роутинг между vrf

Anton Gorlov написал(а) к All в Jan 17 11:01:04 по местному времени:

Привет All!

Коллеги аскажите пожалуйста на сколько плохо/не хорошо делать роутинг между разными vrf?
Кажется route-leaking это называется




С уважением. Anton aka Stalker

Linux Registered User #386476
[#TEAM:*#] [#Злой СисОп_#] [*Нeavy Metal!*] [*_Усачи]
--- GoldED+/LNX 1.1.5-b20160322

Alexey Vissarionov написал(а) к Anton Gorlov в Jan 17 01:26:26 по местному времени:

Доброго времени суток, Anton!
12 Jan 2017 11:01:04, ты -> All:

AG> Коллеги аскажите пожалуйста на сколько плохо/не хорошо делать
AG> роутинг между разными vrf? Кажется route-leaking это называется

"Какого хрена ты нацепил галстух, если на тебе нет штанов?"
// (ц) Воланд - Бегемоту

Ну сам подумай: на кой хрен делать VRFы, если они в результате не будут изолированы друг от друга?


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Когда понадобится ваше мнение - вам его сообщат
--- /bin/vi

Eugene Grosbein написал(а) к Alexey Vissarionov в Jan 17 17:24:50 по местному времени:

13 янв 2017, пятница, в 02:26 NOVT, Alexey Vissarionov написал(а):

AG>> Коллеги аскажите пожалуйста на сколько плохо/не хорошо делать
AG>> роутинг между разными vrf? Кажется route-leaking это называется
AV> "Какого хрена ты нацепил галстух, если на тебе нет штанов?"
AV> // (ц) Воланд - Бегемоту

Коту штаны не полагаются!

AV> Ну сам подумай: на кой хрен делать VRFы, если они в результате не будут
AV> изолированы друг от друга?

Вообще да, но иногда через три года после внедрения ВНЕЗАПНО становится нужно :-)

Eugene
--- slrn/1.0.2 (FreeBSD)

Anton Gorlov написал(а) к Alexey Vissarionov в Jan 17 20:10:48 по местному времени:

Привет Alexey!

13 янв 17 года (а было тогда 01:26)
Alexey Vissarionov в своем письме к Anton Gorlov писал:

AG>> Коллеги аскажите пожалуйста на сколько плохо/не хорошо делать
AG>> роутинг между разными vrf? Кажется route-leaking это называется
AV> "Какого хрена ты нацепил галстух, если на тебе нет штанов?"
AV> // (ц) Воланд - Бегемоту
AV> Ну сам подумай: на кой хрен делать VRFы, если они в результате не
AV> будут изолированы друг от друга?


Ммм..
Это если прописать роутинг между всеми подсетями. а мне нужно 2 подсетки из множества по л3 соединить..то биш по роутингу.



С уважением. Anton aka Stalker

Linux Registered User #386476
[#TEAM:*#] [#Злой СисОп_#] [*Нeavy Metal!*] [*_Усачи]
--- GoldED+/LNX 1.1.5-b20160322

Valery Lutoshkin написал(а) к Anton Gorlov в Jan 17 12:43:41 по местному времени:

Нi, Anton!

12 Jan 2017 11:01, Anton Gorlov wrote to All:
AG> Коллеги аскажите пожалуйста на сколько плохо/не хорошо делать роутинг
AG> между разными vrf? Кажется route-leaking это называется

Нет в этом ничего плохого, главное - понимать зачем это тебе надо.
Для контролируемого перетекания трафика между инстансами - это самое то.

Некоторые платформы (например, 7600 на некоторых иосах) очень болезненно
относятся к ликингу, вплоть до полной зачистки таблиц маршрутизации в
процессе, поэтому осторожнее с экспериментами в продакшне.

Bye, Valery

--- GoldED+/W32-MINGW 1.1.5-b20150715

Anton Gorlov написал(а) к Valery Lutoshkin в Jan 17 13:28:16 по местному времени:

Привет Valery!

14 янв 17 года (а было тогда 12:43)
Valery Lutoshkin в своем письме к Anton Gorlov писал:


AG>> Коллеги аскажите пожалуйста на сколько плохо/не хорошо делать
AG>> роутинг между разными vrf? Кажется route-leaking это называется
VL> Нет в этом ничего плохого, главное - понимать зачем это тебе надо.
VL> Для контролируемого перетекания трафика между инстансами - это самое
VL> то.

VL> Некоторые платформы (например, 7600 на некоторых иосах) очень
VL> болезненно относятся к ликингу, вплоть до полной зачистки таблиц
VL> маршрутизации в процессе, поэтому осторожнее с экспериментами в
VL> продакшне.

В обем у меня ситуация такая:

Дано 3 vrf
1) MGMT
2) VRF_GREY - всё что с серыми ипишиниками - VoIp, IPTV приставки для выпуска онных в интернет на сервера CAS и так далее
3) VRF_WНITE сервера,клиенты после ната на брасах и так далее.


Сейчас все клиенты уже после NAT на брасах попадают VRF_WНITE и далее уже на DNS.
Надоело что все клиенты попадают на DNS уже после nat на брасе (для клиентов с серыми IP).
Поэтому и хотел проложить роут до серверов DNS через vrfgey в vrfwhite. Но только до DNS и ещё парочки серверов.

Выдавать клиентам с серыми IP отдельные сервера DNS или плодить на серверах ещё по интерфейсу в сторону серых не хочется.





С уважением. Anton aka Stalker

Linux Registered User #386476
[#TEAM:*#] [#Злой СисОп_#] [*Нeavy Metal!*] [*_Усачи]
--- GoldED+/LNX 1.1.5-b20160322

Denis Ognewsky написал(а) к Alexey Vissarionov в Jan 17 16:53:17 по местному времени:

From: "Denis Ognewsky" <Denis_Ognewsky@p70.f830.n5020.z2.fidonet.org>

Нello, Alexey Vissarionov.
On 13.01.17 3:26 you wrote:

AG>> Коллеги аскажите пожалуйста на сколько плохо/не хорошо делать
AG>> роутинг между разными vrf? Кажется route-leaking это называется
AV> "Какого хрена ты нацепил галстух, если на тебе нет штанов?" // (ц)
AV> Воланд - Бегемоту Ну сам подумай: на кой хрен делать VRFы, если
AV> они в результате не будут изолированы друг от друга?

очень даже надо. вот у меня все уровни в разных vrf. ядро отдельно. бордер отдельно. все в одной железке.

--
Best regards!
Posted using Нotdoged on Android
--- НotdogEd/2.12 (Android; Google Android; rv:1) Нotdoged/1482374710000 НotdogEd/2.12

Valery Lutoshkin написал(а) к Anton Gorlov в Jan 17 12:53:37 по местному времени:

Нi, Anton!

14 Jan 2017 13:28, Anton Gorlov wrote to Valery Lutoshkin:
AG>>> Коллеги аскажите пожалуйста на сколько плохо/не хорошо делать
AG>>> роутинг между разными vrf? Кажется route-leaking это называется
VL>> Нет в этом ничего плохого, главное - понимать зачем это тебе надо.
VL>> Для контролируемого перетекания трафика между инстансами - это самое
VL>> то.

VL>> Некоторые платформы (например, 7600 на некоторых иосах) очень
VL>> болезненно относятся к ликингу, вплоть до полной зачистки таблиц
VL>> маршрутизации в процессе, поэтому осторожнее с экспериментами в
VL>> продакшне.

AG> В обем у меня ситуация такая:
AG> Дано 3 vrf
AG> 1) MGMT
AG> 2) VRF_GREY - всё что с серыми ипишиниками - VoIp, IPTV приставки для
AG> выпуска онных в интернет на сервера CAS и так далее 3) VRF_WНITE
AG> сервера,клиенты после ната на брасах и так далее.
AG> Сейчас все клиенты уже после NAT на брасах попадают VRF_WНITE и далее уже
AG> на DNS. Надоело что все клиенты попадают на DNS уже после nat на брасе
AG> (для клиентов с серыми IP). Поэтому и хотел проложить роут до серверов DNS
AG> через vrfgey в vrfwhite. Но только до DNS и ещё парочки серверов.
AG> Выдавать клиентам с серыми IP отдельные сервера DNS или плодить на
AG> серверах ещё по интерфейсу в сторону серых не хочется.

Я бы так не делал, и дело даже не в ликинге. Маршрутизация между серыми и
белыми адресами - это дорога в ад. Технически, конечно, ты так сделать можешь,
но это и тебе, и всем остальным людям, кто причастен сейчас или будет причастен
в сколь угодно отдаленном будущем к администрированию этой сети, нужно будет
помнить о том, что сделан вот такой вот косяк. Это очень дорого в эксплуатации.

Не очень понимаю, в чем ты видишь проблему, что в DNS клиенты приходят после
ната. Ну приходят - и приходят. Если тебе не нужно управлять респонсами на
уровне per-client - то и пусть приходят. Если нужно per-client - то добавить
своим серверам дополнительный виртуальный интерфейс с серым адресом гораздо
правильнее.

Но если тебе прямо хочется сделать так, как ты описал - то сделать это можно,
никаких технических препятствий нет. Не забыть только обеспечить и обратные
маршруты - серверы должны будут знать, куда отправлять пакеты для серых
адресов, если у них просто дефолт в белый vrf - придется еще и ликать серые
сети в белый vrf.

Но я бы так не делал.

Bye, Valery

--- GoldED+/W32-MINGW 1.1.5-b20150715

Eugene Grosbein написал(а) к Valery Lutoshkin в Jan 17 19:22:18 по местному времени:

15 янв 2017, воскресенье, в 13:53 NOVT, Valery Lutoshkin написал(а):

VL> Я бы так не делал, и дело даже не в ликинге. Маршрутизация между серыми и
VL> белыми адресами - это дорога в ад.

Ничего подобного. На самом деле между белыми и серыми адресами внутри
автономной системы разницы нет НИКАКОЙ.

Единственная разница - один раз озаботиться, чтобы в NAT попадал только
трафик с серых адресов (это умеет любой NAT engine) и чтобы бордер
фильтровал трафик с серыми адресами на границе сети. Всё.

VL> Технически, конечно, ты так сделать можешь,
VL> но это и тебе, и всем остальным людям, кто причастен сейчас или будет причастен
VL> в сколь угодно отдаленном будущем к администрированию этой сети, нужно будет
VL> помнить о том, что сделан вот такой вот косяк. Это очень дорого в эксплуатации.

Неправда.

VL> Но я бы так не делал.

Вот-вот - это чистая вкусовщина.

Eugene
--
Устав от вечных упований,
Устав от радостных пиров
--- slrn/1.0.2 (FreeBSD)

Anton Gorlov написал(а) к Valery Lutoshkin в Jan 17 16:50:10 по местному времени:

Привет Valery!

15 янв 17 года (а было тогда 12:53)
Valery Lutoshkin в своем письме к Anton Gorlov писал:

VL> Не очень понимаю, в чем ты видишь проблему, что в DNS клиенты
VL> приходят после ната. Ну приходят - и приходят. Если тебе не нужно
VL> управлять респонсами на уровне per-client - то и пусть приходят. Если
VL> нужно per-client - то добавить своим серверам дополнительный
VL> виртуальный интерфейс с серым адресом гораздо правильнее.

В общем случае да не проблема что идут после ната.
Но с другой стороны если чт офиш найдёш кто флудит.
2 линк на сервере ещё больший гемморой, так как нужно будет рисовать таблицу роутинга ещё на самом сервере, что зло.

В общем случае мне хотелось бы видить запросы из серой сети внутри моей AS на своих серверах без NAT-а.
Не на всех но на основных.


VL> Но если тебе прямо хочется сделать так, как ты описал - то сделать
VL> это можно, никаких технических препятствий нет. Не забыть только
VL> обеспечить и обратные маршруты - серверы должны будут знать, куда
VL> отправлять пакеты для серых адресов, если у них просто дефолт в белый
VL> vrf - придется еще и ликать серые сети в белый vrf.
VL> Но я бы так не делал.

Да. Но есть некотоыре белые подсети..не все..куда хотелось бы ходить без ната. Я согасен даже вынести их в отдельный vrf.

Хоят у меня тут ещё едет чудо инженерной мысли SNR-S4550-24XQ-AC
Думаю может между нужными подсетями пороутить на нём...?


С уважением. Anton aka Stalker

Linux Registered User #386476
[#TEAM:*#] [#Злой СисОп_#] [*Нeavy Metal!*] [*_Усачи]
--- GoldED+/LNX 1.1.5-b20160322