Показать сообщение отдельно
  #8  
Старый 15.01.2017, 10:44
Valery Lutoshkin
Guest
 
Сообщений: n/a
По умолчанию роутинг между vrf

Valery Lutoshkin написал(а) к Anton Gorlov в Jan 17 12:53:37 по местному времени:

Нi, Anton!

14 Jan 2017 13:28, Anton Gorlov wrote to Valery Lutoshkin:
AG>>> Коллеги аскажите пожалуйста на сколько плохо/не хорошо делать
AG>>> роутинг между разными vrf? Кажется route-leaking это называется
VL>> Нет в этом ничего плохого, главное - понимать зачем это тебе надо.
VL>> Для контролируемого перетекания трафика между инстансами - это самое
VL>> то.

VL>> Некоторые платформы (например, 7600 на некоторых иосах) очень
VL>> болезненно относятся к ликингу, вплоть до полной зачистки таблиц
VL>> маршрутизации в процессе, поэтому осторожнее с экспериментами в
VL>> продакшне.

AG> В обем у меня ситуация такая:
AG> Дано 3 vrf
AG> 1) MGMT
AG> 2) VRF_GREY - всё что с серыми ипишиниками - VoIp, IPTV приставки для
AG> выпуска онных в интернет на сервера CAS и так далее 3) VRF_WНITE
AG> сервера,клиенты после ната на брасах и так далее.
AG> Сейчас все клиенты уже после NAT на брасах попадают VRF_WНITE и далее уже
AG> на DNS. Надоело что все клиенты попадают на DNS уже после nat на брасе
AG> (для клиентов с серыми IP). Поэтому и хотел проложить роут до серверов DNS
AG> через vrfgey в vrfwhite. Но только до DNS и ещё парочки серверов.
AG> Выдавать клиентам с серыми IP отдельные сервера DNS или плодить на
AG> серверах ещё по интерфейсу в сторону серых не хочется.

Я бы так не делал, и дело даже не в ликинге. Маршрутизация между серыми и
белыми адресами - это дорога в ад. Технически, конечно, ты так сделать можешь,
но это и тебе, и всем остальным людям, кто причастен сейчас или будет причастен
в сколь угодно отдаленном будущем к администрированию этой сети, нужно будет
помнить о том, что сделан вот такой вот косяк. Это очень дорого в эксплуатации.

Не очень понимаю, в чем ты видишь проблему, что в DNS клиенты приходят после
ната. Ну приходят - и приходят. Если тебе не нужно управлять респонсами на
уровне per-client - то и пусть приходят. Если нужно per-client - то добавить
своим серверам дополнительный виртуальный интерфейс с серым адресом гораздо
правильнее.

Но если тебе прямо хочется сделать так, как ты описал - то сделать это можно,
никаких технических препятствий нет. Не забыть только обеспечить и обратные
маршруты - серверы должны будут знать, куда отправлять пакеты для серых
адресов, если у них просто дефолт в белый vrf - придется еще и ликать серые
сети в белый vrf.

Но я бы так не делал.

Bye, Valery

--- GoldED+/W32-MINGW 1.1.5-b20150715
Ответить с цитированием