On Mon, Feb 02, 2015 at 09:28:37PM +0100, Mike Petrusha writes:
Ну а что делать с внутренней сетью на к-рую не хватило (может не хватить) IPv4-адресов (приватных)? Организовать по-нормальному, ящетаю. Я это вижу примерно следующим образом: Перенумеровывать сеть и переписывать софт, в который годами закладывалась неявная логика (каждую стойку выделяется /24, на каждый кластер /X, etc) - долго и неинтересно. Неинтересную работу никто не любит. Мигрировать на IPv6 - долго, но интересно.
Ну а куда его переписывать? У них в каждом /24 80 адресов использовано, т.е. 30%.
Вот, кстати, прикольно. Для получения белых IP нужно было обосновать 50% использования в течение года с предъявлением уникальных mac-адресов (в разное время по-разному, но смысл такой). А для серых сетей, если в блоке из 16 миллионов IP находятся десятки тысяч компов - то это называется "адреса закончились". :) И ещё скажу крамольную мысль. Если внутренняя сеть такая большая, действительно ли каждый адрес в ней должен быть уникален? Ведь задача, чтобы любой сервак и любой свич в мире был доступен откуда угодно, явно не ставится. По-моему, вполне нормально сначала попасть на jump server в нужной стране, оттуда на другой jump server в датацентре, и оттуда уже на конкретный сервак за каким-нибудь балансером. Уникальные серые IP должны иметь внутренние сервисы, единые для всей большой компании - а для таких, предполагаю, /16 с головой хватит. От того, что какой-нибудь свич в Дублине имеет такой же mgmt IP, как какой-нибудь другой свич в Сан-Франциско, никакой OSPF с ума не сойдёт, потому что не должно быть единого OSPF на все эти mgmt networks.
Тут вопрос другой - если с IPv6 эта сеть живёт, будучи оторванной от всего IPv4-интернета, могли бы её оставить на IPv4 и тоже так оторвать, чтобы использовать внутри все IPv4-адреса, а не только приватные.
По-моему, в таком решении заложено множество мин. Шлёшь, например, syslog на внутренний адрес логсервера, но роутер упал, маршрут на сетку отвалился, и логи ушли по дефолту наружу. Понятно, конечно, что никакого "дефолта наружу" быть не должно, но всё-таки такая конфигурация мне кажется граблеопасной. -- Паша.