роутинг между vrf

Anton Gorlov написал(а) к Eugene Grosbein в Jan 17 12:25:22 по местному времени:

Привет Eugene!

22 янв 17 года (а было тогда 05:19)
Eugene Grosbein в своем письме к Anton Gorlov писал:


AG>> Сейчас топология после прошлого админа только только
AG>> вырисовывается. Напримре у него сервре радиуса висел втом же
AG>> влане чтои влан управлния свитчами доступа...и всё управление
AG>> доступом было в 1 влане с маской /24.. Аха свыше 200 железок в 1
AG>> влане..
EG> Это совершенно нормально в 2017. Если у тебя нынче сетка имеет хоть
EG> какие-то проблемы с 250 свичами в менеджмент-влане, то у тебя или
EG> допотопное железо, или почему-то 10-мегабитный линк с полудуплексом
EG> :-)

Ну..Пока ещё в сети ещё хватает DES-3200-52 с их вечнымми коллизиями маков.
Ну и опять же когда в сегменте бегает слишком много bpdu пакетов тоже не хорошо.

EG> На самом деле можно даже 500 хостов в одном влане держать и ничего
EG> плохого не будет. Не конец 1990-х на дворе.

Мб оно и так..но я предпочитаю всё таки влан упралвния сегментировать.


С уважением. Anton aka Stalker

Linux Registered User #386476
[#TEAM:*#] [#Злой СисОп_#] [*Нeavy Metal!*] [*_Усачи]
--- GoldED+/LNX 1.1.5-b20160322

Anton Gorlov написал(а) к Eugene Grosbein в Jan 17 12:16:44 по местному времени:

Привет Eugene!

22 янв 17 года (а было тогда 05:21)
Eugene Grosbein в своем письме к Anton Gorlov писал:

AG>> Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
EG> Если тебе нужен SQL-бекенд для DНCP, то зачем вообще держаться
EG> за ISC DНCPD, за какой надобностью? Бери FreeRADIUS с его
EG> DНCP-модулем, настраивай лазать в какую хочешь базу (хоть даже в MS
EG> SQL :-), работает.


Окак..Не знал что к freeradius приделали dhcp

А поддержка opt82 и запрсов с dhcp-релеев по юникасту в нём есть?

С уважением. Anton aka Stalker

Linux Registered User #386476
[#TEAM:*#] [#Злой СисОп_#] [*Нeavy Metal!*] [*_Усачи]
--- GoldED+/LNX 1.1.5-b20160322

Anton Gorlov написал(а) к Eugene Grosbein в Jan 17 12:18:56 по местному времени:

Привет Eugene!

22 янв 17 года (а было тогда 05:24)
Eugene Grosbein в своем письме к Anton Gorlov писал:

AG>> Скажемтак- сейчас меня сильно бесит, что если что яне могу
AG>> простымметодом найти кт оименно из клиентов флудит на тот или
AG>> иной сервер.. не изучив netflow логи. То есть если что нет
AG>> оперативности.
EG> Так пускай трафик своих клиенто к своим серверам без трансляции
EG> и никого не слушай. Внутри своей автономной системы вообще не делай
EG> различий между белыми и серыми адресами, она ни для чего не нужна.

Вот так и хочу. Но не хочу всё в 1 vrf пихать... Поэтому и ищу как наиболее правильно пустить трафик между 2 vrf


С уважением. Anton aka Stalker

Linux Registered User #386476
[#TEAM:*#] [#Злой СисОп_#] [*Нeavy Metal!*] [*_Усачи]
--- GoldED+/LNX 1.1.5-b20160322

Anton Gorlov написал(а) к Denis Ognewsky в Jan 17 12:20:08 по местному времени:

Привет Denis!

22 янв 17 года (а было тогда 07:14)
Denis Ognewsky в своем письме к Anton Gorlov писал:

DO>>>>> а как же tcpdump ?
AG>>>> И как по IP за натом ты узнаешь кто из клиентов это есть? Если
AG>>>> в 1 IP натится 20 серых?
DO>>> тисипидампить до ната. или прямо на том же тазике где нат.
AG>> Э.. ну я посмотрю как ты на брасе запустишь tcpdump :) У меня не
AG>> тазики, а redback se100
DO> ну там есть чтото типа debug ip packet, хотя это очень не удобно. но
DO> опять же ни что не мешает отзеркалить нужный трафик на тазик с
DO> tcpdump'ом

УКху..если ест ьсвободые SPAN сессии.
на 65 их всего 2. 1 ушла на СОРМ,а 2 на DPI
2 в следующем месяце конечно освобожу - едет L3 свитчик на который вынесу UPLINK брасов и туда же DPI и там же сделаю SPAN на DPI вместо 65.



С уважением. Anton aka Stalker

Linux Registered User #386476
[#TEAM:*#] [#Злой СисОп_#] [*Нeavy Metal!*] [*_Усачи]
--- GoldED+/LNX 1.1.5-b20160322

Eugene Grosbein написал(а) к Anton Gorlov в Jan 17 16:08:29 по местному времени:

22 янв 2017, воскресенье, в 13:16 NOVT, Anton Gorlov написал(а):

AG> Окак..Не знал что к freeradius приделали dhcp
AG> А поддержка opt82 и запрсов с dhcp-релеев по юникасту в нём есть?

Да, у меня именно так и работает - с opt82 и юникастом с релеев.

Eugene
--
И кого не любишь, в лицо не знать, и смотреть на звезды и жить спокойно.
--- slrn/1.0.2 (FreeBSD)

Eugene Grosbein написал(а) к Anton Gorlov в Jan 17 16:25:11 по местному времени:

22 янв 2017, воскресенье, в 13:25 NOVT, Anton Gorlov написал(а):

EG>> Это совершенно нормально в 2017. Если у тебя нынче сетка имеет хоть
EG>> какие-то проблемы с 250 свичами в менеджмент-влане, то у тебя или
EG>> допотопное железо, или почему-то 10-мегабитный линк с полудуплексом
EG>> :-)
AG> Ну..Пока ещё в сети ещё хватает DES-3200-52 с их вечнымми коллизиями маков.

А можно ссылочку на информацию о том, что у DES-3200 коллизии FDB?

AG> Ну и опять же когда в сегменте бегает слишком много bpdu пакетов тоже не
AG> хорошо.

Если ты думаешь, что сегментирование management vlan уменьшит тебе bpdu,
то у меня для тебя плохие новости... они же не форвардятся по сети,
а ходят между физическими портами свичей.

EG>> На самом деле можно даже 500 хостов в одном влане держать и ничего
EG>> плохого не будет. Не конец 1990-х на дворе.
AG> Мб оно и так..но я предпочитаю всё таки влан упралвния сегментировать.

Ну так и мы сегментируем. 250 свичей в одном сегменте /24,
следующие 250 в другом /24 и так далее. Когда у тебя десятки тысяч
свичей, такая сегментация вполне нормально работает.

Eugene
--- slrn/1.0.2 (FreeBSD)

Anton Gorlov написал(а) к Eugene Grosbein в Jan 17 13:50:38 по местному времени:

Привет Eugene!

22 янв 17 года (а было тогда 16:08)
Eugene Grosbein в своем письме к Anton Gorlov писал:


AG>> Окак..Не знал что к freeradius приделали dhcp
AG>> А поддержка opt82 и запрсов с dhcp-релеев по юникасту в нём есть?
EG> Да, у меня именно так и работает - с opt82 и юникастом с релеев.


Ооок.. Ща пойду читать про dhcp в freeradius..
1 фиг мне надо всопнмить как готовить фрирадиус, так как на текущем почеу-то в табицу сессий не попадают маки клиентов..хотя с железки они летят..


С уважением. Anton aka Stalker

Linux Registered User #386476
[#TEAM:*#] [#Злой СисОп_#] [*Нeavy Metal!*] [*_Усачи]
--- GoldED+/LNX 1.1.5-b20160322

Anton Gorlov написал(а) к Eugene Grosbein в Jan 17 15:38:16 по местному времени:

Привет Eugene!

22 янв 17 года (а было тогда 16:25)
Eugene Grosbein в своем письме к Anton Gorlov писал:

EG>>> Это совершенно нормально в 2017. Если у тебя нынче сетка имеет
EG>>> хоть какие-то проблемы с 250 свичами в менеджмент-влане, то у
EG>>> тебя или допотопное железо, или почему-то 10-мегабитный линк с
EG>>> полудуплексом
EG>>> :-)
AG>> Ну..Пока ещё в сети ещё хватает DES-3200-52 с их вечнымми
AG>> коллизиями маков.
EG> А можно ссылочку на информацию о том, что у DES-3200 коллизии FDB?

Где-то на наге инфа на эту тему была и тамже скриптики для тестов. Ну и ещёююу меня в сети часто попадаюся китайские сетвки у абонентв с одинаковыми маками. В осном на платах гигабайт и asrock
На стенде удавалось воспроизвести. Сейчас на доступы SNR ставим.

AG>> Ну и опять же когда в сегменте бегает слишком много bpdu пакетов
AG>> тоже не хорошо.
EG> Если ты думаешь, что сегментирование management vlan уменьшит тебе
EG> bpdu, то у меня для тебя плохие новости... они же не форвардятся по
EG> сети, а ходят между физическими портами свичей.
EG>>> На самом деле можно даже 500 хостов в одном влане держать и
EG>>> ничего плохого не будет. Не конец 1990-х на дворе.
AG>> Мб оно и так..но я предпочитаю всё таки влан упралвния
AG>> сегментировать.
EG> Ну так и мы сегментируем. 250 свичей в одном сегменте /24,
EG> следующие 250 в другом /24 и так далее. Когда у тебя десятки тысяч
EG> свичей, такая сегментация вполне нормально работает.

Аха..а мне по наследству досталось овер 400 железок в сети с маской /16 в влане упралви..и в это же влане висело управление..тогда ещё недоядром -вязанка из 7 зукселей XGS-4728F на которых пытались строить ядро. 1 делом что сделал когда пришёл - убедил купить 65 циску с 2 супами.. А зукселя ушли на агрегации и выносы.

Сейчас побаболь - это IP-телефония с сетью 172.25.255.240/16 которая по всему городу в 1 влане и порой особо ушлые абоненты по ней гоняют между собой трафик. Что тут поделать пока даже не представляю..учитывая что там овер 2к абонентов по всему городу и все настройки вбиты статиком в адаптеры. Благо оно хоть в отдельном влане от PPPoE (PPPoЕ у меня по влану на дом/доступ)





С уважением. Anton aka Stalker

Linux Registered User #386476
[#TEAM:*#] [#Злой СисОп_#] [*Нeavy Metal!*] [*_Усачи]
--- GoldED+/LNX 1.1.5-b20160322

Denis Ognewsky написал(а) к Eugene Grosbein в Jan 17 17:06:15 по местному времени:

From: "Denis Ognewsky" <Denis_Ognewsky@p70.f830.n5020.z2.fidonet.org>

Нello, Eugene Grosbein.
On 22.01.17 13:40 you wrote:

AG>>>>> Жалко,чтов isc dhcpd нет поддержки sql-бэкендов..
DO>>>> sql это медленно. я скриптом генерю конфиг.
EG>>> Ничего не медленно. Выдача адреса 1000 одновременно ломящимся
EG>>> клиентам в течение 2 секунд суммарно это медленно?
DO>> а если 10000 ? у меня такое бывает.
EG> У тебя у 10000 клиентов односекундно моргает линк на порту и все
EG> разом ломятся обновлять аренду адреса? Извини, не верю.

ну как то серьёзную магистраль переносили. несколько микрорайонов без связи на некоторое время остались. с резервом тоже какие то проблемы были. да и не везде резерв есть.

--
Best regards!
Posted using Нotdoged on Android
--- НotdogEd/2.12 (Android; Google Android; rv:1) Нotdoged/1482374710000 НotdogEd/2.12

Denis Ognewsky написал(а) к Anton Gorlov в Jan 17 17:19:25 по местному времени:

From: "Denis Ognewsky" <Denis_Ognewsky@p70.f830.n5020.z2.fidonet.org>

Нello, Anton Gorlov.
On 22.01.17 14:22 you wrote:

AG>>> Как минимум для отработки соответствующих запросов из органов.
AG>>> Нужна инфгмация об том кому в тот или иной момен твремени
AG>>> выдавался тот или иной IP
DO>> аа. просто я по dhcp выдаю одни и теже ip-адреса. привязка кому
DO>> какой, когда ip выдавался сразу в базе лежит.
AG> У меня сейчас PPPoE.. оно было до меня и до IpOE пока руки не
AG> дошли.

PPPoE прекрасно хранит лог в таблице radacct благодаря радиусу. впрочем вам виднее чего и как у вас устроено.

--
Best regards!
Posted using Нotdoged on Android
--- НotdogEd/2.12 (Android; Google Android; rv:1) Нotdoged/1482374710000 НotdogEd/2.12