Как настроить свою сеть, которая является частью сети провайдера?

Question

[Егор]

Организация переехала к новому провайдеру, который предоставляет нам белые IP адреса.
Вот такие данные для подключения:

• IP: х.х.х.25-х.х.х.37
  
• Mask: 255.255.255.0
  
• Шлюз: x.x.x.1
  

Соответственно, хотя эти адреса и идут подряд, в одну подсеть не вписываются, и даже если нарезать, то шлюз провайдера окажется вне сети.
Для подключения есть роутер Cisco 2821 (2 ports) и коммутатор Cisco 2950 (12 ports).
Физический интерфейс провайдера - один порт Ethernet.
Использование только коммутатора без роутера чревато тем, что на стороне провайдера на мой коммутатор срабатывает бродкаст шторм и блокировка.
Как можно осуществить подключение?

Answer 1

[ShiftInsert]

Провайдерский линк заходит в свич, в влан ISP.
Все остальные девайсы, у которых должны быть белые ip, подключаются в этот же свич, в влан ISP.
Подключить роутер можно двумя вариантами:
1. Оба физических порта подключены к свичу, один порт с белым ip - в влан ISP, второй порт - транковый (с сабинтерфейсами), в нём присутствуют все используемые в локальной сети вланы.
2. Один физический порт подключен к свичу транком (с сабинтерфейсами), среди прочих вланов в транковом порту есть и влан ISP, на сабинтерфейсе этого влана прибит белый ip. Второй физический порт остаётся свободным.

Проблем с предложенной провайдером адресацией не вижу, там всё ок.
И откуда возьмётся бродкаст шторм, если вы к провайдеру подключены одним линком?
Если пров не хочет бить сеть в 256 адресов на подсети - могу предположить, что для экономии адресов, то он должен быть готов и к тому, что количество бродкастов на конкретном порту будет выше обычного, но, тем не менее, ничего страшного в этом нет.
По факту сообщаю, что у меня порядка 20-ти филиалов подключены по схеме ISP - Switch - Router и ни разу не возникало вопросов касательно избыточных бродкастов.

Comments

[Егор]

Уже подключил, дело было в STP

Answer 2

[mureevms]

хотя эти адреса и идут подряд, в одну подсеть не вписываются

Как это не вписываются? Они принадлежат описанной сети /24, все нормально.

Comments

[Егор]

...правда с довеском из 240 чужих IP. И это не решает вопрос подключения

[mureevms]

eloki: тогда обращайтесь к оператору, чтобы они выделили подсеть только Вам

[Егор]

mureevms: вероятно, Вы не поняли вопрос. Как подключить несколько устройств к этой сети? Если через роутер, то какие настройки роутера сделать, чтобы можно было маршрутизировать свои адреса в Интернет с учетом перекрытия диапазонов (network overlaps, как ругается Packet Tracer)?
Если через коммутатор, то как отключить бродкаст на порту, который смотрит на провайдера?

[mureevms]

eloki: eloki: не знаю как осуществить конкретно на микротике. На линуксе в теории делается так:
1. Белая подсеть маршрутизируется достаточно легко:
Надо LAN интерфейсу, который физически скомутирован с локальной сетью, назначить адрес из белой подсети, пусть будет х.х.х.25/24 без указания шлюза. Теперь он должен быть доступен из интернета.
2. Как выдавать адреса не суть, хоть руками прописывайте. Для раздачи адресов надо конечной машине назначить любой свободный IP из белой подсети, пусть будет следующий - х.х.х.26/24 и указать шлюзом LAN интерфейс (х.х.х.25). Теперь и эта машина должна быть доступна из инета.

Answer 3

[Руслан Федосеев]

странный у вас провайдер. я вот даже не знаю, чтобы меня заставило так выдать адреса клиенту. по моему проще выдать /30 на подключение и /29 отмаршрутизировать...
А нельзя уговорить провайдера выдать по человечески?

Comments

[Егор]

Провайдер дал странные настройки, да, но "они не имеют технической возможности"

[Руслан Федосеев]

нууу...
тогда первый выданный вам адрес вешаем на роутер, а вот с остальными... или прописываете роутинг на роутере до каждого адреса во внутреннюю сеть.. Ну и тогда надо что то с арпом сделать, чтобы трафик к вам приходил.. Но это уже цисководов пытать надо

[Руслан Федосеев]

ну или все адреса на роутере, а там уже правила ната и фаервола...

Answer 4

[throughtheether]

Физический интерфейс провайдера - один порт Ethernet.

На месте провайдера было бы уместно, на мой взгляд, использовать unnumbered интерфейс и vlan на пользователя. Тогда бы с вашей стороны любого коммутатора хватило.

Использование только коммутатора без роутера чревато тем, что на стороне провайдера на мой коммутатор срабатывает бродкаст шторм и блокировка.

Статические ARP-записи и фильтры широковещательного/многоадресного трафика вам могут помочь, хотя такой подход снизит удобство управления сетью.

Comments

[Валентин]

Скорее всего провайдер и отдает ему 12 адресов через ip-unnumbered, просто так их проще учитывать и меньше требований к квалификации персонала.

Answer 5

[Андрей Ермаченок]

Как настроить свою сеть, которая является частью сети провайдера

Зачем?
Для чего нужно, чтобы юзерские компы имели белые адреса и смотрели в Инет???

Comments

[Егор]

Там не будет юзерских компов, юзеры за NATом одного из этих адресов, остальные - другие сервисы.

[Андрей Ермаченок]

eloki: У меня свитч смотрит в Инет - проблем нет. 5 адресов идут от медиаконвертора после оптики.