Задать вопрос
  • В чём состоит отличие между CG-NAT и обычным NAT?

    Loiqig
    @Loiqig
    инженер по сетям корпоративной сети
    Это и есть обычный NAT/NAPT просто заточенный на большое количество трансляций и максимальную утилизацию выделенных пулов адресов и портов. Существует BCP127 он же RFC6888 где описаны рекомендации и требования к построению NAT на больших объёмах. Предполагается что надо максимально снизить время жизни сессии, но не больше чем надо и позволить операторам крутить другие важные штуки, в частности ограничение по трансляциям, выделение блоков портов за раз, лимитирование использование памяти. Ничего принципаильно отличающегося от "обычного" NAT в нём нет.

    Ещё под это дело выделили целый 100.64.0.0/10 префикс, чтобы делать двойные трансляции и не пресекаться с другими провайдерами, если необходимо будет запириться напрямую, опять же чтобы не использовать публичные адреса.

    Провайдеры не часто используют терминологию Symmetric, Cone/Full Cone, Address-Re.... CgNAT как и просто NAT будет Symmetric или Address-Restricted или Port-Restricted, в разных реализациях по разному. Возможность установить соединение на адрес NAT - не самое главное в NAТ для провайдеров ;), провайдеры для этого белые IP продают.
    Ответ написан
    Комментировать
  • Как реализовать редирект пользователей определенной подсети?

    Loiqig
    @Loiqig
    инженер по сетям корпоративной сети
    Вам нужно поискать и почитать про Policy Base Routing (PBR), механизм который как раз позволяет повернуть трафик по определённым условиям на определённый адрес. В простейшем случае,
    создаём ACL со списком адресов платёжных систем и пулом отключенных абонентов:
    ip access-list standard banks
     permit ip host <IP первого банка>
     permit ip host <IP второго банка>
     ...
    !
    ip access-list standard disabled-subscribers
     permit ip <первый пул отключенных абонентов>
     permit ip <второй пул отключенных абонентов>
     ...

    Создаём правила перенаправления. Первое правило deny 10, запрещает перенаправление для адресов определённых в ACL banks, то есть разрешает их. Второе правило permit 20, перенаправляет весь оставшийся трафик из пула отключенных абонентов disabled-subscribers на нужный сервер со страницей оплаты:
    route-map paypage-redirect deny 10
     match ip address banks
    route-map paypage-redirect permit 20
     match ip address disabled-subscribers
     set ip next-hop <IP сервера с информационной страницей>

    Это правила перенаправления применяются к интерфейсу абонента, можно сделать средствами биллинга через Radius атрибуты:
    subscriber id10513560
     ip policy route-map paypage-redirect

    На сервере куда производится перенаправление поднимается HTTP сервер и включается destination NAT, чтобы он отвечал на все запросы даже не к своему адресу.

    Обычно на сайтах поддержки биллинговых систем или на форумах есть примеры на любой вкус и варианты решения именно таких задач, может быть даже техподдержка решает такие вопросы если им написать.
    Ответ написан
  • Литература для изучения BRAS'ов и SSG/ISG?

    Loiqig
    @Loiqig
    инженер по сетям корпоративной сети
    Это прямо сложный вопрос. Я не встречал какой-то специальной литературы именно вот по этим темам. Возможно она есть в разрезе конкретных производителей, скорее даже моделей устройств и как их конфигурировать. С точки зрения теории стоит искать не BRAS или SSG/ISG, а стоит искать AAA (Авторизация Аутентификация Аккаунитинг), PPP (скорее PPPoE), IPoE и как это применяется в интернет провайдерах. С точки зрения практики это статьи, но они в массе своей будут очень конкретные, например, как настроить PPPoE и Radius на вендорнейм, или подобное. Вот один пример, а вот второй.

    SSG/ISG это терминология Cisco, BRAS более общее название, сейчас есть ещё термин BNG. Суть во всех одна, происходит авторизация абонента (subscriber) к нему применяются политики QoS, ACL, полисинга и прочее и прочее. То есть это обычные функции многих маршрутизаторов, но в случае BRAS они применяются не к интерфейсу, а скажем так к виртуальной сущности - подписчику, который суть одно - интерфейс, но управление которым происходит не напрямую, а через, протоколы реализующие AAA, например, Radius или Tacacs+
    Ответ написан
    3 комментария
  • Почему не работает маршрутизация у пользователей в разных vlan?

    Loiqig
    @Loiqig
    инженер по сетям корпоративной сети
    Если это коммутатор который может маршрутизировать, так как не все могут, то по умолчанию он этого не делает. Чтобы это включить используется команда ip routing. Не очень новый документ но как раз по вашему вопросу.
    Ответ написан
    Комментировать
  • Что такое покраска трафика в QoS?

    Loiqig
    @Loiqig
    инженер по сетям корпоративной сети
    Покраска трафика это манипуляция с DSCP, поле DS (ToS) в IP пакете, в дополнение к нему ещё поле ECN там же. Может ещё встречаться IP-precedence, это всё там же но из древних документов.
    На втором уровне Ethernet, это манипуляция с полем CoS (802.1p) которое появляется в спецификации виланов 802.1q
    Соответствующие заголовки есть во многих других протоколах, в MPLS, например, это поле TC.

    Краска здесь не более чем грубое упрощение. Количество красок для CoS - 8, а для DSCP целых 64. И 3-мя цветами тут уже не отделаешься. Конечно есть определённые соглашения какой трафик чем метить, в общем случае чем больше число тем трафик более приоритетный.

    Но, на самом деле это ничего не значит это просто число. По мере продвижения трафика каждый отдельный узел на пути сам решает что делать с трафиком помеченным тем или иным образом.
    Ответ написан
    1 комментарий
  • Как настроить Cisco ACL для ограничения в одном влане?

    Loiqig
    @Loiqig
    инженер по сетям корпоративной сети
    • Vlan ACL - условная фильтрация внутри вилана, как обычные ACL только на вилане. Вот тут простой пример, вот тут собственно документация
    • Port ACL - в общем те же обычные ACL, но привязанные к физическому порту фильтруют только на вход этого порта, все виланы сразу если trunk
    • Если нужно попроще только изолировать порты друг от друга, то это или Private VLAN или switchport protected
    • А ещё MAC ACL - отсеиваем трафик по макам
    Ответ написан
    Комментировать
  • Какие подсети ipv6 не маршрутизируются в интернете?

    Loiqig
    @Loiqig
    инженер по сетям корпоративной сети
    Первоисточник какие адреса для чего это https://www.iana.org/assignments/ipv6-address-spac... смотрите комментарии и ссылки на другие документы, в частности адреса для разных специальных случаев https://www.iana.org/assignments/iana-ipv6-special...

    В интернете на данный момент могут маршрутизироваться только сети 2000::/3 и то не все, многие из них ещё не распределены. Для домашней сети правильно использовать подсеть из того диапазона который выдал вам провайдер, то есть если ваша LAN будет подключаться к интернет то её адресация зависит от того какое адресное пространство выделит для вас провайдер - NAT не существует.

    Если это 100% навсегда будет изолированная сеть, то надо использовать адреса fd00::/8 которая имеет рекомендуемую структуру внутри одной LAN fdXX:XXXX:XXXX::/48 где X - псевдослучайная последовательность, остаток на ваше усмотрение.
    Ответ написан
    Комментировать
  • Ubuntu 18.04 не распределяется трафик bond lacp как починить?

    Loiqig
    @Loiqig
    инженер по сетям корпоративной сети
    Попробуйте поменять алгоритм балансировки. Со стороны D-Link это команда config link_aggregation algorithm, со стороны Linux и netplan это опция transmit-hash-policy (xmit_hash_policy). Надо смотреть по профилю трафика конечно, но обычно чтобы максимально размазать надо делать L3+L4 режим.
    Ответ написан
    Комментировать
  • Почему после смены cisco на dlink перестал работать транк?

    Loiqig
    @Loiqig
    инженер по сетям корпоративной сети
    Я вижу что у вас всего 3 вилана: Office tag 2, Edu tag 3, WiFi tag 4.

    На Cisco порт 13 настроен:
    interface FastEthernet0/13
     description Hotel_Trunk
     switchport access vlan 2
     switchport mode trunk

    где строчка switchport access vlan 2 не играет никакой роли, так как включен режим trunk и каждый вилан идёт с тегом.

    На D-Link режим trunk это отдельная сущность, его на 3100 может и не быть, точно не помню, но например на 36 серии есть. Поэтому универсальный способ добавить все виланы на 13 порт в ручную в режиме tag, у вас же в конфиге присутствует только такая строчка для 13 порта:
    config vlan Office add untagged 1:(3-18)
    то есть добавлен только один порт и тот в режиме untag. Чтобы поправить ситуацию надо сделать вот так:
    config vlan Office del 1:13
    config vlan Office add tagged 1:13
    config vlan Edu add tagged 1:13
    config vlan WiFi add tagged 1:13

    Будте осторожны D-Link не очень внимательно следит за тем как виланы добавляются, поэтому он не будет ругаться если вы будете накидывать, например, два разных вилана untag. Надо это контролировать самому.

    P.S. Не хватает конфига от 1100, тогда бы можно было точно сказать чего не хватает для сопряжения 3100 и 1100
    Ответ написан
    Комментировать
  • CCNA Study Guide или другие учебники?

    Loiqig
    @Loiqig
    инженер по сетям корпоративной сети
    Я начинал с Олиферов и сейчас бы поступил так же. Единственное можно не читать всё подряд, а прочитать введение, дальше про Ethernet и дальше про IP: маски и маршрутизация. После этого уже Cisco там упор всё же на практике больше, а теория нужна как ни крути. И опять вернуться к Олиферам чтобы совместить практику с теорией. Танненбаума можно оставить на потом.
    Ответ написан
    Комментировать
  • Как составить регулярное выражение для SED?

    Loiqig
    @Loiqig
    инженер по сетям корпоративной сети
    Если не сильно мудрствуя:
    sed -n 's/.*name="csrf.sign" value="\([0-9a-z]\+\)".*/\1/p'
    sed -n 's/.*name="csrf.ts" value="\([0-9]\+\)".*/\1/p'
    Ответ написан
  • RSTP на Ubiqiti, как его настроить?

    Loiqig
    @Loiqig
    инженер по сетям корпоративной сети
    Я вижу что RSTP просто не работает между двумя устройствами. Они живут в разных инстансах, если бы Cisco получала BPDU от Ubiquity то мы бы видели тип порта non-edge. Причина в том что rapid-pvst не то же самое что rstp.

    "Классический" RSTP у Cisco живёт в нетегированном вилане, поэтому решением будет или native vlan 100 на портах у Cisco или добавить первый вилан к портам Ubiquity. Надо выполнить правило RSTP = нетегированный трафик.

    Я не нашёл для edgeswitch, но для UniFi есть вот такой документ https://help.ubnt.com/hc/en-us/articles/3600068367... цитирую:
    Interoperability with PVST, PVST+, and Rapid Variants (Cisco)
    When integrating with Cisco's per-VLAN spanning tree implementations RSTP and STP are designated to the VLAN 1 instance of STP/RSTP on the Cisco switches.
    Ответ написан
  • Где может быть ошибка маршрутизации?

    Loiqig
    @Loiqig
    инженер по сетям корпоративной сети
    1. Windows XP не маршрутизирует ничего по умолчанию это надо включить. Статья от Microsoft для windows 2003 https://support.microsoft.com/ru-ru/help/323339/ho... для XP всё аналогично.
    Locate and click the following key in the registry:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    Set the following registry values:

    Value Name: IPEnableRouter
    Value type: REG_DWORD
    Value Data: 1

    NOTE: A value of 1 turns on (enables) TCP/IP forwarding for all network connections installed and used by this computer.

    2. Действия, как минимум лишние это должно уже быть в таблице маршрутизации как для подключенных интерфейсов. Это подключенные сети и должны разрешаться не через шлюз, а средствами доступа к среде.
    route add 192.168.2.0 mask 255.255.255.0 192.168.2.1
    route add 192.168.1.0 mask 255.255.255.0 192.168.1.1

    3. Вот тут вероятно опечатка
    route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.1.0

    Надо gw 192.168.1.1

    P.S. Windows не мой конёк, с точки зрения маршрутизации (настроек) у вас всё правильно.
    Ответ написан
    2 комментария