Topologie routované sítě

[reset]

nejak jsem nepochopil, ty rozsahy 100.xxx.xxx.xxx/16 na AP

[Petr S.]

No měl jsem to namyšlené, že bych na každé AP dal jeden z toho rozsahu 100.64.0.0/10 (100.65.x.x, 100.66.x.x, ...) a podle toho rozlišil k jakýmu AP je klient připojen. V routě na hlavním routeru bych pak přidal pravidlo, že např. 172.16.0.0/16 se má routovat přes 100.66.1.1 nebo 172.17.0.0/16 přes 100.67.1.1 . Nebo mi něco uniká?

[reset]

myslenka asi spravna, ale na papire to mas spatne nepouzivaj tam subnet /16 , ale mensi napr /24 nebo /30 , moznosti je dost

tohle by ti mohlo pomoci
http://www.subnetmask.info/

[hapi]

mám takovej pocit že chce routovat ale nahrazuje routování bridgem a používá víc subnetů.

No pokud se to veme podle mého příkladu a to 10.apčko.klient.pc tedy 10.20.15.2 je 20 APčko, 15 klient a 2 počítač na lance tak vzhledem k možnosti agregací rout skrz OSPFko to je krásnej příklad s minimem záznamů v routovací tabulce jelikož na jedno apčko + všechny jeho klienty se aplikuje jenom jeden routovací záznam na hlavní gw po celí trase a konkrétnější záznami jsou už jenom na tom koncovim APčku. Defakto se dá stejný systém použít i na IPv6.

[Petr S.]

myslenka asi spravna, ale na papire to mas spatne nepouzivaj tam subnet /16 , ale mensi napr /24 nebo /30 , moznosti je dost

tohle by ti mohlo pomoci
http://www.subnetmask.info/

Proc subnet 16 ne? Že je moc velký?

Hapi: Kde tam mám bridge? Pokud ji tam mám, tak si toho nejsem vědom

[Peyrak]

podle mě máš botu v adresaci těch klientů, na AP máš 100.68.1.1/24 a klient 100.64.2.1/24 a tak dál, ale jak to chceš spojit? WAN strany klientů musíš mít 100.68.1.2/24, 100.68.1.3/24. Jinak mi to přijde v poho

edit: aha, už to vidím, AP má /16, to je zbytečně velký

[hapi]

myslenka asi spravna, ale na papire to mas spatne nepouzivaj tam subnet /16 , ale mensi napr /24 nebo /30 , moznosti je dost

tohle by ti mohlo pomoci
http://www.subnetmask.info/

Proc subnet 16 ne? Že je moc velký?

Hapi: Kde tam mám bridge? Pokud ji tam mám, tak si toho nejsem vědom

vycházim z toho že drtivá většina lidí co chtějí routovat neví jak routovat. sorry, moje chyba.



neni lepší nějak ty ip na lanu a wanu párovat? něco jako 10.20.0.254/24 je ap, klient má na wanu 10.20.0.23/24 a na lanu 10.20.23.1/24 ...? defakto jenom posunu jeden oktet místo nuly a doplnim číslo na lance. apčko má na konci 254 protože kdyby mělo 1 tak první klient nemůže použít 1.

[Petr S.]

Peyrak: Tak že bych dal jako AP 100.65.1.0/24 a jednotlivé WAN klientů pak z rozsahu 100.65.2.0/24 ?

Hapi: Jj, to je dobrý nápad. Trošku tu svoji adresaci předělám. A takže myslíš, že použití subnetu 10.0.0.0/8 nevadí? 100.64.0.0/10 tedy čistě jen pro páteř a servery/routery?

No, měl jsem za to, že to že ta maska na rychlost zpracování routerem nijak nevadí ( /16 ). Záznam v routovací tabulce je při tomhle jen jeden ne? A když to router ověřuje tak jen udělá bitový porovnání masky a cílové IP.... Myslím, že to je stejně náročné jako při /24 nebo ne?

[hapi]

to je čistě na tobě, já pouze uvedl příklad adresování, jakej rozsah použiješ je čistě na tobě. Hlavně je třeba mít na paměti že 100.64.0.0/10 je 4x menší než 10.0.0.0/8 což by mohlo být časem limitující obzvlášť když je tenhle rozsah dělanej tak že nebude u klientů ale pouze v cestě ke GW. Předpokládá se že 100.64.0.0/10 nebude nikdy u klienta na lance!! pak by celej koncept tohodle vyhrazenýho rozsahu byl na prd. Ke klientovy patří ty ostatní. Na páteře je klidně dát můžeš, tam to limitující jistě nebude.

[Petr S.]

Ale nebude to pak problém, pokud bude mít někdo stejný rozsah už v síti? I když by se použil nějaký nestandardní jako např. 10.20.0.0, 10.30.0.0, atd... tak by to asi nemusel být takový problém a ty lidi by se do toho neměli strefit.

A ohledně té routovací tabulky - je tedy lepší tam mít spíše menší (/24) než větší (/16) rozsah ?

[Majklik]

Ach jo, pokud chceš používat to 100.64/10, tak IP z toho rozsahu musíš mít až na WAN stranu klientova routeru, jinak smysl toho segmentu zcela zazdíš. A zazdíš ho mnohem víc, když si dáš 100.64/10 na páteřní linky a spojovák ke klientovi a IP adresa na WAN straně klienta bude 10.20.30.. To je mnehem větší problém na kolizi, než kdyby ta 10... byla na páteři.
Jo, taky se zamysli, zda budeš a jak nastavovat firewally na těch routerech klientů nebo je budeš izolovat portově na APčku, aby si vzájemně nelezli do svých LAN sítí.

[hapi]

nějak nechápu, řekni to jinak. Zákazníci mají doma přece to co jim dám ne?

[Majklik]

Zakaznák má doma, třeba to co mu přidělil jeho firemní admin. Zákazník si donese router, třeba malé cisco, které má na LAN třeba 10.27.90.0/24, a nahodí si VPN dio firmy a je řízeno firmou. Ty jen oznámíš, co mu má ten admin nastavit na WAN stranu než ho dá zákazníkovi v práci do ruky a ukáže mu, kam má strčit ethernet kabel od tebe a nikdy se do té krabičky (a ani tne člověk) nepodíváš. Typický home worker. V tomto případě samozřejmě nebudu tne jeho blok routova,t ten router ho bude NATovat na IPčko toho WANu.
To je smysl existence toho 100.64.0.0/10, aby se nestalo, že přijde takovýtoo člověk a bude mít na LAN straně to, co zrovna ty máš na té WAN v daném baráku. U krabic podobného formátu jsem viděl celou řadu a IP bloky, nejčastěji z 10.... byly i honě exotické, zkrátka pokud je to velké firma rozlezlá, tak i ten 10/8 má prolezlý.
Ano, můžu řídit co má ten člověk mít doma, ale musím počítat, že někdo to bude potřebovat z nějakého důvodu jinak a zadělávám na kolizi, kterou ten vyhraněný blok pro CGN sítě má řešit. A jsou i systémy, které umožňují, že mi je úplně jedno, co tam ti lidi mají, klidně všichin můžou mít 192.168.1.0/24 a bude to fungovat jen s tím jedmím CGN uprostřed (to umožňuje i ten zmíněny ds-lite).

[hapi]

to je zajímavý. Já to čet teda jinak. Ten rozsah je právě z důvodu kritických aplikací díky docházejí IPv4. Protože už i opravdu velcí operátoři natují 2x (router doma a router s veřejkou pro několik userů) tak bylo potřeba zajistit neveřejnou část kterou doma potažmo firma mít nemohla nikdy mít a tím je 100.64.0.0/10 a tedy umístit na tyto IP adresy důležité kritické věci které budou z těchto domácích potažmo firemních sítí dostupé. Zrovna nedavno jsme připojovali jeden městis a měly tam 192.168.1.0/24 což je/byl náš core s DNS servery a smtp serverem takže smolík, že. Přečíslovat to u nich je prostě nesmysl takže jsme museli předělat core na 100.64.0.0/24 a už se nikdy nic takovýho nestane. Pro tohle podle mě je tenhle rozsah určenej. Prakticky ho můžeš nasázet na celou transportní část sítě a na lanku u usera si už můžeš dát cokoli jinýho kromě tohodle rozsahu a natovat nebo ne což spíš záleží na tom jestli umíš kloudně rozchodit OSPFko nebo ne. Pro toho kdo nemá vlastní IPčka je to aktuálně jediná možná cesta jak se vyhnout problémům s duplicitou subnetů.

[Majklik]

V podstatě souhlas, ten segment 100.64.0.0/10 má být použit pro to, co zákazník může vidět a hrozí kolize s jeho neveřejným adresním prostorem hájeným tím RFC1918.
A nejdůležitější je pro něj ta IP adresa na WAN portu. Protože bez tvých DNS se v nejhorším obejde (hodí si třeba 8.8.8.8, že), ale s kolizí na WAN portu, pokud nemůže uhnout s IPčkama na LAN straně (z důvodů výše uvedených), tak má smůlu a pokud nechci přijít o zákazníka, budu muset pro něj vymejšlet nějakou vyjímku.
Je to určeno pro celou přístupovou síť až po WAN port klienta.
Rspektive strukturu, kterou zákoš nevidí a neovlivňuje ho, tak si klidně na ty 10/8 můžu dát (třeba ty core linky), ale kde je možná kolize - spojovací segment k němu případně DNS servery a podobné, tam má být 100.64/10. Ale většina má zase tak malé sítě, že je jednodušší použít komplet všude 100.64/10 v přístupové síti.

Takže v tom obrázku bych to udělal třeba tak, že si 100.64.0.0/12 nechám pro core síť, na APčka začal dávat od 100.80.. výše (mámli i optiku, tak na optickou část začal dávat od 100.96..). Klientům na LAN strany ve shodě s IP APčka použil blok z 10.číslo AP.číslo zakoš.0/24.
Pozor, nedělal bych, že i když zákošům řídím LAN stranu, že jim tam nacpu 100.64.něco. Principálně to fungovat bude, ale budou z toho trochu blbnout novější Widnwosy, které zatím neznají, že segment 100.64./10 mají chápat za NATem a začnou blbnout s auto IPv6 tunely 6to4.

Jinak novější specifikace se snaží dvojitý NAT odstranit tím, že se NATuje jen na straně carriera a u zákoše jen routuje, obvkyle na to zavádí nějaké autotunelovací mechanismy a modifikovaný ten centrální NAT o ID tunelu, takže klidně v LAN segmentech klientů může být cokoliv i kolizního mezi různými klienty a bude to fungovat. A třeba i u toho ds-lite je ten spojovací segment ke klientům u všech koncáků stejný 192.0.0.1 má CGN krám a klientova IPv4 WAN strana 192.0.0.2. (opět už kodifikované adresní spojovací prostor 192.0.0.0/29 pro ds-lite). Podobných specifikací je víc, jen je potíž s použitelnými implementacemi... Takže pro normální routované sítě je aspoň ten 100.64...