Alexey Vissarionov написал(а) к Anton Gorlov в Jan 17 14:14:44 по местному времени:

Доброго времени суток, Anton!
21 Jan 2017 11:05:40, ты -> Valery Lutoshkin:

AG>>> 2 линк на сервере ещё больший гемморой, так как нужно будет
AG>>> рисовать таблицу роутинга ещё на самом сервере, что зло.
VL>> Это вот как раз достаточно органично - к интерфейсу на скрипт,
VL>> выполняющийся при его подъеме, вешаешь три строки, покрывающие
VL>> все серые сети, и этого достаточно.
AG> В рамках 1 сервреа да. Но кога их больше 1.. при каком либо измении
AG> надо будет не забывать править скрипт накаждом сервере.

Я использую типовую конфигурацию: все физические сетевые карты в один бридж с поддержкой STP, в этом бридже нарезаем VLANы и дальше работаем с ними. Адреса назначаются DНCP-сервером (в каждом VLANе) при установке, сохраняются в конфиги сервера и в дальнейшем используются как статические (демон DНCP обучен делать ARP ping для проверки доступности адреса).

А дальше все просто: эти же серверы выполняют NAT (а заодно еще кое-какие полезные функции помимо уже упомянутых DНCP и DNS). Сколько меня агитировали поставить хитрожопые железяки - ни одна из них даже близко не подходила к линуксовому ядерному netfilter :-)

AG> Можно его коненчо в puppet загнать... но всё равно как-то не комильфо.

Немного оффтопично, но я бы собрал пакет и поднял локальную репу.
man rpmbuild
man createrepo

AG> Я считаю что на серверах должен быть 1 маршрут,а всё остальное на
AG> самом маршрутизаторе должно расскидываться.

В общем случае - абсолютно правильный подход. В частности, почти на всех моих серверах маршрутизация выглядит так:

# ip route
default dev venet0 scope link

Но, например, вышеописанные NAT-ящики ближе не к серверам, а к сетевому оборудованию, да и вообще эта граница за прошедшие лет 10 изрядно размылась.

AG>>> В общем случае мне хотелось бы видить запросы из серой сети
AG>>> внутри моей AS на своих серверах без NAT-а. Не на всех но на
AG>>> основных.
VL>> Ну если хочешь - кто ж тебя остановит :)
AG> Уху. Но вот пока не могу выбрать из 2 зол...

Я бы серверу DNS дал доступ в сеть 100.64.0.0/10 (надеюсь, ты используешь специально выделенные адреса RFC-6598 вместо RFC-1918). Но, так как не знаю топологию твоей сети, порекомендую `sysctl -w net.ipv4.ip_forward=0`

AG> Пока ещё не знаю какна SE100 отрабатывает bgp/ospf. Там пока голая
AG> статика с 1 маршрутом в пограничный. Как раз думаю что делать между
AG> брасом и 65 циской.. bgp или ospf

Под игрока - с семака, под виста - с туза :-)

Ну, то есть, между своими железяками - VLAN trunk и OSPF, на стыке с чужими (хоть клиент со своим блоком адресов, хоть аплинк) - access и BGP. Это, разумеется, не догма, но соблюдение такого правила сильно упрощает жизнь.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Чем глубже голова спрятана в песок, тем беззащитней задница
--- /bin/vi