classic.ISPforum.cz

Zdravim, napadla ma taka teoreticka otazka.

Predstavte si ze mate nejaku siet napr kruh zo 6 routrov. Za tymito routrami by boli povedzme uz privatne subnety a tam nejaki pouzivatelia
Od ISP by ste mali napr len nejaky maly pocet verejnych ip adries napr 16 dajme tomu .. a posunuty na jeden z vasich routrov.
A iba jeden uplink.

Ako by ste riesili adresovanie v danej sieti. Je mozne dany maly subnet rozsubnetovat, ale bol by zbytocne velky odpad

Ja rozmyslam ..
1.) kruh by bol bridgeovany - asi nie moc dobre riesenie. Avsak nebol by problem s odpadom. Na tom kruhu priamo by bol verejny subnet. Kazdy router by si vedel priradit verejnu ip adresu.

2.) Ukoncit verejne ip adresy na hlavnom routri a nat smerom na neverejne ip adresy routrov nat 1:1 - nevyhoda v zatazi hlavnej brany (asi ..)

3.) Routing: neverejne ptp prepoje /30 resp /29 medzi kazdou dvojicou routrov. Host routy na kazdy z routrov (neviem ci je to koser, pouziva to niekto takto?)
Tj viac zaznamov v routovacej tabulke .. ale bez odpadu. Na danom routri napr na samostatnom bridge bez portov mozem tu ip ukoncit s maskou /32 ..

Nejake ine tipy?

Dik L .

Chceš ze zkušenosti? Neřeš to a NATkuj na bráně. Někam ke gigabitu a řádově tisících adres to lze zvládnout relativně levou zadní. Všechna ostatní řešení jsou zbytečně složitá a při malém počtu veřejných adres v podstatě asi neřešitelná. Pokud máš NAT (resp PAT) na jednom místě, nezajímá tě, kde je cílový uživatel takové IP, případně můžeš krásně sdílet bez vazby na pozici uživatele v síti. A uvnitř sítě jedeš jen na privátních IP.

Pokud máš adres větší počet, už si lze hrát víc. Např. rozsegmentovat na jednotlivé routery a NAT mít tam - výhoda je rozložení zátěže, nebo případně i možnost někomu dát přímo veřejnou.

Jiný úkol by byl: mám tisíc IP adres, deset tisíc uživatelů, pětset routerů přes celý okres

no vies ze vysvetlovat co vlastne chcem na takom megapriklade by bol problem . Preto v malom ..

Anyway ziadne z tych rieseni mi neprislo nejake extra problemove a narocne. Momentalne mam na stole rozbehnuty proklad s hostroutami.
Nat ma niektore nepekne vlastnosti, ale tak jo suhlasim NAT/PAT je z tych rieseni najjednoduchsie, otazka je ci aj najlepsie riesenie.

Je ale fakt ze hostrouty by viedli casom k enormlnej zatazi kvoli rastucim routovacim tabulkam. Za predpokladu ze by neboli pridelovane nejakym systemom, nesli by bez readresacie ani agregovat.

Prave preto nad tym rozmyslam, lebo niekomu vypomaham a vidim ze zelezo na hlavnej brane nie je az tak silne, nerad by som ho zabijal NAT-om a nakupovat teraz nieco silnejsie nie je teraz mozne .. preto som chcel tu zataz skor rozlozit. Lebo routrov v sieti tak vela nie je, skor traffic je vacsi.

Nejak nad tym este porozmyslam.

L.

Pokud dáš malý příklad, dostaneš malé řešení

Moje rady vychází z praxe. Tímhle stylem jedou vlastně všechny czfree sítě. Což je dostatečný vzorek uživatelů ...

jde o to, jestli má význam si to komplikovat řekněme kvůli 4 lidem, kteří "musí" mít veřejnou. Obyčejný user se bez ní obejde, když už si ji někdo vyptá, je to většinou tahač, co ji "potřebuje" aby byl na torrentu aktiv. No a jen zlomek userů ji opravdu potřebuje. Mám v síti několik FVE, firmu s B2B systémem, nějaké kamerové systémy, vzdálený dohled vytápění ZŠ, pult centrální ochrany.... všechny veřejné jim dávám NATem a nikdo si ještě nestěžoval, že by mu něco nefungovalo.

Asi tak ... pravdu máš ...

tom-tom píše:jde o to, jestli má význam si to komplikovat řekněme kvůli 4 lidem, kteří "musí" mít veřejnou. Obyčejný user se bez ní obejde, když už si ji někdo vyptá, je to většinou tahač, co ji "potřebuje" aby byl na torrentu aktiv. No a jen zlomek userů ji opravdu potřebuje. Mám v síti několik FVE, firmu s B2B systémem, nějaké kamerové systémy, vzdálený dohled vytápění ZŠ, pult centrální ochrany.... všechny veřejné jim dávám NATem a nikdo si ještě nestěžoval, že by mu něco nefungovalo.

Ale měli jsme několik případů (resp dva.), kde kvůli VPNkám museli mít veřejnou. Byť to dle mě bylo řešitelné i jinak, tak to jinak nešlo - na routeru před uživatelem se udělala opět NATka z privátní na veřejnou. Je to sice čuňačina (třetí NAT měli uvnitř sítě sami), ale vše fungovalo k všeobecné spokojenosti.

Problém s veřejnými "všude" komplikuje už jenom to, že jich je málo a málokdo asi dostane dostatečný počet, aby se to dalo dobře segmentovat. Např. pro našich cca 2700 členů bych potřeboval nějakých 4500 adres a vzhledem k té segmentaci tedy /16 segment (už mám obsazeno hodně přes polovinu). Kde to vezmu? Moc šetřit na velikosti segmentů se nevyplácí (při našem způsobu sítě).
Routovat /32 sice lze, ale od určité míry se to stane neúnosné. I když těžko říct, kde je ta hranice ... Rozhodně ale, aby to "zákazník" dokázal rozumně použít, musí dostat segment. Tedy alespoň /30. S /32 si to nějak nedokážu představit, i když by to asi řešitelné bylo (na něčem normálním, ne na krabičkách typu ovislink).
Nějaký hybridní systém (routovat privátní a občas i veřejnou) zase může narazit na omezení buď administračního systému, nebo scriptů ve firewallech (např. ipset je lepší udělat na síť, než vyloženě obecně), nebo řešení QOSu kde se může optimalizovat nějakým stromečkem a pokud nějaké IP vypadávají ze schématu, může to být problém jehož pracnost řešení nemusí vyvážit zisky.

Ale provozovat infrastrukturu na privátních ti nic nebrání. Používají to tak i opravdu velké firmy (mám takový pocit, že i tmobile).

Kdysi existovala možnost NATky 1:1 bez potřeby conntrack tabulky. Ale z kernelu to někdy zmizelo ... docela škoda. Pak nemusí být potřeba mít přehršel veřejných jen kvůli nutným rezervám na segmentaci prostoru, ale stačí opravdu jen schéma jeden počítač, jedna veřejná. V každém případě by se pak relativně dostupný servřík dokázal přiblížit i 10Gbitům propustnosti.

v novych kerneloch uz nie je stateless nat? Musim pozriet .. ja som myslel ze to este funguje.

No inak tie VPNky su take narocnejsie v pripade natu .. ipsec alebo aj obycajna pptp bez helperu ..

Napr ale verejna ip adresa u klienta ma svoje caro, dat mu verejnu ip adresu, ci uz dynamicku alebo staticku.. povedat mu tu to mate, co si tam pripojite je vasa vec, ake sluzby si tam pobezite je vasa vec, ake zariadenie si tam date je na vas, ziadne portforwardy, ziadne natovanie, ziadne povinnosti..uplna vyuzitelnost konektivity. Niekto chce tahat? Prosim.. ved to ma zaplatene, bude mat linku vytazenu "az po strechu" .. nech sa paci . To by bol moj sen.

Hezká představa. No na vyžádání od významného klienta, který dá dobře utržit za net a ještě si nechá třeba spravovat firemní síť, bych byl ochotný nějaký segment proroutovat, ale když je to nějaký Franta co to potřebuje jen k tomu, aby mohl z práce kontrolovat jaký má na zařízku signál, nebo držgrošfirma, kdy si šéf vyjedná individuální sockotarif pro kancelář se 6 PC... to asi ne
Jo, leda tak v ipv6, jednou se dočkají všichni.