| #24681 | From: | Eugene Grosbein |
| To: | Vladimir Bobarykin | |
| Date: | 16-09-2018 00:03:20 | |
| Subj: | Re: NAT в несколько интерфейсов |
15 сент. 2018, суббота, в 10:17 NOVT, Vladimir Bobarykin написал(а):
AK>> Коллеги, снимите с ручника, plz. Есть несколько интерфейсов:
VB> [skip]
AK>> Вот как настроить subj так, чтобы для сетей, которые за Fa0/1 оно
AK>> натило в Fa0/1, для сетей, которые за Fa0/2 оно натило в Fa0/2, а
AK>> остальное - в интернет?
VB> Посмотри в сторону route-map'ов.
По сути, тут требуется поддержка нескольких независимых инстансов NAT
и route-map'ы сами по себе её не дают.
Hа FreeBSD это было бы либо создание нескольких отдельных ipfw nat instance,
либо то же самое в natd - он тоже поддерживает независимые инстансы.
Hа простых цисках, боюсь, никак. Разве что извращения с VRF.
Eugene
--
Что делать?! Мир стоит на воровстве!..
Воруют в Самарканде и в Хиве,
В Ширазе, в Тегеране и в Стамбуле
И даже - страшно вымолвить - в Москве!..
--- slrn/1.0.3 (FreeBSD)
* Origin: RDTC JSC (2:5006/1@fidonet)
SEEN-BY: 5006/1 5020/545 1042 4441 5080/102 6090/1
PATH: 5006/1 5080/102 5020/545 4441 1042 6090/1
AK>> Коллеги, снимите с ручника, plz. Есть несколько интерфейсов:
VB> [skip]
AK>> Вот как настроить subj так, чтобы для сетей, которые за Fa0/1 оно
AK>> натило в Fa0/1, для сетей, которые за Fa0/2 оно натило в Fa0/2, а
AK>> остальное - в интернет?
VB> Посмотри в сторону route-map'ов.
По сути, тут требуется поддержка нескольких независимых инстансов NAT
и route-map'ы сами по себе её не дают.
Hа FreeBSD это было бы либо создание нескольких отдельных ipfw nat instance,
либо то же самое в natd - он тоже поддерживает независимые инстансы.
Hа простых цисках, боюсь, никак. Разве что извращения с VRF.
Eugene
--
Что делать?! Мир стоит на воровстве!..
Воруют в Самарканде и в Хиве,
В Ширазе, в Тегеране и в Стамбуле
И даже - страшно вымолвить - в Москве!..
--- slrn/1.0.3 (FreeBSD)
* Origin: RDTC JSC (2:5006/1@fidonet)
SEEN-BY: 5006/1 5020/545 1042 4441 5080/102 6090/1
PATH: 5006/1 5080/102 5020/545 4441 1042 6090/1
| #24682 | From: | Anton Gorlov |
| To: | Eugene Grosbein | |
| Date: | 15-09-2018 19:33:10 | |
| Subj: | igmp snooping |
Привет Eugene!
14 сен 18 года (а было тогда 01:18)
Eugene Grosbein в своем письме к Anton Gorlov писал:
AG>> В общем надо было почитать про PIM внимательнее...
AG>> У некоторых вендоров для таких случаев есть pim snooping, но это
AG>> 1 или 2 вендора.В данном случае правильнее будет каждого
AG>> PIM-соседа в свой vlan помещать.
EG> IGMP snooping и PIM snooping это разные вещи.
Да вот про PIM не дочитал и... получилсоь что получилось.ну и PIM SNOOPING мало кто умеет.
EG> Если у тебя на транзитном коммутаторе влан назначен только
EG> на два порта, то IGMP snooping на этом влане тут можно
EG> не включать за ненадобностью - IGMP snooping нужен только
EG> чтобы не плавать трафиком в порты, где для него нет потребителей,
EG> а в случае транзита с одного порт на другой всё равно таких
EG> "лишних" портов нет.
Уху. Но тут я скорее чисто в академических целях включал. Так каждый мультикаст роутер в своём влане жить будет.
EG> PIM snooping работает в дополнение к IGMP snooping на свичах,
EG> умеющих PIM и понимающих, на каких портах у них работают PIM-роутеры,
EG> которые роутят мультикаст-потоки между вланами и фильтрует
EG> потоки так, чтобы на PIM-роутеры уходили только нужные потоки.
EG> Без PIM snooping на каждый PIM-роутер такой свич дублирует все потоки.
С уважением. Anton aka Stalker
Linux Registered User #386476
[#*TEAM:*#] [#_Злой СисОп_#] [*Heavy Metal!*] [*_Усачи_*]
--- GoldED+/LNX 1.1.5-b20160322
* Origin: Press any key to format any disk (2:5059/37)
SEEN-BY: 5020/545 1042 4441 5059/37 6090/1
PATH: 5059/37 5020/545 4441 1042 6090/1
14 сен 18 года (а было тогда 01:18)
Eugene Grosbein в своем письме к Anton Gorlov писал:
AG>> В общем надо было почитать про PIM внимательнее...
AG>> У некоторых вендоров для таких случаев есть pim snooping, но это
AG>> 1 или 2 вендора.В данном случае правильнее будет каждого
AG>> PIM-соседа в свой vlan помещать.
EG> IGMP snooping и PIM snooping это разные вещи.
Да вот про PIM не дочитал и... получилсоь что получилось.ну и PIM SNOOPING мало кто умеет.
EG> Если у тебя на транзитном коммутаторе влан назначен только
EG> на два порта, то IGMP snooping на этом влане тут можно
EG> не включать за ненадобностью - IGMP snooping нужен только
EG> чтобы не плавать трафиком в порты, где для него нет потребителей,
EG> а в случае транзита с одного порт на другой всё равно таких
EG> "лишних" портов нет.
Уху. Но тут я скорее чисто в академических целях включал. Так каждый мультикаст роутер в своём влане жить будет.
EG> PIM snooping работает в дополнение к IGMP snooping на свичах,
EG> умеющих PIM и понимающих, на каких портах у них работают PIM-роутеры,
EG> которые роутят мультикаст-потоки между вланами и фильтрует
EG> потоки так, чтобы на PIM-роутеры уходили только нужные потоки.
EG> Без PIM snooping на каждый PIM-роутер такой свич дублирует все потоки.
С уважением. Anton aka Stalker
Linux Registered User #386476
[#*TEAM:*#] [#_Злой СисОп_#] [*Heavy Metal!*] [*_Усачи_*]
--- GoldED+/LNX 1.1.5-b20160322
* Origin: Press any key to format any disk (2:5059/37)
SEEN-BY: 5020/545 1042 4441 5059/37 6090/1
PATH: 5059/37 5020/545 4441 1042 6090/1
| #24683 | From: | Vladimir Bobarykin |
| To: | Eugene Grosbein | |
| Date: | 17-09-2018 08:57:03 | |
| Subj: | Re: NAT в несколько интерфейсов |
Здpавствуй, Eugene!
Воскресенье 16 Сентября 2018 00:03, ты писал(а) мне, в сообщении по ссылке area://carbonArea?msgid=grosbein.net+717b4528:
AK>>> Вот как настроить subj так, чтобы для сетей, которые за Fa0/1
AK>>> оно натило в Fa0/1, для сетей, которые за Fa0/2 оно натило в
AK>>> Fa0/2, а остальное - в интернет?
VB>> Посмотри в сторону route-map'ов.
EG> По сути, тут требуется поддержка нескольких независимых инстансов NAT
EG> и route-map'ы сами по себе её не дают.
я ротумапами делил подсети на ыход через разные интерфейсы, т.е сеть с влана-10 идет отправляется на шлюз-1, через первый провайдерский интерфейс, сеть с влана-20 отправляется на шлюз-2 провайдера-2, а там уже, в зависимости от того, куда отправился пакет - работает нужный нат.
С уважением - Vladimir
... Хромированный корпус прибора оцинкован вольфрамом.
--- Озаглавилась весна - топором, успокоилась река - декабрём...
* Origin: ... утро - одиноким выстрелом... (2:5034/13.1)
SEEN-BY: 5020/715 1042 4441 5034/13 6090/1
PATH: 5034/13 5020/715 4441 1042 6090/1
Воскресенье 16 Сентября 2018 00:03, ты писал(а) мне, в сообщении по ссылке area://carbonArea?msgid=grosbein.net+717b4528:
AK>>> Вот как настроить subj так, чтобы для сетей, которые за Fa0/1
AK>>> оно натило в Fa0/1, для сетей, которые за Fa0/2 оно натило в
AK>>> Fa0/2, а остальное - в интернет?
VB>> Посмотри в сторону route-map'ов.
EG> По сути, тут требуется поддержка нескольких независимых инстансов NAT
EG> и route-map'ы сами по себе её не дают.
я ротумапами делил подсети на ыход через разные интерфейсы, т.е сеть с влана-10 идет отправляется на шлюз-1, через первый провайдерский интерфейс, сеть с влана-20 отправляется на шлюз-2 провайдера-2, а там уже, в зависимости от того, куда отправился пакет - работает нужный нат.
С уважением - Vladimir
... Хромированный корпус прибора оцинкован вольфрамом.
--- Озаглавилась весна - топором, успокоилась река - декабрём...
* Origin: ... утро - одиноким выстрелом... (2:5034/13.1)
SEEN-BY: 5020/715 1042 4441 5034/13 6090/1
PATH: 5034/13 5020/715 4441 1042 6090/1
| #24684 | From: | Alexandr Kruglikov |
| To: | Vladimir Bobarykin | |
| Date: | 17-09-2018 15:40:14 | |
| Subj: | Re: NAT в несколько интерфейсов |
Привет, Vladimir!
*** Ответ на сообщение из CarbonArea (Мыльце для меня).
15 сен 18 12:17, Vladimir Bobarykin писал(а) к Alexandr Kruglikov:
AK>> Коллеги, снимите с ручника, plz. Есть несколько интерфейсов:
VB> [skip]
AK>> Вот как настроить subj так, чтобы для сетей, которые за Fa0/1 оно
AK>> натило в Fa0/1, для сетей, которые за Fa0/2 оно натило в Fa0/2, а
AK>> остальное - в интернет?
VB> Посмотри в сторону route-map'ов.
Ага, посмотрел =)
Как попробую - отпишусь.
С наилучшими пожеланиями, Alexandr.
--- "GoldED+/LNX 1.1.5-b20170303" ---
* Origin: Quo vadis, cinaede! - Куда прешь, п..дор! (2:5053/58)
SEEN-BY: 5020/1042 5053/58 6090/1
PATH: 5053/58 5020/1042 6090/1
*** Ответ на сообщение из CarbonArea (Мыльце для меня).
15 сен 18 12:17, Vladimir Bobarykin писал(а) к Alexandr Kruglikov:
AK>> Коллеги, снимите с ручника, plz. Есть несколько интерфейсов:
VB> [skip]
AK>> Вот как настроить subj так, чтобы для сетей, которые за Fa0/1 оно
AK>> натило в Fa0/1, для сетей, которые за Fa0/2 оно натило в Fa0/2, а
AK>> остальное - в интернет?
VB> Посмотри в сторону route-map'ов.
Ага, посмотрел =)
Как попробую - отпишусь.
С наилучшими пожеланиями, Alexandr.
--- "GoldED+/LNX 1.1.5-b20170303" ---
* Origin: Quo vadis, cinaede! - Куда прешь, п..дор! (2:5053/58)
SEEN-BY: 5020/1042 5053/58 6090/1
PATH: 5053/58 5020/1042 6090/1
| #24685 | From: | Eugene Grosbein |
| To: | Vladimir Bobarykin | |
| Date: | 18-09-2018 02:25:04 | |
| Subj: | Re: NAT в несколько интерфейсов |
17 сент. 2018, понедельник, в 06:57 NOVT, Vladimir Bobarykin написал(а):
AK>>>> Вот как настроить subj так, чтобы для сетей, которые за Fa0/1
AK>>>> оно натило в Fa0/1, для сетей, которые за Fa0/2 оно натило в
AK>>>> Fa0/2, а остальное - в интернет?
VB>>> Посмотри в сторону route-map'ов.
EG>> По сути, тут требуется поддержка нескольких независимых инстансов NAT
EG>> и route-map'ы сами по себе её не дают.
VB> я ротумапами делил подсети на ыход через разные интерфейсы, т.е сеть с влана-10
VB> идет отправляется на шлюз-1, через первый провайдерский интерфейс, сеть с
VB> влана-20 отправляется на шлюз-2 провайдера-2, а там уже, в зависимости от того,
VB> куда отправился пакет - работает нужный нат.
То есть PBR? Может сработать, да.
Eugene
--
Choose no life
--- slrn/1.0.3 (FreeBSD)
* Origin: RDTC JSC (2:5006/1@fidonet)
SEEN-BY: 5006/1 5020/545 1042 4441 5080/102 6090/1
PATH: 5006/1 5080/102 5020/545 4441 1042 6090/1
AK>>>> Вот как настроить subj так, чтобы для сетей, которые за Fa0/1
AK>>>> оно натило в Fa0/1, для сетей, которые за Fa0/2 оно натило в
AK>>>> Fa0/2, а остальное - в интернет?
VB>>> Посмотри в сторону route-map'ов.
EG>> По сути, тут требуется поддержка нескольких независимых инстансов NAT
EG>> и route-map'ы сами по себе её не дают.
VB> я ротумапами делил подсети на ыход через разные интерфейсы, т.е сеть с влана-10
VB> идет отправляется на шлюз-1, через первый провайдерский интерфейс, сеть с
VB> влана-20 отправляется на шлюз-2 провайдера-2, а там уже, в зависимости от того,
VB> куда отправился пакет - работает нужный нат.
То есть PBR? Может сработать, да.
Eugene
--
Choose no life
--- slrn/1.0.3 (FreeBSD)
* Origin: RDTC JSC (2:5006/1@fidonet)
SEEN-BY: 5006/1 5020/545 1042 4441 5080/102 6090/1
PATH: 5006/1 5080/102 5020/545 4441 1042 6090/1
| #24686 | From: | Denis Ognewsky |
| To: | Eugene Grosbein | |
| Date: | 18-09-2018 04:57:12 | |
| Subj: | Re: NAT в несколько интерфейсов |
From: "Denis Ognewsky" <Denis_Ognewsky@p70.f830.n5020.z2.fidonet.org>
Hello, Eugene Grosbein.
On 17.09.18 23:40 you wrote:
VB>> я ротумапами делил подсети на ыход через разные интерфейсы, т.е
VB>> сеть с влана-10 идет отправляется на шлюз-1, через первый
VB>> провайдерский интерфейс, сеть с влана-20 отправляется на шлюз-2
VB>> провайдера-2, а там уже, в зависимости от того, куда отправился
VB>> пакет - работает нужный нат.
EG> То есть PBR? Может сработать, да.
сработает. сюда еще добавить ip sla+tracking чтоб разворачивалось в случае падения канала и будет самое оно.
--
Best regards!
Posted using Hotdoged on Android
--- HotdogEd/2.13.5 (Android; Google Android; rv:1) Hotdoged/1482374710000 HotdogEd/2.13.5
* Origin: TITANIC Station, Moscow, Russia, ****://******.*****.ru (2:5020/830.830)
SEEN-BY: 5020/830 1042 6090/1
PATH: 5020/830 1042 6090/1
Hello, Eugene Grosbein.
On 17.09.18 23:40 you wrote:
VB>> я ротумапами делил подсети на ыход через разные интерфейсы, т.е
VB>> сеть с влана-10 идет отправляется на шлюз-1, через первый
VB>> провайдерский интерфейс, сеть с влана-20 отправляется на шлюз-2
VB>> провайдера-2, а там уже, в зависимости от того, куда отправился
VB>> пакет - работает нужный нат.
EG> То есть PBR? Может сработать, да.
сработает. сюда еще добавить ip sla+tracking чтоб разворачивалось в случае падения канала и будет самое оно.
--
Best regards!
Posted using Hotdoged on Android
--- HotdogEd/2.13.5 (Android; Google Android; rv:1) Hotdoged/1482374710000 HotdogEd/2.13.5
* Origin: TITANIC Station, Moscow, Russia, ****://******.*****.ru (2:5020/830.830)
SEEN-BY: 5020/830 1042 6090/1
PATH: 5020/830 1042 6090/1
| #24687 | From: | Eugene Grosbein |
| To: | Denis Ognewsky | |
| Date: | 18-09-2018 22:22:13 | |
| Subj: | Re: NAT в несколько интерфейсов |
18 сент. 2018, вторник, в 02:57 NOVT, Denis Ognewsky написал(а):
EG>> То есть PBR? Может сработать, да.
DO> сработает. сюда еще добавить ip sla+tracking чтоб разворачивалось в случае
DO> падения канала и будет самое оно.
tracking должно быть достаточно, зачем ip sla?
Eugene
--
Что делать?! Мир стоит на воровстве!..
Воруют в Самарканде и в Хиве,
В Ширазе, в Тегеране и в Стамбуле
И даже - страшно вымолвить - в Москве!..
--- slrn/1.0.3 (FreeBSD)
* Origin: RDTC JSC (2:5006/1@fidonet)
SEEN-BY: 5006/1 5020/545 1042 4441 5080/102 6090/1
PATH: 5006/1 5080/102 5020/545 4441 1042 6090/1
EG>> То есть PBR? Может сработать, да.
DO> сработает. сюда еще добавить ip sla+tracking чтоб разворачивалось в случае
DO> падения канала и будет самое оно.
tracking должно быть достаточно, зачем ip sla?
Eugene
--
Что делать?! Мир стоит на воровстве!..
Воруют в Самарканде и в Хиве,
В Ширазе, в Тегеране и в Стамбуле
И даже - страшно вымолвить - в Москве!..
--- slrn/1.0.3 (FreeBSD)
* Origin: RDTC JSC (2:5006/1@fidonet)
SEEN-BY: 5006/1 5020/545 1042 4441 5080/102 6090/1
PATH: 5006/1 5080/102 5020/545 4441 1042 6090/1
| #24688 | From: | Denis Ognewsky |
| To: | Eugene Grosbein | |
| Date: | 18-09-2018 22:54:19 | |
| Subj: | Re: NAT в несколько интерфейсов |
From: "Denis Ognewsky" <Denis_Ognewsky@p70.f830.n5020.z2.fidonet.org>
Hello, Eugene Grosbein.
On 18.09.18 19:41 you wrote:
EG>>> То есть PBR? Может сработать, да.
DO>> сработает. сюда еще добавить ip sla+tracking чтоб разворачивалось
DO>> в случае падения канала и будет самое оно.
EG> tracking должно быть достаточно, зачем ip sla?
давно это дело не готовил, но воспоминания такие, что ip sla мониторит и там можно выбрать способы типа icmp/http/... а tracking на основе этого принимает решение.
--
Best regards!
Posted using Hotdoged on Android
--- HotdogEd/2.13.5 (Android; Google Android; rv:1) Hotdoged/1482374710000 HotdogEd/2.13.5
* Origin: TITANIC Station, Moscow, Russia, ****://******.*****.ru (2:5020/830.830)
SEEN-BY: 5020/830 1042 6090/1
PATH: 5020/830 1042 6090/1
Hello, Eugene Grosbein.
On 18.09.18 19:41 you wrote:
EG>>> То есть PBR? Может сработать, да.
DO>> сработает. сюда еще добавить ip sla+tracking чтоб разворачивалось
DO>> в случае падения канала и будет самое оно.
EG> tracking должно быть достаточно, зачем ip sla?
давно это дело не готовил, но воспоминания такие, что ip sla мониторит и там можно выбрать способы типа icmp/http/... а tracking на основе этого принимает решение.
--
Best regards!
Posted using Hotdoged on Android
--- HotdogEd/2.13.5 (Android; Google Android; rv:1) Hotdoged/1482374710000 HotdogEd/2.13.5
* Origin: TITANIC Station, Moscow, Russia, ****://******.*****.ru (2:5020/830.830)
SEEN-BY: 5020/830 1042 6090/1
PATH: 5020/830 1042 6090/1
| #24689 | From: | Eugene Grosbein |
| To: | Denis Ognewsky | |
| Date: | 19-09-2018 13:11:02 | |
| Subj: | Re: NAT в несколько интерфейсов |
18 сент. 2018, вторник, в 20:54 NOVT, Denis Ognewsky написал(а):
EG>>>> То есть PBR? Может сработать, да.
DO>>> сработает. сюда еще добавить ip sla+tracking чтоб разворачивалось
DO>>> в случае падения канала и будет самое оно.
EG>> tracking должно быть достаточно, зачем ip sla?
DO> давно это дело не готовил, но воспоминания такие, что ip sla мониторит и там
DO> можно выбрать способы типа icmp/http/... а tracking на основе этого принимает
DO> решение.
А, ну да, если BGP full view нету, тогда ip sla.
При наличии full view можно и без ip sla.
Eugene
--
Что делать?! Мир стоит на воровстве!..
Воруют в Самарканде и в Хиве,
В Ширазе, в Тегеране и в Стамбуле
И даже - страшно вымолвить - в Москве!..
--- slrn/1.0.3 (FreeBSD)
* Origin: RDTC JSC (2:5006/1@fidonet)
SEEN-BY: 5006/1 5020/545 1042 4441 5080/102 6090/1
PATH: 5006/1 5080/102 5020/545 4441 1042 6090/1
EG>>>> То есть PBR? Может сработать, да.
DO>>> сработает. сюда еще добавить ip sla+tracking чтоб разворачивалось
DO>>> в случае падения канала и будет самое оно.
EG>> tracking должно быть достаточно, зачем ip sla?
DO> давно это дело не готовил, но воспоминания такие, что ip sla мониторит и там
DO> можно выбрать способы типа icmp/http/... а tracking на основе этого принимает
DO> решение.
А, ну да, если BGP full view нету, тогда ip sla.
При наличии full view можно и без ip sla.
Eugene
--
Что делать?! Мир стоит на воровстве!..
Воруют в Самарканде и в Хиве,
В Ширазе, в Тегеране и в Стамбуле
И даже - страшно вымолвить - в Москве!..
--- slrn/1.0.3 (FreeBSD)
* Origin: RDTC JSC (2:5006/1@fidonet)
SEEN-BY: 5006/1 5020/545 1042 4441 5080/102 6090/1
PATH: 5006/1 5080/102 5020/545 4441 1042 6090/1
| #24690 | From: | Denis Ognewsky |
| To: | Eugene Grosbein | |
| Date: | 19-09-2018 12:15:09 | |
| Subj: | Re: NAT в несколько интерфейсов |
From: "Denis Ognewsky" <Denis_Ognewsky@p70.f830.n5020.z2.fidonet.org>
Hello, Eugene Grosbein.
On 19.09.18 10:20 you wrote:
EG>>> tracking должно быть достаточно, зачем ip sla?
DO>> давно это дело не готовил, но воспоминания такие, что ip sla
DO>> мониторит и там можно выбрать способы типа icmp/http/... а
DO>> tracking на основе этого принимает решение.
EG> А, ну да, если BGP full view нету, тогда ip sla. При наличии full
EG> view можно и без ip sla.
если речь идет о NAT, то врядли там full view ;-)
--
Best regards!
Posted using Hotdoged on Android
--- HotdogEd/2.13.5 (Android; Google Android; rv:1) Hotdoged/1482374710000 HotdogEd/2.13.5
* Origin: TITANIC Station, Moscow, Russia, ****://******.*****.ru (2:5020/830.830)
SEEN-BY: 5020/830 1042 6090/1
PATH: 5020/830 1042 6090/1
Hello, Eugene Grosbein.
On 19.09.18 10:20 you wrote:
EG>>> tracking должно быть достаточно, зачем ip sla?
DO>> давно это дело не готовил, но воспоминания такие, что ip sla
DO>> мониторит и там можно выбрать способы типа icmp/http/... а
DO>> tracking на основе этого принимает решение.
EG> А, ну да, если BGP full view нету, тогда ip sla. При наличии full
EG> view можно и без ip sla.
если речь идет о NAT, то врядли там full view ;-)
--
Best regards!
Posted using Hotdoged on Android
--- HotdogEd/2.13.5 (Android; Google Android; rv:1) Hotdoged/1482374710000 HotdogEd/2.13.5
* Origin: TITANIC Station, Moscow, Russia, ****://******.*****.ru (2:5020/830.830)
SEEN-BY: 5020/830 1042 6090/1
PATH: 5020/830 1042 6090/1
