Показать сообщение отдельно
  #13  
Старый 21.01.2017, 12:40
Anton Gorlov
Guest
 
Сообщений: n/a
По умолчанию роутинг между vrf

Anton Gorlov написал(а) к Valery Lutoshkin в Jan 17 11:05:40 по местному времени:

Привет Valery!

21 янв 17 года (а было тогда 00:28)
Valery Lutoshkin в своем письме к Anton Gorlov писал:

VL>>> дополнительный виртуальный интерфейс с серым адресом гораздо
VL>>> правильнее.
AG>> В общем случае да не проблема что идут после ната.
AG>> Но с другой стороны если чт офиш найдёш кто флудит.
VL> Ну опять же, если нат дает таблицу трансляций - в ней всё видно.

То каконо это выдаёт..отдельная история. Redback SE100 логи ната очень интересные.
По ним фиг найдёшь кто из 20 серых был заNATен в такой-то белый.
А учитывая что в 1 белый натятся 20 серых у меня... найти кто етсь кто практически нереально по логу ната. Только по netflow кое-как можно отследить, зная dst и время..ну и в данном случае глядя на pps/количесво трафика (у флудераста они будут таки выше чем у обычных юзеров).

AG>> 2 линк на сервере ещё больший гемморой, так как нужно будет
AG>> рисовать таблицу роутинга ещё на самом сервере, что зло.
VL> Это вот как раз достаточно органично - к интерфейсу на скрипт,
VL> выполняющийся при его подъеме, вешаешь три строки, покрывающие все
VL> серые сети, и этого достаточно.

В рамках 1 сервреа да. Но кога их больше 1.. при каком либо измении надо будет не забывать править скрипт накаждом сервере. Можно его коненчо в puppet загнать... но всё равно как-то не комильфо. Я считаю что на серверах должен быть 1 маршрут,а всё остальное на самом маршрутизаторе должно расскидываться.

AG>> В общем случае мне хотелось бы видить запросы из серой сети
AG>> внутри моей AS на своих серверах без NAT-а. Не на всех но на
AG>> основных.
VL> Ну если хочешь - кто ж тебя остановит :)

Уху. Но вот пока не могу выбрать из 2 зол...

VL> Просто представь себе таблицы маршрутизации, которые у тебя будут.
VL> Если они тебе покажутся логически комфортными - ну почему и нет. Как
VL> говорится, think like a router.
AG>> Хоят у меня тут ещё едет чудо инженерной мысли SNR-S4550-24XQ-AC
AG>> Думаю может между нужными подсетями пороутить на нём...?
VL> Принципиально ничего не поменяется, врфы вполне подходят для твоих
VL> задач. Разве что тебе повезло с железкой и она будет рушить таблицы
VL> маршрутизации при настройках лика - тогда внешней железкой ты от
VL> такого риска закроешься. Но сломать себе маршрутизацию можно и с
VL> внешним маршрутизатором :)


Пока ещё не знаю какна SE100 отрабатывает bgp/ospf. Там пока голая статика с 1 маршрутом в пограничный.
Как раз думаю что делать между брасом и 65 циской.. bgp или ospf







С уважением. Anton aka Stalker

Linux Registered User #386476
[#TEAM:*#] [#Злой СисОп_#] [*Нeavy Metal!*] [*_Усачи]
--- GoldED+/LNX 1.1.5-b20160322
Ответить с цитированием