Ситуация следующая. Есть сотни клиентов. У этих клиентов устанавливается оборудование. IP оборудованию назначают клиенты. С каждым клиентом есть канал IPSEC. В результате получается пересечение подсетей у разных клиентов.
Как быть в этой ситуации, если юридически (на уровне договора) назначать наши IP оборудованию мы не можем. А технически получается, что есть масса пересечений. Однако доступ ко всему оборудованию у нас должен быть.
Надеюсь, что понятно объяснил.
>Ситуация следующая. Есть сотни клиентов. У этих клиентов устанавливается оборудование. IP оборудованию
>назначают клиенты. С каждым клиентом есть канал IPSEC. В результате получается
>пересечение подсетей у разных клиентов.
>Как быть в этой ситуации, если юридически (на уровне договора) назначать наши
>IP оборудованию мы не можем. А технически получается, что есть масса
>пересечений. Однако доступ ко всему оборудованию у нас должен быть.
>Надеюсь, что понятно объяснил.MPLS
Вернее MPLS VPN :)
>>Ситуация следующая. Есть сотни клиентов. У этих клиентов устанавливается оборудование. IP оборудованию
>>назначают клиенты. С каждым клиентом есть канал IPSEC. В результате получается
>>пересечение подсетей у разных клиентов.
>>Как быть в этой ситуации, если юридически (на уровне договора) назначать наши
>>IP оборудованию мы не можем. А технически получается, что есть масса
>>пересечений. Однако доступ ко всему оборудованию у нас должен быть.
>>Надеюсь, что понятно объяснил.
>
>MPLSИнтересно. Но оборудование клиентов мы настаивать тоже не имеем возможности ;o( так что не катит.
>[оверквотинг удален]
>>>пересечение подсетей у разных клиентов.
>>>Как быть в этой ситуации, если юридически (на уровне договора) назначать наши
>>>IP оборудованию мы не можем. А технически получается, что есть масса
>>>пересечений. Однако доступ ко всему оборудованию у нас должен быть.
>>>Надеюсь, что понятно объяснил.
>>
>>MPLS
>
>Интересно. Но оборудование клиентов мы настаивать тоже не имеем возможности ;o( так
>что не катит.Проблема не решаема в принципе.
А если НАТить пересекающуюся сетку, и IPSEC делать с НАТирующим устройством?
>А если НАТить пересекающуюся сетку, и IPSEC делать с НАТирующим устройством?Если клиентам нужна только исходящая от них связь в центр. И не нужна связь между самими клинетмами - тогда да, прокатит.
Но не в том случае, если адресация вашего центра совпадет с адресацией клиента.
В каждом таком случае адресацию центра менять будете?
>[оверквотинг удален]
>>>>Как быть в этой ситуации, если юридически (на уровне договора) назначать наши
>>>>IP оборудованию мы не можем. А технически получается, что есть масса
>>>>пересечений. Однако доступ ко всему оборудованию у нас должен быть.
>>>>Надеюсь, что понятно объяснил.
>>>
>>>MPLS
>>
>>Интересно. Но оборудование клиентов мы настаивать тоже не имеем возможности ;o( так
>>что не катит.
>А причем тут оборудование клиентов?
MPLS существует ТОЛЬКО на вашей стороне, соответственно никаких проблем с пересечением подсетей (в каждом MPLS-е своя таблица маршрутизации)
>[оверквотинг удален]
>>>>
>>>>MPLS
>>>
>>>Интересно. Но оборудование клиентов мы настаивать тоже не имеем возможности ;o( так
>>>что не катит.
>>
>
>А причем тут оборудование клиентов?
>MPLS существует ТОЛЬКО на вашей стороне, соответственно никаких проблем с пересечением подсетей
>(в каждом MPLS-е своя таблица маршрутизации)Хм... нарисую примерно схемку. Сможете пояснить как это будет работать используя MPLS?
маршрутизатор клиента 1 ----> 10.10.10.1 (оборудование)
/
ipsec
/
сервер 192.168.1.1 ----> наш маршрутизатор\
ipsec
\
маршрутизатор клиента 2 ----> 10.10.10.1 (оборудование)Сервер 192.168.1.1 опрашивает оборудование клиента 1, обращается к адресу 10.10.10.1 и ????
>[оверквотинг удален]
>
> ipsec
>
>
> \
> маршрутизатор клиента 2 ----> 10.10.10.1 (оборудование)
>
>Сервер 192.168.1.1 опрашивает оборудование клиента 1, обращается к адресу 10.10.10.1 и
>????
>коннтролировать оборудование - это что с ним делать? например ping можно так:
На "наш маршрутизатор"
интерфейс от клиента 1 - помещается в MPLS 1
интерфейс от клиента 2 - помещается в MPLS 2с сервера например по rsh на "наш маршрутизатор" посылаем команду (если оный - cisco):
ping vrf 1 10.10.10.1 - проверяем клиента 1
ping vrf 2 10.10.10.1 - проверяем клиента 2анализируем результаты.
В более расширеном варианте, если надо что-то большее чем пинг и "наш маршрутизатор" этого неумеет - попробовать выяснить насчет приземлить из тех же MPLS-ов интерфейсы на сервере и умения сервера работать с MPLS метками...
В любом случае "простых" решений при таком дизайне мне лично на ум не приходит :)
>[оверквотинг удален]
>
> ipsec
>
>
> \
> маршрутизатор клиента 2 ----> 10.10.10.1 (оборудование)
>
>Сервер 192.168.1.1 опрашивает оборудование клиента 1, обращается к адресу 10.10.10.1 и
>????
>Совершенно верно, каждый интерфейс смотрящий на оборудование клиента в свой VRF.
Один VRF - один клиент. Если путь между точками принадлежащими одному клиенту проходит
через несколько ваших маршрутизаторов, то прийдётся поднять между ними BGP.
Вобще схема достаточно тривиальная, на первый взгляд. Почитайте ресурсы про mpls, про
CE, PE, P маршрутизаторы, думаю всё прояснится.
Может не все, но многое :-)