Два VLan и две одинаковые подсети и их маршрутизация

Обсуждение ПО и его настройки
freeddos
Сообщения: 56
Зарегистрирован: 15 окт 2017, 10:54

Здравствуйте.
Есть L2 коммутатор который разбит на два VLAN. В каждом из VLAN живут одинаковые подсети пользователей. Например 10.10.0.0/24.
Транком приходят эти VLANы на порт микротика. На каждый VLAN интерфейс повешены одинаковые IP, который и есть шлюз по умолчанию у машин этой подсети.
Вопрос, нужно эти подсети одинаковые выпускать в интернет через вышестоящий маршрутизатор.
Идеи:
1) VRF, изолируем VLANы и у каждого интерфейса есть свой IP который будет шлюзом и переправлять трафик выше. Тогда вопрос как трафик вернется обратно?
2) Rulesи таблица маршрутизации. Без VRF просто весь трафик который ходит в VLAN отправляем в соответствующую таблицу. Дальше в таблице по адресу сорца разбираем трафик и отправляем его на шлюз выше черезнужный интерфейс.
Попробовал оба способа в GNS3, и получается что на микротик в ARP прилетают две записи в одной записи машина которая живет в том VLAN в котором она живет прилетает с IP и мак адресом. А другая запись в ней указывается IP этой машины но без мака но как будто он прилетел из другого VLAN.
Как реализовать такую схему? Нужно для того что клиенты VLAN могут иметь одинаковую адресация, кто им запретит и поэтому нужно нормально выпускать их в инет.
Спасибо.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Единственное, что приходит в голову - это разбить сеть /24 на более узкую, например /28, при этом, в целом, адресация на уровне подсети сохранится.

Зы. Зачем вы сами себе создаете такие сложности? Почему нельзя использовать разные подсети?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) или менять в одном вилане всё же адресацию, дабы в будущем избежать других проблем точно.
2) или маршрутизировать, а вернее проНАТить через промежуточный микротик и выпустить уже на
вышестоящий (по условию заданных в начале) маршрутизатор.
2.1) можно проделать это с одной сетью (то есть только с маршрутизировать), а другую только заНАТить...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
freeddos
Сообщения: 56
Зарегистрирован: 15 окт 2017, 10:54

Вопрос "зачем" - это некая провайдерская сеть внутри бизнес центра небольшого . Поэтому у пользователей могут быть и будут одинаковые подсети.
Да они могут использовать свое оборудование и это упростит задачу но такого не будет.
Можно тогда подробней о реализации такого сферы в конфигах. Спасибо.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Правильных варианта два: сеть выдаёт и назначаете вы, а не сами они назначают; хотят свою сеть - ставят у себя ещё один микротик.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

freeddos писал(а):Вопрос "зачем" - это некая провайдерская сеть внутри бизнес центра небольшого . Поэтому у пользователей могут быть и будут одинаковые подсети.

Согласен. Могут и будут.
Теперь пример из жизни:
через мою локальную сеть провайдер передаёт голос (VoIP) трафик.
Он пришёл ко мне виланом, этот вилан я прописал на своих свитчах, и
передаю туда, куда надо (арендаторы).
Какая IP-адресация внутри этого вилана - мне пофиг, даже если она будет такая
же, как у меня в сети, трафик внутри вилана провайдерского никак не пересекается с моим трафиком.
Этот пример я рассказал к тому, что можно иметь виланы, но терминировать "чужой" вилан на своём
маршрутизаторе не надо (терминацию я имею ввиду в L3-уровне, то есть если ещё по-русски сказать:
не надо вставать IP-адресом в чужой вилан).
И тогда не будет перехлёста.
freeddos писал(а):Да они могут использовать свое оборудование и это упростит задачу но такого не будет.

В любом уравнении, чтобы решить надо или левую или правую стороны согласовать,
Вы ни так и не этак не хотите. Но сети хоть и гибкий в целом элемент, тоже имеют
правила (гласные и не гласные) и стандартизацию.
Выделить "левых" или чужих клиентов в отдельную сеть - можно сказать прямая задача
любого админа, чтобы в будущем не поиметь проблем.
freeddos писал(а):Можно тогда подробней о реализации такого сферы в конфигах. Спасибо.

Если Вы о НАТе, то простая эта реализация, я даже не знаю какой конфиг Вам давать,
к Вам приходя виланы, скажем 111 и 222, внутри них у каждого адресация 10.10.0.0/24.
Вам надо их подать на центральный маршрутизатор, и чтобы не пересеклись они.
Тогда одну сеть, в таком ввиде как она есть, пусть будет это вилан 111, подаёте
в маршрутизатор в неизменном виде, то есть как есть сеть 10.10.0.0/24 так её
туда, в центральный маршрутизатор и загоняете.

Второй вилан, принимаете на каком-то микротике, микротику даёте адресацию
какую-то другую, или сделайте небольшую транзитную сетку, скажем 192.168.29.0/30
И микротику даёте 29.2/30, центральному маршрутизатору 29.1/30
И второй вилан загоняете в микротик, прячите (НАТити) сеть 10.10.0.0/24 от адреса
192.168.29.2 и гоните уже этот траф на центральный маршрутизатор который для него
будет 29.1. Ну а уже на центральном маршрутизаторе весь трафик с 29-й сети НАТите в глобал...

Ниже, пример, как Вы и просили!
(на ether2 должен стоять адрес 192.168.29.2/30) и проводом воткнут в центральный
маршрутизатор где тоже на том порту должен стоять адрес 192.168.29.1/30:

Код: Выделить всё

/ip firewall nat
add action=src-nat chain=srcnat out-interface=ether2 src-address=10.10.0.0/24 to-addresses=192.168.29.2


Но помните, это шаблон! Вариаций тут - 1001!



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
freeddos
Сообщения: 56
Зарегистрирован: 15 окт 2017, 10:54

Тогда есть вопрос про НАТ. А именно какие должны быть шлюзы по умолчанию на клиентах в VLAN. Тоесть по идее должен же быть тот IP который навешен на VLAN интерфейс. Который будет использоваться клиентами как шлюз.
Но так же любой трафик который будет выпускаться в вышестоящий маршрутизатор будет НАТиться.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

freeddos писал(а):Тогда есть вопрос про НАТ. А именно какие должны быть шлюзы по умолчанию на клиентах в VLAN. Тоесть по идее должен же быть тот IP который навешен на VLAN интерфейс. Который будет использоваться клиентами как шлюз.
Но так же любой трафик который будет выпускаться в вышестоящий маршрутизатор будет НАТиться.

Вопрос странный. Или я Вас не понимаю или ВЫ с виланами не работали.

а) Вы не хотите менять адресацию внутри вилана (это не возможно в Вашем условии) поэтому мы для второго (условного второго) вилана
и сделали промежуточное звено в виде микротика отдельного.
б) весь вилан второй и внутри него адресация не меняется, так как запрещено Вашими условиями, поэтому адреса, маски всё так и будет.
в) Вы берёте микротик и принимаете на нём "второй" вилан, то есть устанавливаете на нём данные из второго вилана, она по условию 10.10.0.0/24,
то есть почти будет брать конкретику:
ставите на первом порту адрес 10.10.0.254/24. Всё, микротик внутри сети, его видят и он всех. Может для удобства задать ему
адрес, который прописан у клиентов в виде шлюза.

Итак, на микротике мы получим весь трафик второго вилана(второй сети) и примем на первом порту это всё.
И уже этот весь трафик "прячим" (НАТим) и через промежуточную сетку загоняем в центральный маршрутизатор, в котором
уже бегает первая сеть(первый вилан) с 10.10.0.0/24.
В итоге: на центральном роутере будет две сети, 10.10.0.0/24 и 192.168.29.0/30. А дальше с ними там делайте что хотите.

На счёт любого трафика - по Вашему условию Вам надо было второй вилан прокинуть на центральный маршрутизатор,
через промежуточный роутер мы это сделали. А если хостам из второй сети(второго вилана) надо ещё куда-то попадать,
то тут даже и не знаю что предложить, наверно тоже заморачиваться НАТами, хотя уже проще мне кажется
вернуться к нашим первым советам и создать вилан с отдельной сетью, скажем 10.10.1.0/24 и не париться.

ИЛИ попросить, чтобы Вам провайдер дал/выделил другую адресацию. Короче там где меньше хостов, попробуйте
сменить адресацию, и уже не заморачиваться с "костылями".
Если в каком-то вилане работает DHCP - ещё проще, раздать другую сеть и нет проблем.

В любом случаи сейчас есть такие решения:
два вилана, одна адресация, - решение = два роутера (один основной, второй промежуточный).
два вилана, одна адресация, - решение = один роутер, но не терминируем одну из двух сетей (она нам не нужна, пусть внутри вилана и остаётся) [если такое возможно?]
два вилана, разная адресация, - решение = сразу в один роутер (основной) загоняем.

Ну как-то так...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

На самом деле, первое что режет глаз, это почему ваши клиенты вообще запустили вас в свои сети, я понимаю, что скорее всего это небольшие конторки, которым до фонаря, что и как, главное что бы работало. Но давайте прибегнем к опыту других "первопроходцев", вы где-то еще встречали такой подход, как у вас? Нет? Вот то-то и оно. Испокон веков клиентам выдается адрес, один, или несколько, или подсеть, серые или белые, но во всех случаях провайдер не имеет доступа во внут. сеть клиента, это как минимум очень не безопасно с точки зрения клиента и как максимум приносит геморрой, с которым вы сейчас столкнулисьи это только да примера неудобств, а если подумать, то найдется еще куча, тот же разгул вирусни... Выделите адресное пространство, заставьте клиентов ставить свои шлюзы, которые уже и будут обращаться к вам в ВАШЕМ адресном поле, а что за их шлюзами вам будет глубоко фиолетово. Так и вам проще и клиенту безопасней, да и практика и чужой опыт показывают, что так лучше. Объясните это все своим клиентам и я уверен, что траты в размере 1к рублей, на самый бюджетный домашний маршрутизатор не сильно ударит по их бюджету. И опять таки, за 2-2,5к можно поставить клиенту тот же микротик и у вас снова широченное поле для ваших игрищь, если вдруг вы еще берете на себя и их внут. обслуживание. Вариантов куча и я понимаю и знаю (натыкался на статью на хабре), что реализовать ее можно и полностью без затрат построением одной лишь логики с вашей стороны, но на мой взгляд это ни что иное как костыль.


freeddos
Сообщения: 56
Зарегистрирован: 15 окт 2017, 10:54

Если реализовывать через промежуточный роутеры.
То под каждую подсеть ставим роутер и все их сводим на один который выпустит всех в интернет.
На том роутер который соберет промежуточные роутеры интерфейсами присвоить себе один и тот же IP? Как шлюз для этих промежуточных роутеров.
Как это будет реализовано? Настройка ARP? Мак+IP?


Ответить