Тема: роутинг между vrf
Показать сообщение отдельно
  #12  
Старый 20.01.2017, 21:50
Valery Lutoshkin
Guest
  
Сообщений: n/a
По умолчанию роутинг между vrf
Valery Lutoshkin написал(а) к Anton Gorlov в Jan 17 00:28:50 по местному времени:

Нi, Anton!

18 Jan 2017 16:50, Anton Gorlov wrote to Valery Lutoshkin:
VL>> Не очень понимаю, в чем ты видишь проблему, что в DNS клиенты
VL>> приходят после ната. Ну приходят - и приходят. Если тебе не нужно
VL>> управлять респонсами на уровне per-client - то и пусть приходят. Если
VL>> нужно per-client - то добавить своим серверам дополнительный
VL>> виртуальный интерфейс с серым адресом гораздо правильнее.
AG> В общем случае да не проблема что идут после ната.
AG> Но с другой стороны если чт офиш найдёш кто флудит.

Ну опять же, если нат дает таблицу трансляций - в ней всё видно.

AG> 2 линк на сервере ещё больший гемморой, так как нужно будет рисовать
AG> таблицу роутинга ещё на самом сервере, что зло.

Это вот как раз достаточно органично - к интерфейсу на скрипт, выполняющийся
при его подъеме, вешаешь три строки, покрывающие все серые сети, и этого
достаточно.

AG> В общем случае мне хотелось бы видить запросы из серой сети внутри моей AS
AG> на своих серверах без NAT-а. Не на всех но на основных.

Ну если хочешь - кто ж тебя остановит :)

VL>> Но если тебе прямо хочется сделать так, как ты описал - то сделать
VL>> это можно, никаких технических препятствий нет. Не забыть только
VL>> обеспечить и обратные маршруты - серверы должны будут знать, куда
VL>> отправлять пакеты для серых адресов, если у них просто дефолт в белый
VL>> vrf - придется еще и ликать серые сети в белый vrf.
VL>> Но я бы так не делал.
AG> Да. Но есть некотоыре белые подсети..не все..куда хотелось бы ходить без
AG> ната. Я согасен даже вынести их в отдельный vrf.

Просто представь себе таблицы маршрутизации, которые у тебя будут. Если они
тебе покажутся логически комфортными - ну почему и нет. Как говорится, think
like a router.

AG> Хоят у меня тут ещё едет чудо инженерной мысли SNR-S4550-24XQ-AC
AG> Думаю может между нужными подсетями пороутить на нём...?

Принципиально ничего не поменяется, врфы вполне подходят для твоих задач.
Разве что тебе повезло с железкой и она будет рушить таблицы маршрутизации при
настройках лика - тогда внешней железкой ты от такого риска закроешься. Но
сломать себе маршрутизацию можно и с внешним маршрутизатором :)

Bye, Valery

--- GoldED+/W32-MINGW 1.1.5-b20150715
Ответить с цитированием