между собой трафик. Что тут поделать пока даже не
AG>> представляю..учитывая что там овер 2к абонентов по всему городу и
AG>> все настройки вбиты статиком в адаптеры. Благо оно хоть в
AG>> отдельном влане от PPPoE (PPPoЕ у меня по влану на дом/доступ)
EG> В циске по дефолту работает arp proxy. Делаешь на циске отдельный
EG> interface Loopback10 с ip address 172.25.255.240 255.255.255.255
EG> и сегментируешь VoIP-сетку на нужное тебе количество вланов и
EG> соответствующие интерфейсы в циске прописываешь как ip unumbered
EG> Loopback10 плюс суда же суешь ip verify unicast source reachable-via
EG> rx.
EG> Роутинг создаёшь командами типа ip route 172.25.255.242 255.255.255
EG> Vlan123. Вуаля! Уже никто ничего левого не гоняет по влану, а при
EG> большом желании на вланы можно дополнительные ACL навесить, но
EG> основную проблему ip verify снимает автоматически.
EG> А голос за счёт arp proxy всё будет продолжать работать как ни в чём
EG> не бывало - голосовой шлюз посылает ARP-запрос на прописанный
EG> статически у себя адрес роутера, а циска отвечает ему своим
EG> MAC-адресом и дальше ethernet-трафик ходит с MAC голосового шлюза на
EG> MAC циски и обратно, как и до этого.
Dmitriy Yermakov
Jan 24, 2017, 7:44:58 AM1/24/17
to
Hello, Anton!
At 24 Jan 17 13:40:10, Anton Gorlov wrote to Eugene Grosbein:
AG> Мак оно передаёт, но в своём аттрибуте, vendor-specific
AG> VSA: l=19 t=Mac-Addr(145): e0-3f-49-52-c2-fd
В словаре есть - dictionary.redback
AG> Вот сижу соображаю как мне вот это получить и загнать в calledstationid
AG> или какое либо другое поле..
примерно так
%{Called-Station-Id} := %{Mac-Addr}
/dyer
At 24 Jan 17 13:40:10, Anton Gorlov wrote to Eugene Grosbein:
AG> Мак оно передаёт, но в своём аттрибуте, vendor-specific
AG> VSA: l=19 t=Mac-Addr(145): e0-3f-49-52-c2-fd
В словаре есть - dictionary.redback
AG> Вот сижу соображаю как мне вот это получить и загнать в calledstationid
AG> или какое либо другое поле..
примерно так
%{Called-Station-Id} := %{Mac-Addr}
/dyer
Anton Gorlov
Jan 24, 2017, 9:04:57 AM1/24/17
to
Привет Dmitriy!
24 янв 17 года (а было тогда 15:20)
Dmitriy Yermakov в своем письме к Anton Gorlov писал:
DY> At 24 Jan 17 13:40:10, Anton Gorlov wrote to Eugene Grosbein:
DY> примерно так
DY> %{Called-Station-Id} := %{Mac-Addr}
Аха..Уже тоже стряхнул пыль с документов по радиусу и нашёл сиё.
В общем спасибо всем за помощь.
24 янв 17 года (а было тогда 15:20)
Dmitriy Yermakov в своем письме к Anton Gorlov писал:
DY> At 24 Jan 17 13:40:10, Anton Gorlov wrote to Eugene Grosbein:
AG>> Мак оно передаёт, но в своём аттрибуте, vendor-specific
AG>> VSA: l=19 t=Mac-Addr(145): e0-3f-49-52-c2-fd
DY> В словаре есть - dictionary.redback
AG>> VSA: l=19 t=Mac-Addr(145): e0-3f-49-52-c2-fd
AG>> Вот сижу соображаю как мне вот это получить и загнать в
AG>> calledstationid или какое либо другое поле..
DY> примерно так
DY> %{Called-Station-Id} := %{Mac-Addr}
Аха..Уже тоже стряхнул пыль с документов по радиусу и нашёл сиё.
В общем спасибо всем за помощь.
Eugene Grosbein
Jan 24, 2017, 9:44:58 AM1/24/17
to
24 янв 2017, вторник, в 14:37 NOVT, Anton Gorlov написал(а):
AG> Hе совсем понимаю как оно взлетит. Проблема в том, что на адаптере адрес
AG> SIP
AG> шлюза
AG> 172.25.255.254 и этот же IP указан в качестве ethernet gateway на самом
AG> адаптере
Hу значит этот адрес на лупбек поставь, маской 255.255.255.255.
И почитай про arp proxy чего-нибудь.
Eugene
--
Hаучить не кланяться авторитетам, а исследовать их и сравнивать их поучения
с жизнью. Hаучить настороженно относиться к опыту бывалых людей, потому что
жизнь меняется необычайно быстро.
AG> Hе совсем понимаю как оно взлетит. Проблема в том, что на адаптере адрес
AG> SIP
AG> шлюза
AG> 172.25.255.254 и этот же IP указан в качестве ethernet gateway на самом
AG> адаптере
Hу значит этот адрес на лупбек поставь, маской 255.255.255.255.
И почитай про arp proxy чего-нибудь.
Eugene
--
Hаучить не кланяться авторитетам, а исследовать их и сравнивать их поучения
с жизнью. Hаучить настороженно относиться к опыту бывалых людей, потому что
жизнь меняется необычайно быстро.
Denis Ognewsky
Jan 24, 2017, 10:14:58 AM1/24/17
to
Hello, Anton Gorlov.
AG> t=Vendor-Specific(26) v=Ericsson, Inc. (formerly 'RedBack
AG> Networks')(2352) Сижу вкуриваю как в freeradius получить значение
AG> этой опции
добавить словарь ? у меня какие то были от se100.
On 24.01.17 16:13 you wrote:
DO>>>>>> аа. просто я по dhcp выдаю одни и теже ip-адреса. привязка
DO>>>>>> кому какой, когда ip выдавался сразу в базе лежит.
AG>>>>> У меня сейчас PPPoE.. оно было до меня и до IpOE пока руки не
AG>>>>> дошли.
DO>>>> PPPoE прекрасно хранит лог в таблице radacct благодаря радиусу.
DO>>>> впрочем вам виднее чего и как у вас устроено.
AG>>> Да. Записи есть, но нет инфомации об маке клиента. А иногда
AG>>> бывает нужна. Просто пустой столбец вместо маков.
DO>> это вроде от nas'а зависит. он должен передавать mac клиента.
DO>> покрутите опции на той стороне.
AG> Оно его передаёт, но в своей vendor specific опции AVP: l=25
DO>>>>>> аа. просто я по dhcp выдаю одни и теже ip-адреса. привязка
DO>>>>>> кому какой, когда ip выдавался сразу в базе лежит.
AG>>>>> У меня сейчас PPPoE.. оно было до меня и до IpOE пока руки не
AG>>>>> дошли.
DO>>>> PPPoE прекрасно хранит лог в таблице radacct благодаря радиусу.
DO>>>> впрочем вам виднее чего и как у вас устроено.
AG>>> Да. Записи есть, но нет инфомации об маке клиента. А иногда
AG>>> бывает нужна. Просто пустой столбец вместо маков.
DO>> это вроде от nas'а зависит. он должен передавать mac клиента.
DO>> покрутите опции на той стороне.
AG> t=Vendor-Specific(26) v=Ericsson, Inc. (formerly 'RedBack
AG> Networks')(2352) Сижу вкуриваю как в freeradius получить значение
AG> этой опции
добавить словарь ? у меня какие то были от se100.
Anton Gorlov
Jan 24, 2017, 12:44:58 PM1/24/17
to
Привет Denis!
24 янв 17 года (а было тогда 18:00)
Denis Ognewsky в своем письме к Anton Gorlov писал:
DO>>>>> PPPoE прекрасно хранит лог в таблице radacct благодаря
DO>>>>> радиусу. впрочем вам виднее чего и как у вас устроено.
Дасловарик откпался и в родной поставке freeradius.
Просто честно говорю - я с радиусом до этого не особо плотно работал и забыл
уже что там было и как.. в частности про словари.
Сейчс вот смотрю SQL запросы радиуса и прикидываю как добавить пару столбцов,
что бы не сломать чего по пути.
Пока на сколько вижу там везде запросы по именам столбцов и порядок не
учитывается, что как бы сильно упрощает задачу.
24 янв 17 года (а было тогда 18:00)
Denis Ognewsky в своем письме к Anton Gorlov писал:
DO>>>>> PPPoE прекрасно хранит лог в таблице radacct благодаря
AG>>>> Да. Записи есть, но нет инфомации об маке клиента. А иногда
AG>>>> бывает нужна. Просто пустой столбец вместо маков.
DO>>> это вроде от nas'а зависит. он должен передавать mac клиента.
DO>>> покрутите опции на той стороне.
AG>> Оно его передаёт, но в своей vendor specific опции AVP: l=25
AG>> t=Vendor-Specific(26) v=Ericsson, Inc. (formerly 'RedBack
AG>> Networks')(2352) Сижу вкуриваю как в freeradius получить значение
AG>> этой опции
DO> добавить словарь ? у меня какие то были от se100.
AG>>>> бывает нужна. Просто пустой столбец вместо маков.
DO>>> это вроде от nas'а зависит. он должен передавать mac клиента.
DO>>> покрутите опции на той стороне.
AG>> Оно его передаёт, но в своей vendor specific опции AVP: l=25
AG>> t=Vendor-Specific(26) v=Ericsson, Inc. (formerly 'RedBack
AG>> Networks')(2352) Сижу вкуриваю как в freeradius получить значение
AG>> этой опции
Дасловарик откпался и в родной поставке freeradius.
Просто честно говорю - я с радиусом до этого не особо плотно работал и забыл
уже что там было и как.. в частности про словари.
Сейчс вот смотрю SQL запросы радиуса и прикидываю как добавить пару столбцов,
что бы не сломать чего по пути.
Пока на сколько вижу там везде запросы по именам столбцов и порядок не
учитывается, что как бы сильно упрощает задачу.
Anton Gorlov
Jan 24, 2017, 12:44:58 PM1/24/17
to
Привет Eugene!
24 янв 17 года (а было тогда 20:34)
Eugene Grosbein в своем письме к Anton Gorlov писал:
AG>> Hе совсем понимаю как оно взлетит. Проблема в том, что на
AG>> адаптере адрес SIP шлюза 172.25.255.254 и этот же IP указан в
AG>> качестве ethernet gateway на самом адаптере
EG> Hу значит этот адрес на лупбек поставь, маской 255.255.255.255.
EG> И почитай про arp proxy чего-нибудь.
То что его на лупбэк это понятно. Вопрос в том как мне дальше трафик с циски
завернуть на VoIp сервер и какой адрес вешатьна VoIp сервер.
24 янв 17 года (а было тогда 20:34)
Eugene Grosbein в своем письме к Anton Gorlov писал:
AG>> Hе совсем понимаю как оно взлетит. Проблема в том, что на
AG>> качестве ethernet gateway на самом адаптере
EG> Hу значит этот адрес на лупбек поставь, маской 255.255.255.255.
EG> И почитай про arp proxy чего-нибудь.
То что его на лупбэк это понятно. Вопрос в том как мне дальше трафик с циски
завернуть на VoIp сервер и какой адрес вешатьна VoIp сервер.
Eugene Grosbein
Jan 25, 2017, 1:44:57 AM1/25/17
to
24 янв 2017, вторник, в 21:29 NOVT, Anton Gorlov написал(а):
AG>>> Hе совсем понимаю как оно взлетит. Проблема в том, что на
AG>>> адаптере адрес SIP шлюза 172.25.255.254 и этот же IP указан в
AG>>> качестве ethernet gateway на самом адаптере
EG>> Hу значит этот адрес на лупбек поставь, маской 255.255.255.255.
EG>> И почитай про arp proxy чего-нибудь.
AG> То что его на лупбэк это понятно. Вопрос в том как мне дальше трафик с
AG> циски
AG> завернуть на VoIp сервер и какой адрес вешатьна VoIp сервер.
Я думал, у тебя циска работает VoIP-сервером или прокси.
Если нет, то на лупбек не надо вешать адрес VoIP-сервера
и менять его тоже не надо, пусть будет какой сейчас работаеть.
Циске на лупбек повесить другой адрес из сети, за счет arp proxy
роутинг трафика будет работать как ни в чём не бывало.
Eugene
--
И знатную леди от Джуди О'Греди
Hе сможет никто отличить.
AG>>> Hе совсем понимаю как оно взлетит. Проблема в том, что на
AG>>> адаптере адрес SIP шлюза 172.25.255.254 и этот же IP указан в
AG>>> качестве ethernet gateway на самом адаптере
EG>> Hу значит этот адрес на лупбек поставь, маской 255.255.255.255.
EG>> И почитай про arp proxy чего-нибудь.
AG> циски
AG> завернуть на VoIp сервер и какой адрес вешатьна VoIp сервер.
Я думал, у тебя циска работает VoIP-сервером или прокси.
Если нет, то на лупбек не надо вешать адрес VoIP-сервера
и менять его тоже не надо, пусть будет какой сейчас работаеть.
Циске на лупбек повесить другой адрес из сети, за счет arp proxy
роутинг трафика будет работать как ни в чём не бывало.
Eugene
--
И знатную леди от Джуди О'Греди
Hе сможет никто отличить.
Victor Kakhnych
Jan 25, 2017, 4:14:58 AM1/25/17
to
Hello Anton!
24 Jan 17 13:40, you wrote to Eugene Grosbein:
AG> Ещё бы мело оно это..
AG> radius attribute calling-station-id format ?
AG> agent-circuit-id Build Calling-ID string with agent circuit id
AG> agent-remote-id Build Calling-ID string with agent remote id
AG> description Build Calling-ID string with VC-description
AG> hostname Build Calling-ID string with host name
AG> slot-port Build Calling-ID string with slot-port info
AG> Мак оно передаёт, но в своём аттрибуте, vendor-specific
AG> AVP: l=25 t=Vendor-Specific(26) v=Ericsson, Inc. (formerly 'RedBack
AG> Networks')(2352) AVP Type: 26 AVP Length: 25
AG> VSA: l=19 t=Mac-Addr(145): e0-3f-49-52-c2-fd
AG> Вот сижу соображаю как мне вот это получить и загнать в
AG> calledstationid или какое либо другое поле..
У меня так в radiusd.conf:
attr_rewrite mac_to_caller_id {
attribute = Calling-Station-Id
searchin = packet
searchfor = ""
replacewith = "%{Client-Mac-Address}"
ignore_case = yes
new_attribute = yes
max_matches = 1
append = no
}
Victor
0 new messages