LINUX.ORG.RU
ФорумAdmin

Расскажите про VPN-туннель перед OSPF

 , , ,


0

1

Есть 2 точки с белыми IP. Между ними IPIP и далее динамическая маршрутизация. Сеть внутри туннеля с 32-ым битом маски. То есть (для примера) на одном конце 192.168.0.1/32, на другом 192.168.0.0/32. В такой реализации, отсутствие broadcast’а, исключает возможность широковещательного шторма.

Появилась необходимость добавить ещё один узел в действующую инфраструктуру и естественно все локальные сети, средствами OSPF, должны будут обмениваться трафиком.

А теперь, уважаемые знатоки, внимание вопрос: - «Я так понимаю, что для организации туннеля необходимо перебить сеть (например) на 29-ый бит и соединять уже не ptp, а broadcast или всё-таки как-то можно добавить ещё один (например) 192.168.0.2/32 узел?»

Для примера на одном из узлов вот так выглядят конфиги

cat /etc/systemd/network/ipip-msk.netdev

[NetDev]
Name=ipip-msk
Kind=ipip

[Tunnel]
Remote=1.2.3.4
Local=4.3.2.1
TTL=64

cat /etc/systemd/network/ipip-msk.network

[Match]
Name=ipip-msk

[Network]
Address=192.168.0.1/32

zabbix клиент
Какие есть хорошие приложения для хостинга фоток?

Сеть внутри туннеля с 32-ым битом маски. То есть (для примера) на одном конце 192.168.0.1/32, на другом 192.168.0.0/32

Чегоооо? Может, всё-таки, /31?

Общаться то они как-то должны.

Для работы OSPF требуется связанность по IP. То есть туннель с /32 адресами не пойдёт (с /31 или /30 — пойдёт).

В такой реализации, отсутствие broadcast’а, исключает возможность широковещательного шторма.

Широковещательные штормы возникают на L2 а не L3. И для их исключения, нужно не запрещать бродкаст а исключать или блокировать петли.

Бродкаст на IPIP интерфейсе Вам никак не помешает. Единственный момент — маршрутизаторы должны иметь единое мнение о типе интрфейса (p2p это или broadcast), иначе OSPF не взлетит.

Harliff ★★★★★
()
Ответ на: комментарий от BOOBLIK

Ты третью ноду куда коннектить будешь? А вторая сторона куда третью ноду присоединит?

То есть мне необходимо сделать например
MSK
ipip-msk <-> ipip-spb
ipip-msk <-> ipip-nsk

SPB
ipip-spb <-> ipip-msk
ipip-spb <-> ipip-nsk

NSK
ipip-nsk <-> ipip-spb
ipip-nsk <-> ipip-msk

Чтоб Москва смотрела и в Питер и в Новосиб и т.д.

Правильно я понимаю?

Dodik
() автор топика
Ответ на: комментарий от Dodik

Если у тебя IPIP, то это L3, а значит линки у тебя уже точка-точка. Ты либо оставляешь это так, либо городишь proxy arp (потому что в мост L3-интерфейс добавить нельзя - у него нет MAC-адреса).

Pinkbyte ★★★★★
()
Ответ на: комментарий от Dodik

Плохо масштабируемое решение. Когда добавятся Екат и Казань опять пойдешь по всем узлам добавлять P2P?

В сети из более чем двух филиалов я бы сразу делал VPN сервер где-то в надёжном ЦОД с 2+ каналами связи и каждый офис подключал туда как клиента.

BOOBLIK ★★★★
()
Ответ на: комментарий от BOOBLIK

и каждый офис подключал туда как клиента.

И получить двойной RTT.

Иногда на это пофиг, а иногда это существенно.

Лично я, чтобы нормально смотреть киношечки с домашнего торрента по VPN, был вынужден перевести VPN-сервер с хостинга на домашний шлюз - и это себя с лихвой оправдало. Пинг в 25ms и 50ms, знаете ли, это «две большие разницы».

no-dashi-v2 ★★★★
()
Последнее исправление: no-dashi-v2 (всего исправлений: 1)
Ответ на: комментарий от no-dashi-v2

и каждый офис подключал туда как клиента.

И получить двойной RTT.

Когда сети всех клиентов нужны только чтобы ходить в них за видеонаблюдением из головного и принтерами с терминала в ЦОД, то сойдет.

Ну и частенько в жизни наблюдаю замечательную картину: домашний Интернет -> Новосиб 100 мс, а домашний Интернет -> ЦОД -> Новосиб 80 мс.

PS: Для киношек с буффером на две минуты ты чуешь разницу в RTT 25ms?

BOOBLIK ★★★★
()
Последнее исправление: BOOBLIK (всего исправлений: 1)
zabbix клиент
Admin
Какие есть хорошие приложения для хостинга фоток?