https://www.opennet.me/openforum/vsluhforumID6/21476.html Ситуация следующая. Есть сотни клиентов. У этих клиентов устанавливается оборудование. IP оборудованию назначают клиенты. С каждым клиентом есть канал IPSEC. В результате получается пересечение подсетей у разных клиентов.<br>Как быть в этой ситуации, если юридически (на уровне договора) назначать наши IP оборудованию мы не можем. А технически получается, что есть масса пересечений. Однако доступ ко всему оборудованию у нас должен быть.<br>Надеюсь, что понятно объяснил.<br><br> https://www.opennet.me/openforum/vsluhforumID6/21476.html#12 Fri, 20 Aug 2010 12:13:04 GMT Может не все, но многое :-)<br> https://www.opennet.me/openforum/vsluhforumID6/21476.html#11 Fri, 20 Aug 2010 10:45:48 GMT &gt;[оверквотинг удален]<br>&gt; <br>&gt; ipsec <br>&gt; <br>&gt; <br>&gt; \ <br>&gt; маршрутизатор клиента 2 ----&gt; 10.10.10.1 (оборудование)<br>&gt;<br>&gt;Сервер 192.168.1.1 опрашивает оборудование клиента 1, обращается к адресу 10.10.10.1 и <br>&gt;???? <br>&gt;<br><br>Совершенно верно, каждый интерфейс смотрящий на оборудование клиента в свой VRF.<br>Один VRF - один клиент. Если путь между точками принадлежащими одному клиенту проходит <br>через несколько ваших маршрутизаторов, то прийдётся поднять между ними BGP.<br>Вобще схема достаточно тривиальная, на первый взгляд. Почитайте ресурсы про mpls, про<br>CE, PE, P маршрутизаторы, думаю всё прояснится.<br> https://www.opennet.me/openforum/vsluhforumID6/21476.html#10 Fri, 20 Aug 2010 10:38:08 GMT В любом случае "простых" решений при таком дизайне мне лично на ум не приходит :)<br> https://www.opennet.me/openforum/vsluhforumID6/21476.html#9 Fri, 20 Aug 2010 10:36:44 GMT &gt;[оверквотинг удален]<br>&gt; <br>&gt; ipsec <br>&gt; <br>&gt; <br>&gt; \ <br>&gt; маршрутизатор клиента 2 ----&gt; 10.10.10.1 (оборудование)<br>&gt;<br>&gt;Сервер 192.168.1.1 опрашивает оборудование клиента 1, обращается к адресу 10.10.10.1 и <br>&gt;???? <br>&gt;<br><br>коннтролировать оборудование - это что с ним делать? например ping можно так:<br>На "наш маршрутизатор" <br>интерфейс от клиента 1 - помещается в MPLS 1 <br>интерфейс от клиента 2 - помещается в MPLS 2<br><br>с сервера например по rsh на "наш маршрутизатор" посылаем команду (если оный - cisco):<br><br>ping vrf 1 10.10.10.1 - проверяем клиента 1<br>ping vrf 2 10.10.10.1 - проверяем клиента 2<br><br>анализируем результаты.<br><br>В более расширеном варианте, если надо что-то большее чем пинг и "наш маршрутизатор" этого неумеет - попробовать выяснить насчет приземлить из тех же MPLS-ов интерфейсы на сервере и умения сервера работать с MPLS метками...<br> https://www.opennet.me/openforum/vsluhforumID6/21476.html#8 Fri, 20 Aug 2010 08:36:48 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;MPLS <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Интересно. Но оборудование клиентов мы настаивать тоже не имеем возможности ;o( так <br>&gt;&gt;&gt;что не катит. <br>&gt;&gt;<br>&gt;<br>&gt;А причем тут оборудование клиентов? <br>&gt;MPLS существует ТОЛЬКО на вашей стороне, соответственно никаких проблем с пересечением подсетей <br>&gt;(в каждом MPLS-е своя таблица маршрутизации) <br><br>Хм... нарисую примерно схемку. Сможете пояснить как это будет работать используя MPLS?<br><br> маршрутизатор клиента 1 ----&gt; 10.10.10.1 (оборудование)<br> /<br> ipsec<br> /<br>сервер 192.168.1.1 ----&gt; наш маршрутизатор <br><br> \<br> ipsec<br> \<br> маршрутизатор клиента 2 ----&gt; 10.10.10.1 (оборудование)<br><br>Сервер 192.168.1.1 опрашивает оборудование клиента 1, обращается к адресу 10.10.10.1 и ????<br> <br> https://www.opennet.me/openforum/vsluhforumID6/21476.html#7 Fri, 20 Aug 2010 06:05:09 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;Как быть в этой ситуации, если юридически (на уровне договора) назначать наши <br>&gt;&gt;&gt;&gt;IP оборудованию мы не можем. А технически получается, что есть масса <br>&gt;&gt;&gt;&gt;пересечений. Однако доступ ко всему оборудованию у нас должен быть. <br>&gt;&gt;&gt;&gt;Надеюсь, что понятно объяснил. <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;MPLS <br>&gt;&gt;<br>&gt;&gt;Интересно. Но оборудование клиентов мы настаивать тоже не имеем возможности ;o( так <br>&gt;&gt;что не катит. <br>&gt;<br><br>А причем тут оборудование клиентов?<br>MPLS существует ТОЛЬКО на вашей стороне, соответственно никаких проблем с пересечением подсетей (в каждом MPLS-е своя таблица маршрутизации)<br><br> https://www.opennet.me/openforum/vsluhforumID6/21476.html#6 Fri, 20 Aug 2010 05:53:46 GMT &gt;А если НАТить пересекающуюся сетку, и IPSEC делать с НАТирующим устройством? <br><br>Если клиентам нужна только исходящая от них связь в центр. И не нужна связь между самими клинетмами - тогда да, прокатит.<br><br>Но не в том случае, если адресация вашего центра совпадет с адресацией клиента.<br>В каждом таком случае адресацию центра менять будете?<br> https://www.opennet.me/openforum/vsluhforumID6/21476.html#5 Fri, 20 Aug 2010 04:06:18 GMT А если НАТить пересекающуюся сетку, и IPSEC делать с НАТирующим устройством?<br><br> https://www.opennet.me/openforum/vsluhforumID6/21476.html#4 Thu, 19 Aug 2010 13:34:30 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;пересечение подсетей у разных клиентов. <br>&gt;&gt;&gt;Как быть в этой ситуации, если юридически (на уровне договора) назначать наши <br>&gt;&gt;&gt;IP оборудованию мы не можем. А технически получается, что есть масса <br>&gt;&gt;&gt;пересечений. Однако доступ ко всему оборудованию у нас должен быть. <br>&gt;&gt;&gt;Надеюсь, что понятно объяснил. <br>&gt;&gt;<br>&gt;&gt;MPLS <br>&gt;<br>&gt;Интересно. Но оборудование клиентов мы настаивать тоже не имеем возможности ;o( так <br>&gt;что не катит. <br><br>Проблема не решаема в принципе.<br>