Anton Gorlov написал(а) к Alexey Vissarionov в Jan 17 19:16:48 по местному времени:

Привет Alexey!

21 янв 17 года (а было тогда 14:14)
Alexey Vissarionov в своем письме к Anton Gorlov писал:


AV> Я использую типовую конфигурацию: все физические сетевые карты в один
AV> бридж с поддержкой STP, в этом бридже нарезаем VLANы и дальше работаем
AV> с ними. Адреса назначаются DНCP-сервером (в каждом VLANе) при
AV> установке, сохраняются в конфиги сервера и в дальнейшем используются
AV> как статические (демон DНCP обучен делать ARP ping для проверки
AV> доступности адреса).

У меня дЛ серверов dhcp нет. ибо серверов менее десятка и dhcp тут в оебьм-то совсем не нужен. Я итак знаю куда какой IP выделен..и разумеется когда запускается что-то новое - о выделенный IP записываеся в спец табличку, где помимо прочего написано кто санкционировал и так далее.

AV> А дальше все просто: эти же серверы выполняют NAT (а заодно еще
AV> кое-какие полезные функции помимо уже упомянутых DНCP и DNS).

У меня в общем случае NAT только у клиентов.

AG>> Можно его коненчо в puppet загнать... но всё равно как-то не
AG>> комильфо.
AV> Немного оффтопично, но я бы собрал пакет и поднял локальную репу.
AV> man rpmbuild
AV> man createrepo

В репах у меня токо те пакеты котрых нет в дистрибе или гдле чтото отличается по набору/опциям от апстрима. Обычне конфигипредпочитаю паппетом раскатывать.

AG>> Я считаю что на серверах должен быть 1 маршрут,а всё остальное на
AG>> самом маршрутизаторе должно расскидываться.
AV> В общем случае - абсолютно правильный подход. В частности, почти на
AV> всех моих серверах маршрутизация выглядит так:
AV> # ip route
AV> default dev venet0 scope link

Вот и я к этому стремлюсь. Разбирая сервреа со 100500 интерфейсами и 100500 роутами в различных позах.
Причём порой внезвапно ловлю чсервера где физически 1 подсетка на 1 сервер прописана скажем как /27..а на тазике рядом как /24.
И при этом то что было нарезавно на подсептки..не вланами..а алаиасами на 1 влане висело.

AV> Но, например, вышеописанные NAT-ящики ближе не к серверам, а к
AV> сетевому оборудованию, да и вообще эта граница за прошедшие лет 10
AV> изрядно размылась.

уху. Н оу меня нат только на брасах. А дальше обычный роутинг.

AG>>>> В общем случае мне хотелось бы видить запросы из серой сети
AG>>>> внутри моей AS на своих серверах без NAT-а. Не на всех но на
AG>>>> основных.
VL>>> Ну если хочешь - кто ж тебя остановит :)
AG>> Уху. Но вот пока не могу выбрать из 2 зол...
AV> Я бы серверу DNS дал доступ в сеть 100.64.0.0/10 (надеюсь, ты
AV> используешь специально выделенные адреса RFC-6598 вместо RFC-1918).
AV> Но, так как не знаю топологию твоей сети, порекомендую `sysctl -w
AV> net.ipv4.ip_forward=0`


Сейчас топология после прошлого админа только только вырисовывается. Напримре у него сервре радиуса висел втом же влане чтои влан управлния свитчами доступа...и всё управление доступом было в 1 влане с маской /24.. Аха свыше 200 железок в 1 влане..

В общем случае трафик с браса по л2 бежит на циску.а там дальше на бгп и с бгп или наружу или на внутенние сервисы опять по л2 на циске в соседнем влане.
А сейчас постепенно ввожу на циске л3 и внутренний трафик до bgp не будет вообще долетать.
А то сейчас мегакостыль
bras(NAT) ->cisco(L2)->BGP->CISCO(L2)->Int_Servers

Копаю в сторону, что бы на BGP с брасов попадал только внешний трафик,а всё внутреннее разруливалось на 65 циске и/или рядом стоящем л3 свитче

На серверах форвардинг разумеется выключен. Вернее включен только на оффисной проксе.

AV> Под игрока - с семака, под виста - с туза :-)
AV> Ну, то есть, между своими железяками - VLAN trunk и OSPF, на стыке с
AV> чужими (хоть клиент со своим блоком адресов, хоть аплинк) - access и
AV> BGP. Это, разумеется, не догма, но соблюдение такого правила сильно
AV> упрощает жизнь.

Местами транк в сторону клиента, там где несколько услуг - например инет, ип-телефония и мультикаст.
И то такая жопа в основном из-за телефонии, так как её предыдущий гений тоже не роутит нифига, а сдел всю в 1 влане на 2к адресов и статиком на адаптеры понапрописывали руками адреса.
Сейчас вот ещё раскуриваю dhcp opt 82

Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..


С уважением. Anton aka Stalker

Linux Registered User #386476
[#TEAM:*#] [#Злой СисОп_#] [*Нeavy Metal!*] [*_Усачи]
--- GoldED+/LNX 1.1.5-b20160322