Сообщения без ответов | Активные темы Текущее время: 13 дек 2019, 06:44



Ответить на тему  [ Сообщений: 88 ]  На страницу Пред.  1, 2, 3, 4  След.
GRE тунель и маршрутизация между 3-мя и более точками 
Автор Сообщение

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 162
На обеих Spoke прописываю глобальный маршрут в 10.0.0.0 255.0.0.0 через Туннель 1, верно?

А в Null со Spoke"ов отсылать в какие подсети, каждый Spoke в свою, верно?
То есть 10.1.0.0 255.255.0 в Null и 10.2.0.0 255.255.0.0 в Null? Правильно? И никаких других маршрутов прописывать не нужно, верно?
Вот у меня так пока не работает.


04 ноя 2019, 23:52
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 903
да трёх точек уже имеет смысл DMVPN или FlexVPN поднять - это можно сделать за полчаса, нежели неделями писать на форуме банальные вещи..


05 ноя 2019, 00:17
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 162
root99 писал(а):
да трёх точек уже имеет смысл DMVPN или FlexVPN поднять - это можно сделать за полчаса, нежели неделями писать на форуме банальные вещи..


Вы обо мне хорошего мнения, ;) Если я за неделю не способен осмыслить банальных вещей, то DMVPN буду несколько месяцев осваивать...


05 ноя 2019, 00:35
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 351
Откуда: Moscow
root99 писал(а):
для трёх точек уже имеет смысл DMVPN или FlexVPN поднять - это можно сделать за полчаса

Да, хорошая шутка. :-)
Вот только DMVPN тут и не хватало, когда со статикой проблемы.
Не парьтесь. Для человека это хобби, он просто так развлекается.

_________________
Knowledge is Power


05 ноя 2019, 00:50
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 162
Silent_D писал(а):
root99 писал(а):
для трёх точек уже имеет смысл DMVPN или FlexVPN поднять - это можно сделать за полчаса

Да, хорошая шутка. :-)
Вот только DMVPN тут и не хватало, когда со статикой проблемы.
Не парьтесь. Для человека это хобби, он просто так развлекается.


Ну, в любом случае, все же не хотелось бы, чтобы мои намерения воспринимались несерьезно, точнее моё отношение и желание понять и научиться.
Мне эта область интересна; время от времени возникают задачи, которые интересно решать; некой готовой, пережеванной информации мне не требуется, не за этим я сюда прихожу.
Мне понятно, что с высоты ваших знаний мои вопросы и задачи вызывают иронию и желание лишний раз посмеяться над нехваткой знаний, уровнем интеллекта и умениями, но мы все разные, порой сложно угадать и знать, что за человек здесь пишет, как он и что с ним вообще. И это нормально, я не обижаюсь, так мы все устроены.
Просто спасибо за помощь всем кто пытается помочь разобраться.!


05 ноя 2019, 10:48
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 351
Откуда: Moscow
Если есть "желание понять и научиться", что хорошо, то нужно таки что-нибудь почитать.
Что, мы ранее обсуждали.
На форуме имеет смысл задавать конкретные вопросы, в которых что-то непонятно.
Никто не будет здесь разжевывать все с нуля и дублировать 500 страниц курса CCNA.

siqueiros писал(а):
И это нормально, я не обижаюсь

Это правильно. "Обидчивость - это признак низкого интеллекта."
Все нужно воспринимать с долей юмора, и себя в первую очередь.

_________________
Knowledge is Power


05 ноя 2019, 11:25
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 162
Silent_D писал(а):
siqueiros писал(а):
И это нормально, я не обижаюсь

Это правильно. "Обидчивость - это признак низкого интеллекта."
Все нужно воспринимать с долей юмора, и себя в первую очередь.


С юмором, да конечно, но без объективной оценки своих интеллектуальных способностей сложно в любом случае; выше головы не перепрыгнешь ;).
Обида вообще глупая вещь, в знаниях так вообще, обижаться даже на самого себя не стоит. И зачем обижаться, если можно научиться ;).

Кстати, хочу прояснить с вашей помощью следующий момент; как работает маска сети и обратная маска в контексте маршрутизации, в ACL и правилах NAT?
Вот я вроде бы основы подсетирования понимаю. Понимаю что из себя представляет сеть, могу поделить сеть на подсети, применить разной битовой длины маски, увеличить или уменьшить количество хостов или подсетей с помощью маски. /24 битовая маска даст мне 254 хоста в сети, и к примеру маска в /29 бит сможет ограничить количество хостов до 6, а количество возможных подсетей увеличить. Но в плане использования маски в маршрутизации, в правилах ACL мне кажется я некоторые вещи делаю наугад, не до конца понимая.

Вот к примеру при анонсе статического маршрута; допустим у меня удаленная сеть состоящая из 3-х VLAN локальных подсетей, доступ к которым я хочу объявить своему маршрутизатору. К примеру это сети 10.1.1.1, 10.1.2.1, 10.1.3.1.
Если я объявлю одну сеть 10.0.0.0 с маской в 255.0.0.0, то охвачу ли я этим анонсом все подсети удаленной сети или это будет ошибкой? Или этот анонс будет относиться конкретно к одной, гигантской сети 10.0.0.0 с 16 777 000 хостами, а нужные мне сети 10.1.1.1-10.1.3.1 вообще не будут учтены с таким анонсом.?

ACL правила как известно работают с обратными масками. Такой же пример, допустим при настройке PAT и задаче разрешить трансляцию адресов всем локальным VLAN. Правило permit 10.0.0.0 с обратной маской 255.0.0.0 разрешит всем подсетям и хостам в VLANах от 10.1.1.1 до 10.1.3.1 трансляцию адресов/портов или же такое правило будет работать только конкретно для сети с адресом 10.0.0.0 и всех 16 700 000 хостов в ней?


09 ноя 2019, 17:19
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 351
Откуда: Moscow
siqueiros писал(а):
Кстати, хочу прояснить с вашей помощью следующий момент;
как работает маска сети и обратная маска в контексте маршрутизации, в ACL и правилах NAT?

У вас эти вопросы появились после прочтения вышеуказанных материалов или вместо?

Сеть и маска (или обратная маска - reverse (wildcard) mask) - это механизм проверки IP адреса на соответствие
некоторому условию.
Маска накладывается на IP адрес и сравнивается со значением сети в условии. Равно или не равно.
А вот цель этой проверки зависит от контекста.

Обычная маска и обратная - это почти одно и то же, с той разницей, что обычная маска - сплошная,
т.е. сначала всегда идут только 1, а потом только 0, используется в маршрутизации.
Тогда как обратная в общем случае может быть произвольной комбинацией 0 и 1, используется в ACL.

https://en.wikipedia.org/wiki/Wildcard_mask

https://ip-calculator.ru/

_________________
Knowledge is Power


10 ноя 2019, 06:20
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 162
Silent_D писал(а):
siqueiros писал(а):
Кстати, хочу прояснить с вашей помощью следующий момент;
как работает маска сети и обратная маска в контексте маршрутизации, в ACL и правилах NAT?

У вас эти вопросы появились после прочтения вышеуказанных материалов или вместо?


Просвещаюсь, можете быть уверены. Ни в коем случае не хочу упростить понимание через готовые ответы, просто через обсуждение надеюсь понять правильно; я думаю и надеюсь, что возможно даже эти простые задачи и обсуждение могут вдруг быть полезными для кого-то еще, кто в начале пути.

Silent_D писал(а):
[Сеть и маска (или обратная маска - reverse (wildcard) mask) - это механизм проверки IP адреса на соответствие
некоторому условию.
Маска накладывается на IP адрес и сравнивается со значением сети в условии. Равно или не равно.
А вот цель этой проверки зависит от контекста.

/


Я хотел понять в контексте статической маршрутизации; маска 255.0.0.0 сделает анонс только одной, гигантской сети 10.0.0.0 в которой 16,777,214 хостов?
Или же это будет анонс одновременно и 16 миллионов хостов ! и также всех возможных подсетей !! в этом диапазоне сети класса А ; от 10.0.0.0 — 10.255.255.255 ?


10 ноя 2019, 15:20
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 351
Откуда: Moscow
siqueiros писал(а):
Я хотел понять в контексте статической маршрутизации; маска 255.0.0.0 сделает анонс только одной, гигантской сети 10.0.0.0 в которой 16,777,214 хостов?

Анонсы маршрутов имеют смысл только в контексте динамической маршрутизации.

И научитесь уже пользоваться отладочными инструментами:
Silent_D писал(а):
Есть такая полезная команда -
Код:
show ip route

Изучать вывод вдумчиво.

_________________
Knowledge is Power


10 ноя 2019, 16:00
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 162
Silent_D писал(а):
siqueiros писал(а):
Я хотел понять в контексте статической маршрутизации; маска 255.0.0.0 сделает анонс только одной, гигантской сети 10.0.0.0 в которой 16,777,214 хостов?

Анонсы маршрутов имеют смысл только в контексте динамической маршрутизации.


Ну, хорошо, пускай это будет не "анонс", если он является ошибочным в терминологии статической маршрутизации, а просто маршрут. Или рассмотрите мой пример в контексте динамической маршрутизации, если этот термин "анонс" будет корректным.
Главное, что хотел бы я понять, это принцип работы маски.
Восьми битная маска /8, (255.0.0.0) выстроит маршрут во все диапазоны/блоки сети класса А или же это будет только лишь маршрут в сеть 10.0.0.0 с 16,777,214 хостами в ней?
И доступ в подсети 10.1.1.1, 10.2.1.1, 10.3.1.1, 10.10.х.х, 10.100.х.х., 10.200.х.х. работать при такой /8 маске не будет!!, маршрут будет только в сеть 10.0.0.0!

Silent_D писал(а):
Есть такая полезная команда -
Код:
show ip route

Изучать вывод вдумчиво.


Вот ставлю Cisco Packet Tracer, попробую создать модель сети там и проверить работу маски.
sh ip route давно знаю, даю команду, смотрю проверяюсь, вроде что-то различаю, что-то не совсем, но пока это не очень помогает.


10 ноя 2019, 17:21
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 351
Откуда: Moscow
siqueiros писал(а):
Главное, что хотел бы я понять, это принцип работы маски.

Принцип работы маски я вам объяснил двумя постами ранее (если вы не знали).
Дальше начинается принцип работы маршрутизации, что подробно
изложено в материалах, которые вы упорно не хотите читать.
Чукча не читатель?

Díctum sápientí sat est.

_________________
Knowledge is Power


11 ноя 2019, 06:35
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 162
Silent_D писал(а):
siqueiros писал(а):
Главное, что хотел бы я понять, это принцип работы маски.

Принцип работы маски я вам объяснил двумя постами ранее (если вы не знали).
Дальше начинается принцип работы маршрутизации, что подробно
изложено в материалах, которые вы упорно не хотите читать.
Чукча не читатель?

Díctum sápientí sat est.



Спасибо за помощь, статическую маршрутизацию вроде как осознанно настроил, ;), по-крайней мере начал понимать основной принцип работы, раньше как-то больше вслепую "забивал" маршрут.
У меня еще ошибка в настройке GRE туннеля была, я ссылался на Loopback интерфейс в качестве Source, а так видимо нельзя делать, снаружи он не виден, поэтому маршрут через одно место работал.
Буду продвигаться дальше, разбираюсь с динамической маршрутизацией теперь, EIGRP попробовал применить на всех точках, тоже вроде работает. Наверное надо DMVPN разобрать тоже и туннели перевести на него.


04 дек 2019, 22:59
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 1985
Откуда: Волгоград
siqueiros писал(а):
... Наверное надо DMVPN разобрать тоже и туннели перевести на него.


Это нужно было сделать лет 10 назад.


05 дек 2019, 07:35
Профиль ICQ

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 351
Откуда: Moscow
_2e_ писал(а):
Это нужно было сделать лет 10 назад.

На 3 узла оно и сейчас не нужно. Достаточно IPSec VTI и статики Full Mesh. Просто, понятно, надежно.
Только, разве что, для изучения технологии.

_________________
Knowledge is Power


05 дек 2019, 07:48
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 1985
Откуда: Волгоград
Silent_D писал(а):
_2e_ писал(а):
Это нужно было сделать лет 10 назад.

На 3 узла оно и сейчас не нужно. Достаточно IPSec VTI и статики Full Mesh. Просто, понятно, надежно.
Только, разве что, для изучения технологии.


Просто понятно надёжно немасштабируемо и платишь всем трём провам за белую статику. Бинго.


05 дек 2019, 08:09
Профиль ICQ

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 351
Откуда: Moscow
_2e_ писал(а):
Просто понятно надёжно немасштабируемо и платишь всем трём провам за белую статику. Бинго.

Ну корпоративное подключение и так, как правило, делают со статикой /30.
Если вы только не в большом бизнес-центре сидите. Да и стоит это копейки.
Так что это не определяющий вопрос, к тому же здесь, насколько я понял, она уже есть.

_________________
Knowledge is Power


05 дек 2019, 08:18
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 162
_2e_ писал(а):
siqueiros писал(а):
... Наверное надо DMVPN разобрать тоже и туннели перевести на него.


Это нужно было сделать лет 10 назад.


Если бы вы только знали, столько вообще всякого в моей жизни нужно было сделать ещё 10 лет назад! :)
Что поделаешь, (вытирая скупую, мужскую слезу) нужно как-то продолжать дальше,при всем этом :(

Кстати, а что сейчас в тренде, если я правильно вас понял, что DMVPN уже не совсем актуальный, современный способ объединения сетей?
MPLS, SD WAN?


05 дек 2019, 10:12
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 162
_2e_ писал(а):
Silent_D писал(а):
_2e_ писал(а):
Это нужно было сделать лет 10 назад.

На 3 узла оно и сейчас не нужно. Достаточно IPSec VTI и статики Full Mesh. Просто, понятно, надежно.
Только, разве что, для изучения технологии.


Просто понятно надёжно немасштабируемо и платишь всем трём провам за белую статику. Бинго.


Что-то в корпоративном секторе особой доплаты за белую статику не встречаю последнее время. Вот даже конкретно эта тема мой реальный кейс, три объекта в разных районах Москвы, три разных провайдера, один из них билайн, почти в области, Новорижское шоссе, остальные два малоизвестные, мелкие конторы в спальных районах юго-запада и северо-востока Москвы и везде белая статика бесплатна, никакой дополнительной платы нет (ни единого разрыва). Более того, обсуждал в свое время получение дополнительных адресов, (была идея поднять на гипервизоре несколько сервисов для удаленного доступа; сервер 1с, БД, веб, видео-наблюдение) и были предложения даже получения подсети /29, /28 за умеренную стоимость, по московским меркам, примерно по 10$ за доп. адреса получалось, если сейчас уже не путаю, за сетку /28 (14 адресов) просили 6-8т. рублей.
А вот в домашнем секторе за белую статику, даже одну единственную приходится платить, у меня сейчас дома 300 рублей у провайдера обходится.


05 дек 2019, 10:35
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 162
Silent_D писал(а):
_2e_ писал(а):
Это нужно было сделать лет 10 назад.

На 3 узла оно и сейчас не нужно. Достаточно IPSec VTI и статики Full Mesh. Просто, понятно, надежно.
Только, разве что, для изучения технологии.


Да, но насколько успел понять про принцип работы DMVPN, то работа протокола NHRP в нём довольно облегчает процесс настройки. Например маршрутизация встроенная, если я конечно правильно всё понял; вроде как дополнительно в настройках маршрутизации надобность отпадает, nhrp в DMVPN прокладывает маршруты между узлами. Или я заблуждаюсь и в любом случае потребуется настройка маршрутизации тоже?


05 дек 2019, 10:42
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 162
Пока тема не остыла и знатоки маршрутизации, туннелирования и объединения сетей не разбежались, позволю себе задать ещё один вопрос; — вот благодаря собравшимся я в общем-то разобрался с методами, (современными и не очень) site to site туннелей., а вот как лучше обеспечить доступ для мобильных пользователей предприятия в корпоративную сеть, это хотелось бы спросить. То есть т.н. client to site, когда пользователь с ноутбуком на Windows, Linux, Mac или даже с мобильным устройством типа планшета или смартфона на Андроид/iOS,не важно, должен получить временный доступ в корпоративную сеть для работы с серверными и иными службами в этой сети. Точнее говоря, дело в способе подключения клиента, то есть когда он вынужден использовать любую доступную сеть для выхода в интернет- LTE, публичный WiFi, домашний интернет,.
Что-то нужно дополнительно поднимать поверх DMVPN / GRE ? Чтобы удаленный пользователь мог авторизироваться и получить доступ к ресурсам ? Поясните пожалуйста !


06 дек 2019, 18:14
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 903
Для удалённого доступа есть Cisco AnyConnect


06 дек 2019, 20:07
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 162
root99 писал(а):
Для удалённого доступа есть Cisco AnyConnect


Это что-то проприетарное от циско, некий программный VPN клиент? Посмотрю, спасибо!
Но, на самом деле имел ввиду какой нибудь более универсальный вариант организации доступа в корпоративную сеть, типа старых, добрых L2TP, PPTP? Но это всё уже наверное устарело, небезопасно и мало используется?
Хотелось бы чтобы без установки и использования программных клиентов, чтобы средствами ОС на сетевом уровне можно было ввести данные и авторизироваться в сеть.
Или все же лучше посредством фирменного клиента типа Cisco AnyConnect организовать доступ? Это секьюрнее ?


06 дек 2019, 21:24
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 351
Откуда: Moscow
siqueiros писал(а):
Но, на самом деле имел ввиду какой нибудь более универсальный вариант организации доступа
в корпоративную сеть, типа старых, добрых L2TP, PPTP?
Но это всё уже наверное устарело, небезопасно и мало используется?
Хотелось бы чтобы без установки и использования программных клиентов, чтобы средствами ОС ...

Устарело уже лет 500 как, забудьте.
Из того, что есть в современных Виндах - это IKEv2 и SSTP.
IKEv2 сервер можно (и нужно) поднять на роутере, SSTP только софтверно.

Ну или AnyConnect. Поставить клиент не проблема, есть под все платформы.

_________________
Knowledge is Power


06 дек 2019, 21:35
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 162
Silent_D писал(а):
siqueiros писал(а):
Но, на самом деле имел ввиду какой нибудь более универсальный вариант организации доступа
в корпоративную сеть, типа старых, добрых L2TP, PPTP?
Но это всё уже наверное устарело, небезопасно и мало используется?
Хотелось бы чтобы без установки и использования программных клиентов, чтобы средствами ОС ...

Устарело уже лет 500 как, забудьте.
Из того, что есть в современных Виндах - это IKEv2 и SSTP.
IKEv2 сервер можно (и нужно) поднять на роутере, SSTP только софтверно..


Понимаю вас. И все же, что лучше тогда, IKEv2 поднимать или AnyConnect?


Silent_D писал(а):
Ну или AnyConnect. Поставить клиент не проблема, есть под все платформы.


Для Android и iOS скачать можно свободно, но под настольные системы, Винду, Линукс и МакОС вижу только на сайте Циски при наличии подписки смартнет.
В целом решаемо конечно, при желании все можно найти и скачать, но вот в определенных ситуациях это может быть не удобно, придется за каждого пользователя предприятия хлопотать и выкладывать ссылку для загрузки и установки, как-то не совсем удобно получается. Почему этот клиент для загрузки "под замком" у Циско, типа дополнительная преграда для злоумышленника?


06 дек 2019, 23:01
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 88 ]  На страницу Пред.  1, 2, 3, 4  След.

Кто сейчас на конференции

Сейчас этот форум просматривают: Google Adsense [Bot] и гости: 12


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB