Задать вопрос

asmelnik

Ответы пользователя по тегу Сетевое администрирование

  • Можно ли частично изменить маску подсети в сети организации?

    @asmelnik
    Не стоит такого делать.
    1. например 10.0.100.123 /23 никогда не свяжется с 10.0.102.123 /22
    Причина -- 10.0.100.123 не ответит на ARP запросы из сети 10.0.102.... т.к. это НЕ его подсеть, а узлы из 10.0.102.../22 не пойдут на 10.0.100.../23 через шлюз, т.к. для этих узлов это "родная" сеть.

    2. У этих сетей разный бродкаст.
    Бродкаст 10.0.101.255 для 10.0.100.0/23 уже превращается в самый обычный IP для 10.0.100.0/22
    И все, что завязано на бродкаст будет работать неизвестно как..
    Причем это "неизвестно как" платформозависимо.
    Например в одних реализациях в бродкаст пакете не проверяется IP, (только МАС проверяется). А в других IP тоже проверяется, вот и будет непоймичто.
    Да, есть масса примеров из жизни "Я вот так делал, и у меня все работало..."
    Поправочка -- вы не нарвались на то, что не работало.

    В общем -- сделать можно, но при каждом глюкане начинать поиск решения с проверки -- а не тут ли собака порылась??
    Ответ написан
    1 комментарий
    1 комментарий

  • Squid: почему маршрутизация работает только для доменов?

    @asmelnik
    По-моемому у вас бардак с правилами и недопонимание принципа работы...

    Почему-то мне кажется, что например в наборе 
    never_direct allow !novpn_domain
never_direct allow !novpn_ip4

    Второе правило просто никогда не сработает на acl novpn_ip4, т.к. уже первое выдаст для него allow.

    С первого взгляда может показаться, что это эквивалент набора:
    never_direct deny novpn_domain
never_direct deny novpn_ip4


    Однако это не так.
    в первом (вашем) варианте запрос вида http://1.2.3.4 уже на never_direct allow !novpn_domain получит allow и все.
    Во втором варианте http://1.2.3.4 не попадает в acl novpn_domain, следовательно анализ пойдет дальше.

    Попробуйте конфиг что-то вроде:
    acl all src 0.0.0.0/0.0.0.0

# IP, которые не должны идти через Сервер №2
acl novpn_ip4 dst 10.8.0.1/24

# Домены, которые не должны идти через Сервер №2
acl novpn_domain dstdomain .ru
acl novpn_domain dstdomain .vk.com
acl novpn_domain dstdomain .archlinux.org

http_port 34004

forwarded_for delete

cache_peer 10.8.1.1 parent 34004 0 default

always_direct allow novpn_domain
always_direct allow novpn_ip4
never_direct allow all
http_access allow all
    Ответ написан
    Комментировать
    Комментировать

  • Какое сетевое оборудование выбрать: Mikrotik или Zyxel?

    @asmelnik
    Смотрите в сторону тех, у кого есть полный набор всего, что надо и кто не ушел из РФ.

    https://www.cnews.ru/news/top/2022-03-04_znamenity...
    Т.е. микрот типа ушел. И смысл его в новые проекты закладывать??

    Huawei -- полный спектр любого уровня. По разнообразию телекомовского железа там ни зюх ни микрот и рядом не валялся.
    Или из отечественного смотрите.
    Ответ написан
    7 комментариев
    7 комментариев

  • Слабый интернет после смены роутера и модема, как исправить?

    @asmelnik
    Меряете хотя бы спидтестом до ближайшего к вам сервера .
    Если к скорости вопросов нет -- то остальное явно не к модему, и скорее всего не к роутеру.
    И в 9-ти из 10 случаев даже не к провайдеру....
    Ответ написан
    Комментировать
    Комментировать

  • Какой сервис предоставляем наиболее полный/актуальный список подсетей по IP/ASN?

    @asmelnik
    Ripe ncc- источник данных
    ripe.net
    Для Европы и части Азии.
    Если глобально:
    IANA+ICAN
    https://www.iana.org/numbers
    Далее 6 RIR-ов.
    Все остальное вторично.
    whois- актуально с отставанием в пару недель.
    Ответ написан
    2 комментария
    2 комментария

  • Неестественно долгий старт сервера Linux, что может быть?

    @asmelnik
    В логах отображается в том числе временные метки старта того или иного сервиса.
    Они о чем говорят?
    Если сервер "железячный" (да и виртуальный тоже) - подключайтесь к "локальному монитору" и смотрите.
    Как вариант -- рейд -контроллер при каждом старте проводит полную пересинхронизацию зеркала (бывало такое), или был случай, когда рейд-контроллер искал и инициализировал HDD по 8-10 минут...
    Ответ написан
    3 комментария
    3 комментария

  • Как по ВПН соединить две сети с одинаковым поддиапазоном 192.168.0.1/24?

    @asmelnik
    Классика говорит, что НЕТ!
    Сети НЕ ДОЛЖНЫ ПЕРЕСЕКАТЬСЯ!

    "Костыли" при определенных условиях возможны, вроде proxy arp, проброса портов и.т.д.
    Но они имеют свои ограничения и условия применимости.

    Самое правильное одну из сетей перекинуть в другой диапазон, например
    192.168.1-255.0/24
    Если так уж принципиально 192.168.0.xxx
    Можно одну сеть сделать
    192.168.0.0/25 (адреса 1-126)
    вторую
    192.168.0.128/25 (адреса 129-254)
    Если в каждой сети менее 120-ти хостов,
    и маршруты 192.168.0.0/24 указать в VPN.

    Учитывая отсутствие возможности изменения второй сети и жесткое условие сохранения адрессации -- нормального решения НЕТ!
    Узел 192.168.0.12 в сети 1 НИКОГДА не сможет связаться (по IP) с узлом 192.168.0.12 в другой сети.
    Вот СОВСЕМ!
    (Проброс портов не считаем, это несколько иное условие).
    Ответ написан
    8 комментариев
    8 комментариев

  • Как настроить маршрутизацию между VLAN на hpe flexnetwork 5130?

    @asmelnik
    На 192.168.1.1 надо прописать маршрут к сети 192.168.20.0/24 через 192.168.1.11
    И у всех в сети 192.168.20.0/24 шлюзом должен быть 192.168.20.1
    И у Вашего L3 коммутатора, который 192.168.1.11, шлюзом должен быть 192.168.1.1

    И да, могут быть на 192.168.1.1 приколы, связанные с icmp redirect...
    Т.к. у вас пакет из 192.168.1.0/24 для 192.168.20.0/24 шлюз 192.168.1.1 должен отправить в тот же интерфейс, с которого принял. А в IPv4 на этот счет есть отдельные заморочки.

    Такая проблема "рулится" легко.
    Итерация 1-- путь запросов в инет:
    1) есть ли шлюз у хоста? Доступен ли он?
    2) на шлюзе хоста >=2 интерфейса? шлюз "смотрит" в какой интерфейс? Доступен ли щлюз?
    3) повторяем 2) для следующего шлюза пока до выхода в инет не дойдем.

    Итерация 2 -- путь ответов из инета:
    1) знает ли инетовский шлюз, что сеть "хоста" (в вашем случае VLAN20) где-то есть?если нет -- прописываем маршрут, если да -- доступен ли шлюз для этой сети и идем на него.
    2) Знает ли следующий шлюз о сети "хоста" (в вашем случае VLAN20)? если нет -- прописываем маршрут, если да -- доступен ли шлюз для этой сети и идем на него. ... повторяем 2), пока не дойдем до самого "хоста"

    IP -- он не симметричен, каждый маршрутизатор принимает самостоятельное решение куда отправить пакет исключительно опираясь на адрес назначения (по классике, иное настраивается отдельно для особых случаев).
    Есть отдельный путь "туда", и совершенно независимый "обратно", автоматического "туда-обратно" в IP НЕ ПРЕДУСМОТРЕНО от слова "совсем".
    Ответ написан
    2 комментария
    2 комментария

  • Возможно ли изменить ipv4 для VPS ovhcloud?

    @asmelnik
    Т.к. UK попадает в зону обслуживания RIPE NCC, то и первоисточник именно там, Идете на
    ripe.net
    Вбиваете ваш адрес и смотрите кому он принадлежит, и к какому государству приписан.
    Если там реально FR, а не UK -- обращаетесь к хостеру с запросом. Сами вы IP не поменяете вот вообще никак. Если хотите узнать "почему" -- изучаете структуру управления адресным пространством:
    что такое RIR, LIR, AS, PA, PI в аспекте IPv4 глобальной адресации.
    (костыли в виде зарулить все через VPN какой-то 3-ей стороны не рассматриваем)
    Ответ написан
    Комментировать
    Комментировать

  • Как объединить коммутатор avaya VSP и extreme x690?

    @asmelnik
    Datasheet
    https://cloud.kapostcontent.net/pub/44317954-ef18-...
    стр 9-10 1G трансиверы для Extreme Summit X690-48x-2q-4c
    Вам надо пара SFP трансиверов под вашу оптику.
    Ну и проверить, что порты на обоих коммутаторах реально рабочие.
    Ответ: если все оборудование в исправном состоянии -- можно обьединить
    Ответ написан
    2 комментария
    2 комментария