Какой основной принцип отправки пакетов IP на конкретный узел (хост) сети Интернет?

Если хранить только длину пути, без перечисления промежуточных узлов, есть шанс при выборе пути закольцевать трафик.
Соответственно, BGP AS Path - это оно самое.

Алгоритм Дейкстры же (привет, OSPF!) заставляет каждый узел хранить не просто информацию о доступности, а полный актуальный граф связей между узлами.
Да и ещё при этом важно не накосячить с реализацией.
И в случае Full Mesh это будет матрица 1000 * 1000.
Миллион элементов.

Соответственно, на большом числе узлов каждый узел будет жрать память как не в себя.

Сейчас - увы - гигабайты и гигагерцы считать немодно, а потом у людей комп на восьмиядерном процессоре чего-то тормозит ;)

Как связать клиенты с клиентом в разных сетях?

АртемЪ: Да вот как раз можно.
NAT TCP Hole Punching - это механизм, позволяющий сидящему за NAT устройству включить Port Forwarding из интернета к себе.

Единственная проблема заключается в том, что выделенные NAT'ом ip-адрес и внешний номер порта самому устройству неизвестны, и их надо как-то узнать и сообщить тому, кто к нему хочет подключиться.

Как связать клиенты с клиентом в разных сетях?

Таки можно.
NAT TCP Hole Punching + STUN спасут отца русской демократии ;)
Хотя чуть-чуть геморроя разработчику приложения добавят, да.

Какой объем широковещательного трафика в GPRS/3G сетях?

Xilian: мы, по всей видимости, оперируем разными определениями VPN.

К сожалению, ряд технических специалистов слишком упирается в протоколы, не видя в результате за деревьями леса.

Коллеги!
Мы сами по себе никому не нужны.
Наша ценность заключается в нашей способности реализовывать услуги, необходимые обычным людям, неспециалистам. Соответственно, и плясать надо от понятия "услуги" в противовес слишком часто встречающегося подхода "от реализации".

Давайте посмотрим, что такое услуга!

Я и, по-видимости, автор вопроса, VPN понимаем буквально: Virtual Private Network. Если попытаться передать смысл, то мы получаем набор узлов сети с особыми правилами маршрутизации потоков информации между ними.
Я специально формулирую это понятие максимально широко, поскольку в понятии Virtual Private Network вовсе не упоминается не то что протокол ip, но даже передача данных в принципе.
Тогда вдруг окажется, что услуга виртуальной АТС (она же Closed Subscriber Group) - это внезапно тоже VPN! Голосовая виртуальная частная сеть.

А если обратиться к такому частному случаю VPN, как IP VPN, то внезапно обнаружится, что IP VPN это набор экземпляров виртуальных IP-маршрутизаторов (VRF/VRF-Lite в терминологии Cisco, Routing Instance в терминологии Juniper, Context в терминологии Redback/Ericsson) и виртуальных каналов связи между ними.

Как именно это будет реализовано у оператора связи, заказчика совершенно волновать не должно. С его точки зрения, услуга заключается в том, чтобы "Из Ethernet-порта номер 5 в Москве, имея ip-адрес 1.2.3.4, достучаться до сервера в Сургуте, воткнутого в Ethernet-порт номер 10 с ip-адресом 5.6.7.8. И чтобы ни одна посторонняя скотина на это способна не была!"

Как это реализовать - уже наша головная боль, о которой, повторюсь, заказчику знать не надо вовсе. BGP L2VPN? BGP L3VPN? VPLS? Прямой Ethernet VLAN от Москвы до Сургута? ATM Virtual Circuit? Да чихал он на это! Ему надо доставить ip-пакет из точки A в точку B и обратно, причём так, чтобы сделать это мог только он и никто больше.

Так что довольно грустно видеть порой вроде бы технически грамотных инженеров, думающих, например, что IPSec - это VPN.
На самом деле, IPSec, наряду с OpenVPN, GRE и прочими - один из множества протоколов доступа к IP VPN - если проще, то способов туда попасть.
А IP VPN, на самом деле, это:
- сотрудники организации, подключенные по IPSec, плюс
- сотрудники организации, подключенные по OpenVPN, плюс
- сотрудники организации, подключенные через выделенный для организации APN (Access Point Name: человекочитаемый идентификатор виртуального маршрутизатора на BRAS/GGSN/PGW оператора мобильной связи), плюс
- сотрудники организации, сидящие в локальной вычислительной сети, плюс
- серверы, ip-сервисами которых все они пользуются, плюс
- экземпляры виртуальных ip-маршрутизаторов самой организации и всех задействованных операторов связи, делающие всё это возможным

Также, хотелось бы Xilian поправить:

Это не VPN, это VLAN, это Вы сами в терминах запутались. 10.х.х.х - серая сеть, заявление автора о том, что "это vpn отключенный от интернет" уже заявление о полной некомпетентности в вопросах построения сетей. Пусть сначала хоть азы освоит, а потом будет кричать об уязвимостях.

Я бы сказал, что:
1. В IP VPN зачастую можно задействовать действительно любую ip-адресацию независимо от Ip-адресации других IP VPN, включая её пересечение, реализованных на том же оборудовании.

2. Автор вопроса таки прав и, как правило, изоляция VPN от сети Интернет является одним из основных пунктов технического задания.
Со своей стороны, однако, хочу призвать автора изначального вопроса ещё раз очень внимательно перечитать договор на подключение, отдельно перечитать список того, что именно ему обещано согласно договору, сделав при этом поправку на слишком часто встречающуюся низкую техническую квалификацию сотрудника отдела по работе с корпоративными клиентами оператора связи при прекрасных, в то же время, его коммуникативных способностях.
Также, рекомендую при заключении подобных договоров:
- настаивать на участии в обсуждении со стороны оператора не только менеджеров, но и инженеров
- при формулировке требований техзадания руководствоваться одним из законов Мерфи: "то, что можно понять неправильно, будет понято неправильно"

3. VLAN это довольно узкий термин, относящийся к Ethernet, но, что удивительно, почему-то у ряда производителей оборудования Wi-Fi являющийся синонимом понятия "виртуальный ip-маршрутизатор", приводя к дикой путанице. Хочу, однако, напомнить, что ip-трафик не всегда ходит по Ethernet, а IP VPN, тем не менее, даже в таких случаях организовать можно ;)
Так что, из APN абонент попадает не в VLAN, а именно в виртуальный маршрутизатор узла BRAS/GGSN/PGW, который, в свою очередь, является частью VPN.

Какой объем широковещательного трафика в GPRS/3G сетях?

Xilian: раньше это называлось M2M (machine-to-machine), а сейчас для этого придумали новое слово IoT: Internet Of Things.

Это всевозможная телеметрия, которой высокая скорость не нужна, зато нужна массовость: квартирные счётчики электроэнергии и водоснабжения, датчики занятости парковки, банкоматы, наконец, те же.

И, кстати, стоит различать VPN-клиент в мобильном терминале (телефоне, маршрутизаторе) и VPN, реализованный штатными средствами мобильной сети самом оператором.

У GSM, в отличие от 3G и LTE есть замечательное свойство: заметно бОльшее покрытие с лучшей проникающей способностью в ущерб, правда, плотности абонентов.

Кстати, пример protsey с одним типа-VPN на всех корпоративных клиентов разом прекрасно иллюстрирует известную шутку о том, что буква S в аббревиатуре IoT означает Security ;)

Какой объем широковещательного трафика в GPRS/3G сетях?

Не пойдёт на это ни один вменяемый оператор.

Подобный приоритет для голосовых вызовов назначается т.н. спецслужбам, а если проще - номерам МЧС: 112, 911.
Работает это так: если при наборе спецномера все ресурсы заняты обычными голосовыми вызовами, один из них разрывается и освободившиеся ресурсы отдаются звонку в МЧС.

Тут надо понимать разницу между относительными приоритетами в передаче данных (низкоприоритетный абонент просто получит скорость чуть ниже) и абсолютными в голосовой связи (низкоприоритетный абонент окажется без связи вообще).

Ставить это в коммерцию никто не будет - ни официально, ни втихушку.

Какой объем широковещательного трафика в GPRS/3G сетях?

Вообще, с технологической точки зрения, при единообразном подходе к управлению абонентским трафиком, стабильность канала передачи не зависит от того, сидит ли абонент в общедоступной сети, либо в отдельной VPN, и упирается в радиоэфир, который для всех один - ну, с поправкой на существование механизмов Quality-Of-Service, параметры которых которые можно назначать даже не per-VPN, а на конкретного абонента по отдельности.

Поэтому, предполагаю, что бОльшая стабильность соединения в выделенном VPN - это , скорее всего, просто психологический эффект. Максимум, могут аукаться стабильности какие-либо страшные работы на системе тарификации. Но насколько часто надо ронять тарификатор с обравом сессий, чтобы абоненты заметили разницу... Думаю, здесь, скорее, психология.

Нормальный же корпоративный VPN нужен для:
- безопасности (это когда вы в нём только вы одни, а не как в вашем примере ;)
- упрощённой интеграции с центром обработки данных клиента: можно заказать Ip-подсеть не какая свободна у оператора, а какая удобна вам

В принципе, других преимуществ корпоративного мобильного VPN я не вижу

Как сделать оповещение о перестроение маршрута до устройства?

Очень-очень схемы не хватает.
А где тогда оптика? Соединяет свитчи напрямую, в обход цепочки конвертер-ВЧ-конвертер?

Как работает CDN?

1. Увы, да

2. По идее, с точки зрения браузера это должны бы быть два разных файла. Поэтому, я бы рассчитывал, что при переключении на другой узел CDN файл будет загружаться повторно.
Ещё это значит, что, если узлы CDN работают в едином общем пуле, скрипту-сортировщику есть смысл "прицеплять" пользователя к конкретному узлу CDN, запоминая связку пользователь->узел CDN как для целей кеширования, так и, возможно, минимизации побочных эффектов задержки в синхронизации изменений пользовательского профиля между узлами CDN.

Как средствами 1 Juniper EX2200 сделать маршрутизацию VLAN от провайдера?

Ага! Надо склеить несколько VLAN в одну сущность?

У Джунипера есть такая конструкция:
https://www.juniper.net/documentation/en_US/junos/...

Получается, должно получиться что-то вроде такого:

set vlans branches vlan-range 1800-1807
set vlans branches interface ge-0/0/23.0
set vlans branches interface ge-0/0/4.0

# транковый интерфейс в сторону офисов
set interface ge-0/0/23.0 family ethernet-switching port-mode trunk

# access-интерфейс в сторону головного офиса
set interface ge-0/0/4.0 family ethernet-switching port-mode access

Смогу ли я работать с juniper после Cisco?

На вкус и цвет... )
У джунипера другая идеология хранения настроек.

У циски идеология такая: чтобы настроить некую сущность, надо в неё зайти.
Т.е. каждая сущность - чёрный ящик, свойства которого меняются только изнутри него же.
Вот, для примера, создание интерфейса в циске:

hostname(config)# interface gigabitethernet0/1
hostname(config-if)# speed 1000
hostname(config-if)# duplex full
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown

В джунипере же конфиг - это единый документ, похожий по идее организации то ли на XML, то ли на Json.
Можно настраивать по шагам, как по привычке делают цисководы, но это будет долго:

# edit interfaces ge-0/0/0

{primary:node0}[edit interfaces ge-0/0/0]
# set vlan-tagging
# set description "some interface"

{primary:node0}[edit interfaces ge-0/0/0]
# edit unit 257

{primary:node0}[edit interfaces ge-0/0/0 unit 257]
# set vlan-id 257

{primary:node0}[edit interfaces ge-0/0/0 unit 257]
# edit family inet

{primary:node0}[edit interfaces ge-0/0/0 unit 257 family inet]
# set address 192.168.0.1/29

Но то же самое можно сделать от корня конфига намного короче:
{primary:node0}
# set interface ge-0/0/0 vlan-tagging description "some interface"
# set interface ge-0/0/0.257 vlan-id 257 family inet address 192.168.0.1/29

В результате, получится вот так:

{primary:node0}[edit]
# show interfaces

ge-0/0/0 {
vlan-tagging;
description "some interface"
unit 257 {
vlan-id 257;
family inet {
address 192.168.0.1/29;
}
}
}

И так настраивается любая сущность:
- интерфейсы
- vlan
- routing-instance (VRF в Cisco) и протоколы маршрутизации
- policy (ACL в Cisco)

Плюс, хранение истории изменений и возможность посмотреть, что поменялось, например, за последние две недели:
# show | compare rollback <номер коммита>

В общем, работает так же, а настраивать намного приятнее.

Какое устройство с поддержкой BGP поставить на границу сети?

mafusailmagoga
С Циской напрямую - нет. Да и сама Циска не будет парой железок заморачиваться.

А вот поддержка железки у местного интегратора - почему бы нет?
"Ребята, мы у вас купим, и ещё чуть-чуть доплатим, чтобы вы подключились, если у нас всё рухнет и мы не будем знать, что делать. И так три раза за год, если больше - заплатим отдельно."
Обычная практика.

А у интегратора, если он золотой/платиновый партнёр производителя, всё равно есть люди с вооот такенными сертификатами по проданным коробкам.

Какое устройство с поддержкой BGP поставить на границу сети?

Igorjan, глубже расшифровать фразу надо было)

Для дома, для небольшого офиса 1-3 человека, для лаборатории pfSense подойдёт как нельзя лучше.

Но!
Разница между бесплатной pfSense и платной коробкой от вендора заключается в в технической поддержке.
Когда коробка ляжет и откажется подниматься, что с ней ни делай, в случае pfSense ты с ней один на один. Коммьюнити штука хорошая, но никто ради тебя лично задницу рвать не станет: а ты кто такой вообще?
А у вас в конторе производство встало, вагоны не разгружаются и налоговый отчёт за год сдавать надо вотпрямощас.

В случае с коммерческим же решением всегда есть человек умнее тебя, которого можно разбудить в три часа ночи с вопросом "какого фига? Чини давай!"

Зачастую договор техподдержки содержит:
- сколько-то консультаций
- сколько-то аварийных ситуаций в любое время дня и ночи
И - обязательно же - содержит гарантированные сроки устранения аварии!

ИТ же в чистом виде не нужен никому, кроме ИТ-шников!
И работаешь ты на бизнес.
Твоя задача на самом деле - не BGP поднять, а дать возможность производству и отделу продаж заработать денег.
И при таком взгляде становится понятна ценность предсказуемости сроков устранения аварий:

1. Упал pfSense. Руководство обращается к тебе: когда починишь? Ты: пока не знаю, сижу читаю форум. Отгрузка товара не происходит, клиенты разбежались и больше не вернутся. Виновный - ты.

2. Упала Cisco/Huawei/HP/Juniper. Руководство обращается к тебе: когда починишь? Ты: у нас по договору техподдержки гарантированное восстановление сервиса в течение двух часов. Клиенты узнают про задержку отгрузки на два часа, шумят, но остаются. Прибыль не потеряна, ты - предусмотрительный молодец, виновны криворукие индусы из Циски.

Как платные контент-провайдеры получают номер телефона на своих сайтах через 3g,4g?

HTTPS спасёт тем, что оператор связи ни расшифровать, ни что-либо поменять в нём не может.
Там абсолютно те же алгоритмы используются, что и VPN, только в рамках одного-единственного TCP-соединения.

А вот по юридической стороне не подскажу. Законодательство о персональной информации - там такая муть...

Как правильно агрегировать коммутаторы?

Нет, etherchannel это в первую очередь технология отказоустойчивости, а не повышения пропускной способности линков

Да нет, пропускная способность тоже увеличивается.
Но есть нюанс - хэш-функция, по которой Ethernet-кадры раскидываются по физическим линкам.

Чем отличается CIDR от автономной системы?

В принципе да.
Но я могу представить себе людей, в понимании которых Autonomous System == BGP ASN.

Соответственно, есть смысл уточнить у источника задачи, какое же определение АС имелось в виду: абстрактное, из учебника, или же инженерное, неразрывно связанное с BGP.

Почему планшет иногда не подключается к серверу в локальной сети?

такое ощущение, что планшет подавился большой картинкой )
Я правильно понимаю, что .201 это сервер, а .85 - планшет?

Было бы понятнее, если бы были видны обе стороны диалога.
Чтобы увидеть обе стороны, фильтр должен быть таким:
ip.addr eq 192.168.123.85 and port 8090

Пока что видится так:
пакеты *-126: сервер сливает на планшет картинку, возможно, немаленькую, и ждёт ACK - подтверждение доставки.
Ждёт аж 8 секунд - видимо, не дождавшись подтверждения, после чего пытается доставить повторно - вдруг пакеты потерялись в сети?
Опять ждёт, опять попытка повторной доставки...

На планшете не может быть бага в реализации аякса при обработке больших ответов?
Может быть, проблема начинает проявляться начиная с какого-то Content-Length?

Как отрезать устройство от доступа ко внутренней сети?

Eugene Khrustalev: дык вот на этом же маршрутизаторе её в отдельный VLAN и посадить )

И явно прописать, например, так:
- из интернета к малинке: только по порту HTTP (TCP port 80)
- из малинки в интернет: только DNS куда попало и HTTP/HTTPS (порты 80 и 443) на строго конкретные ip-адреса
- из малинки во внутреннюю сеть: не пускать вообще
- из внутренней сети в малинку: разрешить вообще всё

Вот и получится, что даже если вдруг подсадят шелл - им же и утрутся, ибо никуда низя )

Можно ли подключиться одновременно к нескольким точкам Wi-Fi для увеличения ширины канала связи?

АртемЪ: в MIMO точка одна и та же. Радиомодули разные )

Почему сеть ведёт себя очень странно?

LAG_LAGbI4: да, такое поведение зависит от:
- производителя
- модели
- конкретной конфигурации маршрутизатора

Проверить прямо сейчас не могу, но могу предположить, что этот фокус должен проявляться в случае, если интерфейсы маршрутизатора R1 (в примере eth0 и eth1) располагаются на _разных_ PFE - грубо говоря, сетевых платах.

В общем, если кратко:
заморачиваться не надо, так бывает.