|
GRE тунель и маршрутизация между 3-мя и более точками
Автор |
Сообщение |
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
На обеих Spoke прописываю глобальный маршрут в 10.0.0.0 255.0.0.0 через Туннель 1, верно?
А в Null со Spoke"ов отсылать в какие подсети, каждый Spoke в свою, верно? То есть 10.1.0.0 255.255.0 в Null и 10.2.0.0 255.255.0.0 в Null? Правильно? И никаких других маршрутов прописывать не нужно, верно? Вот у меня так пока не работает.
|
04 ноя 2019, 23:52 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
да трёх точек уже имеет смысл DMVPN или FlexVPN поднять - это можно сделать за полчаса, нежели неделями писать на форуме банальные вещи..
|
05 ноя 2019, 00:17 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
root99 писал(а): да трёх точек уже имеет смысл DMVPN или FlexVPN поднять - это можно сделать за полчаса, нежели неделями писать на форуме банальные вещи.. Вы обо мне хорошего мнения, Если я за неделю не способен осмыслить банальных вещей, то DMVPN буду несколько месяцев осваивать...
|
05 ноя 2019, 00:35 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
root99 писал(а): для трёх точек уже имеет смысл DMVPN или FlexVPN поднять - это можно сделать за полчаса Да, хорошая шутка. Вот только DMVPN тут и не хватало, когда со статикой проблемы. Не парьтесь. Для человека это хобби, он просто так развлекается.
_________________ Knowledge is Power
|
05 ноя 2019, 00:50 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
Silent_D писал(а): root99 писал(а): для трёх точек уже имеет смысл DMVPN или FlexVPN поднять - это можно сделать за полчаса Да, хорошая шутка. Вот только DMVPN тут и не хватало, когда со статикой проблемы. Не парьтесь. Для человека это хобби, он просто так развлекается. Ну, в любом случае, все же не хотелось бы, чтобы мои намерения воспринимались несерьезно, точнее моё отношение и желание понять и научиться. Мне эта область интересна; время от времени возникают задачи, которые интересно решать; некой готовой, пережеванной информации мне не требуется, не за этим я сюда прихожу. Мне понятно, что с высоты ваших знаний мои вопросы и задачи вызывают иронию и желание лишний раз посмеяться над нехваткой знаний, уровнем интеллекта и умениями, но мы все разные, порой сложно угадать и знать, что за человек здесь пишет, как он и что с ним вообще. И это нормально, я не обижаюсь, так мы все устроены. Просто спасибо за помощь всем кто пытается помочь разобраться.!
|
05 ноя 2019, 10:48 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
Если есть "желание понять и научиться", что хорошо, то нужно таки что-нибудь почитать. Что, мы ранее обсуждали. На форуме имеет смысл задавать конкретные вопросы, в которых что-то непонятно. Никто не будет здесь разжевывать все с нуля и дублировать 500 страниц курса CCNA. siqueiros писал(а): И это нормально, я не обижаюсь Это правильно. "Обидчивость - это признак низкого интеллекта." Все нужно воспринимать с долей юмора, и себя в первую очередь.
_________________ Knowledge is Power
|
05 ноя 2019, 11:25 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
Silent_D писал(а): siqueiros писал(а): И это нормально, я не обижаюсь Это правильно. "Обидчивость - это признак низкого интеллекта." Все нужно воспринимать с долей юмора, и себя в первую очередь. С юмором, да конечно, но без объективной оценки своих интеллектуальных способностей сложно в любом случае; выше головы не перепрыгнешь . Обида вообще глупая вещь, в знаниях так вообще, обижаться даже на самого себя не стоит. И зачем обижаться, если можно научиться . Кстати, хочу прояснить с вашей помощью следующий момент; как работает маска сети и обратная маска в контексте маршрутизации, в ACL и правилах NAT?Вот я вроде бы основы подсетирования понимаю. Понимаю что из себя представляет сеть, могу поделить сеть на подсети, применить разной битовой длины маски, увеличить или уменьшить количество хостов или подсетей с помощью маски. /24 битовая маска даст мне 254 хоста в сети, и к примеру маска в /29 бит сможет ограничить количество хостов до 6, а количество возможных подсетей увеличить. Но в плане использования маски в маршрутизации, в правилах ACL мне кажется я некоторые вещи делаю наугад, не до конца понимая. Вот к примеру при анонсе статического маршрута; допустим у меня удаленная сеть состоящая из 3-х VLAN локальных подсетей, доступ к которым я хочу объявить своему маршрутизатору. К примеру это сети 10.1.1.1, 10.1.2.1, 10.1.3.1. Если я объявлю одну сеть 10.0.0.0 с маской в 255.0.0.0, то охвачу ли я этим анонсом все подсети удаленной сети или это будет ошибкой? Или этот анонс будет относиться конкретно к одной, гигантской сети 10.0.0.0 с 16 777 000 хостами, а нужные мне сети 10.1.1.1-10.1.3.1 вообще не будут учтены с таким анонсом.? ACL правила как известно работают с обратными масками. Такой же пример, допустим при настройке PAT и задаче разрешить трансляцию адресов всем локальным VLAN. Правило permit 10.0.0.0 с обратной маской 255.0.0.0 разрешит всем подсетям и хостам в VLANах от 10.1.1.1 до 10.1.3.1 трансляцию адресов/портов или же такое правило будет работать только конкретно для сети с адресом 10.0.0.0 и всех 16 700 000 хостов в ней?
|
09 ноя 2019, 17:19 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
siqueiros писал(а): Кстати, хочу прояснить с вашей помощью следующий момент; как работает маска сети и обратная маска в контексте маршрутизации, в ACL и правилах NAT? У вас эти вопросы появились после прочтения вышеуказанных материалов или вместо? Сеть и маска (или обратная маска - reverse (wildcard) mask) - это механизм проверки IP адреса на соответствие некоторому условию. Маска накладывается на IP адрес и сравнивается со значением сети в условии. Равно или не равно. А вот цель этой проверки зависит от контекста. Обычная маска и обратная - это почти одно и то же, с той разницей, что обычная маска - сплошная, т.е. сначала всегда идут только 1, а потом только 0, используется в маршрутизации. Тогда как обратная в общем случае может быть произвольной комбинацией 0 и 1, используется в ACL. https://en.wikipedia.org/wiki/Wildcard_maskhttps://ip-calculator.ru/
_________________ Knowledge is Power
|
10 ноя 2019, 06:20 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
Silent_D писал(а): siqueiros писал(а): Кстати, хочу прояснить с вашей помощью следующий момент; как работает маска сети и обратная маска в контексте маршрутизации, в ACL и правилах NAT? У вас эти вопросы появились после прочтения вышеуказанных материалов или вместо? Просвещаюсь, можете быть уверены. Ни в коем случае не хочу упростить понимание через готовые ответы, просто через обсуждение надеюсь понять правильно; я думаю и надеюсь, что возможно даже эти простые задачи и обсуждение могут вдруг быть полезными для кого-то еще, кто в начале пути. Silent_D писал(а): [Сеть и маска (или обратная маска - reverse (wildcard) mask) - это механизм проверки IP адреса на соответствие некоторому условию. Маска накладывается на IP адрес и сравнивается со значением сети в условии. Равно или не равно. А вот цель этой проверки зависит от контекста.
/ Я хотел понять в контексте статической маршрутизации; маска 255.0.0.0 сделает анонс только одной, гигантской сети 10.0.0.0 в которой 16,777,214 хостов? Или же это будет анонс одновременно и 16 миллионов хостов ! и также всех возможных подсетей !! в этом диапазоне сети класса А ; от 10.0.0.0 — 10.255.255.255 ?
|
10 ноя 2019, 15:20 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
siqueiros писал(а): Я хотел понять в контексте статической маршрутизации; маска 255.0.0.0 сделает анонс только одной, гигантской сети 10.0.0.0 в которой 16,777,214 хостов? Анонсы маршрутов имеют смысл только в контексте динамической маршрутизации. И научитесь уже пользоваться отладочными инструментами: Silent_D писал(а): Есть такая полезная команда - Изучать вывод вдумчиво.
_________________ Knowledge is Power
|
10 ноя 2019, 16:00 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
Silent_D писал(а): siqueiros писал(а): Я хотел понять в контексте статической маршрутизации; маска 255.0.0.0 сделает анонс только одной, гигантской сети 10.0.0.0 в которой 16,777,214 хостов? Анонсы маршрутов имеют смысл только в контексте динамической маршрутизации. Ну, хорошо, пускай это будет не "анонс", если он является ошибочным в терминологии статической маршрутизации, а просто маршрут. Или рассмотрите мой пример в контексте динамической маршрутизации, если этот термин "анонс" будет корректным. Главное, что хотел бы я понять, это принцип работы маски. Восьми битная маска /8, (255.0.0.0) выстроит маршрут во все диапазоны/блоки сети класса А или же это будет только лишь маршрут в сеть 10.0.0.0 с 16,777,214 хостами в ней? И доступ в подсети 10.1.1.1, 10.2.1.1, 10.3.1.1, 10.10.х.х, 10.100.х.х., 10.200.х.х. работать при такой /8 маске не будет!!, маршрут будет только в сеть 10.0.0.0! Silent_D писал(а): Есть такая полезная команда - Изучать вывод вдумчиво. Вот ставлю Cisco Packet Tracer, попробую создать модель сети там и проверить работу маски. sh ip route давно знаю, даю команду, смотрю проверяюсь, вроде что-то различаю, что-то не совсем, но пока это не очень помогает.
|
10 ноя 2019, 17:21 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
siqueiros писал(а): Главное, что хотел бы я понять, это принцип работы маски. Принцип работы маски я вам объяснил двумя постами ранее (если вы не знали). Дальше начинается принцип работы маршрутизации, что подробно изложено в материалах, которые вы упорно не хотите читать. Чукча не читатель? Díctum sápientí sat est.
_________________ Knowledge is Power
|
11 ноя 2019, 06:35 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
Silent_D писал(а): siqueiros писал(а): Главное, что хотел бы я понять, это принцип работы маски. Принцип работы маски я вам объяснил двумя постами ранее (если вы не знали). Дальше начинается принцип работы маршрутизации, что подробно изложено в материалах, которые вы упорно не хотите читать. Чукча не читатель? Díctum sápientí sat est. Спасибо за помощь, статическую маршрутизацию вроде как осознанно настроил, , по-крайней мере начал понимать основной принцип работы, раньше как-то больше вслепую "забивал" маршрут. У меня еще ошибка в настройке GRE туннеля была, я ссылался на Loopback интерфейс в качестве Source, а так видимо нельзя делать, снаружи он не виден, поэтому маршрут через одно место работал. Буду продвигаться дальше, разбираюсь с динамической маршрутизацией теперь, EIGRP попробовал применить на всех точках, тоже вроде работает. Наверное надо DMVPN разобрать тоже и туннели перевести на него.
|
04 дек 2019, 22:59 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
siqueiros писал(а): ... Наверное надо DMVPN разобрать тоже и туннели перевести на него. Это нужно было сделать лет 10 назад.
|
05 дек 2019, 07:35 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
_2e_ писал(а): Это нужно было сделать лет 10 назад. На 3 узла оно и сейчас не нужно. Достаточно IPSec VTI и статики Full Mesh. Просто, понятно, надежно. Только, разве что, для изучения технологии.
_________________ Knowledge is Power
|
05 дек 2019, 07:48 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
Silent_D писал(а): _2e_ писал(а): Это нужно было сделать лет 10 назад. На 3 узла оно и сейчас не нужно. Достаточно IPSec VTI и статики Full Mesh. Просто, понятно, надежно. Только, разве что, для изучения технологии. Просто понятно надёжно немасштабируемо и платишь всем трём провам за белую статику. Бинго.
|
05 дек 2019, 08:09 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
_2e_ писал(а): Просто понятно надёжно немасштабируемо и платишь всем трём провам за белую статику. Бинго. Ну корпоративное подключение и так, как правило, делают со статикой /30. Если вы только не в большом бизнес-центре сидите. Да и стоит это копейки. Так что это не определяющий вопрос, к тому же здесь, насколько я понял, она уже есть.
_________________ Knowledge is Power
|
05 дек 2019, 08:18 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
_2e_ писал(а): siqueiros писал(а): ... Наверное надо DMVPN разобрать тоже и туннели перевести на него. Это нужно было сделать лет 10 назад. Если бы вы только знали, столько вообще всякого в моей жизни нужно было сделать ещё 10 лет назад! Что поделаешь, (вытирая скупую, мужскую слезу) нужно как-то продолжать дальше,при всем этом Кстати, а что сейчас в тренде, если я правильно вас понял, что DMVPN уже не совсем актуальный, современный способ объединения сетей? MPLS, SD WAN?
|
05 дек 2019, 10:12 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
_2e_ писал(а): Silent_D писал(а): _2e_ писал(а): Это нужно было сделать лет 10 назад. На 3 узла оно и сейчас не нужно. Достаточно IPSec VTI и статики Full Mesh. Просто, понятно, надежно. Только, разве что, для изучения технологии. Просто понятно надёжно немасштабируемо и платишь всем трём провам за белую статику. Бинго. Что-то в корпоративном секторе особой доплаты за белую статику не встречаю последнее время. Вот даже конкретно эта тема мой реальный кейс, три объекта в разных районах Москвы, три разных провайдера, один из них билайн, почти в области, Новорижское шоссе, остальные два малоизвестные, мелкие конторы в спальных районах юго-запада и северо-востока Москвы и везде белая статика бесплатна, никакой дополнительной платы нет (ни единого разрыва). Более того, обсуждал в свое время получение дополнительных адресов, (была идея поднять на гипервизоре несколько сервисов для удаленного доступа; сервер 1с, БД, веб, видео-наблюдение) и были предложения даже получения подсети /29, /28 за умеренную стоимость, по московским меркам, примерно по 10$ за доп. адреса получалось, если сейчас уже не путаю, за сетку /28 (14 адресов) просили 6-8т. рублей. А вот в домашнем секторе за белую статику, даже одну единственную приходится платить, у меня сейчас дома 300 рублей у провайдера обходится.
|
05 дек 2019, 10:35 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
Silent_D писал(а): _2e_ писал(а): Это нужно было сделать лет 10 назад. На 3 узла оно и сейчас не нужно. Достаточно IPSec VTI и статики Full Mesh. Просто, понятно, надежно. Только, разве что, для изучения технологии. Да, но насколько успел понять про принцип работы DMVPN, то работа протокола NHRP в нём довольно облегчает процесс настройки. Например маршрутизация встроенная, если я конечно правильно всё понял; вроде как дополнительно в настройках маршрутизации надобность отпадает, nhrp в DMVPN прокладывает маршруты между узлами. Или я заблуждаюсь и в любом случае потребуется настройка маршрутизации тоже?
|
05 дек 2019, 10:42 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
Пока тема не остыла и знатоки маршрутизации, туннелирования и объединения сетей не разбежались, позволю себе задать ещё один вопрос; — вот благодаря собравшимся я в общем-то разобрался с методами, (современными и не очень) site to site туннелей., а вот как лучше обеспечить доступ для мобильных пользователей предприятия в корпоративную сеть, это хотелось бы спросить. То есть т.н. client to site, когда пользователь с ноутбуком на Windows, Linux, Mac или даже с мобильным устройством типа планшета или смартфона на Андроид/iOS,не важно, должен получить временный доступ в корпоративную сеть для работы с серверными и иными службами в этой сети. Точнее говоря, дело в способе подключения клиента, то есть когда он вынужден использовать любую доступную сеть для выхода в интернет- LTE, публичный WiFi, домашний интернет,. Что-то нужно дополнительно поднимать поверх DMVPN / GRE ? Чтобы удаленный пользователь мог авторизироваться и получить доступ к ресурсам ? Поясните пожалуйста !
|
06 дек 2019, 18:14 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Для удалённого доступа есть Cisco AnyConnect
|
06 дек 2019, 20:07 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
root99 писал(а): Для удалённого доступа есть Cisco AnyConnect Это что-то проприетарное от циско, некий программный VPN клиент? Посмотрю, спасибо! Но, на самом деле имел ввиду какой нибудь более универсальный вариант организации доступа в корпоративную сеть, типа старых, добрых L2TP, PPTP? Но это всё уже наверное устарело, небезопасно и мало используется? Хотелось бы чтобы без установки и использования программных клиентов, чтобы средствами ОС на сетевом уровне можно было ввести данные и авторизироваться в сеть. Или все же лучше посредством фирменного клиента типа Cisco AnyConnect организовать доступ? Это секьюрнее ?
|
06 дек 2019, 21:24 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
siqueiros писал(а): Но, на самом деле имел ввиду какой нибудь более универсальный вариант организации доступа в корпоративную сеть, типа старых, добрых L2TP, PPTP? Но это всё уже наверное устарело, небезопасно и мало используется? Хотелось бы чтобы без установки и использования программных клиентов, чтобы средствами ОС ... Устарело уже лет 500 как, забудьте. Из того, что есть в современных Виндах - это IKEv2 и SSTP. IKEv2 сервер можно (и нужно) поднять на роутере, SSTP только софтверно. Ну или AnyConnect. Поставить клиент не проблема, есть под все платформы.
_________________ Knowledge is Power
|
06 дек 2019, 21:35 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
Silent_D писал(а): siqueiros писал(а): Но, на самом деле имел ввиду какой нибудь более универсальный вариант организации доступа в корпоративную сеть, типа старых, добрых L2TP, PPTP? Но это всё уже наверное устарело, небезопасно и мало используется? Хотелось бы чтобы без установки и использования программных клиентов, чтобы средствами ОС ... Устарело уже лет 500 как, забудьте. Из того, что есть в современных Виндах - это IKEv2 и SSTP. IKEv2 сервер можно (и нужно) поднять на роутере, SSTP только софтверно.. Понимаю вас. И все же, что лучше тогда, IKEv2 поднимать или AnyConnect? Silent_D писал(а): Ну или AnyConnect. Поставить клиент не проблема, есть под все платформы. Для Android и iOS скачать можно свободно, но под настольные системы, Винду, Линукс и МакОС вижу только на сайте Циски при наличии подписки смартнет. В целом решаемо конечно, при желании все можно найти и скачать, но вот в определенных ситуациях это может быть не удобно, придется за каждого пользователя предприятия хлопотать и выкладывать ссылку для загрузки и установки, как-то не совсем удобно получается. Почему этот клиент для загрузки "под замком" у Циско, типа дополнительная преграда для злоумышленника?
|
06 дек 2019, 23:01 |
|
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 43 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|