Сети

Глоссарий

Термин Определение
Регион Территориальное расположение дата-центров
Локация Технологическая площадка внутри региона, логически объединенная единой сетевой и административной политикой, с уникальным набором стоек, серверов и сетевых устройств, использующие для выхода в сеть Интернет один логический маршрутизатор.
Внутри локации также организована L2-связность для предоставления сервиса локальной сети, под этот сервис используются отдельные сетевые устройства, размещенные в том же наборе стоек
Сетевые устройства К сетевым устройствам относятся коммутаторы, маршрутизаторы и фаерволы, размещенные внутри каждой локации, к которым подключаются серверы.
В рамках одной локации сеть интернет и локальная сеть полностью изолированы друг от друга. Сетевые устройства локальной сети не имеют логических и физических связей с сетевыми устройствами интернет-сети
Хост Выделенный сервер в сети, имеющий один или несколько IP-адресов и подключенный в сетевые устройства локации
VLAN (сеть, приватная сеть) Уникальные, изолированные друг от друга на втором уровне (L2) сети, создаваемые на сетевых устройствах локации, с целью разграничения сегментов клиентских сетей.
VLAN (сети, приватные сети) создаются в локации отдельно как для интернет-сети, так и для локальной сети, которая создается на сетевых устройствах, не имеющих связи с интернетом
Публичный IP-адрес IP-адрес, который может быть назначен хосту для доступа в интернет
Подсети (IP-адреса) Диапазон публичных IP-адресов, ограниченный размером префикса (маски), предоставленных клиенту.
Подсети (IP-адреса) могут быть назначены в один VLAN (сеть).
Нельзя перемещать Подсети (IP-адреса) в другую локацию, но возможно перемещение IP-адресов (подсеть) между разными VLAN, находящимися в одной локации и принадлежащих одному клиенту.
Допускается назначение нескольких подсетей одного клиента в один VLAN (сеть)
Терминация Назначение на интерфейс маршрутизатора публичного IP-адреса одной или нескольких подсетей клиента в заданный VLAN (сеть).
После назначения такой IP-адрес может использоваться в качестве default gateway (шлюза по умолчанию) подсети, к которой он относится.
Терминация позволяет получить маршрутизируемую (L3) связность с другими подсетями и выход в интернет
Статический маршрут Вид маршрутизации, при котором маршруты задаются в явном виде в настройках маршрутизатора.
При задании статического маршрута указывается:
- адрес сети (на которую маршрутизируется трафик);
- маска сети;
- адрес шлюза (узла, next-hop), который способствует дальнейшей маршрутизации
VRRP (Virtual Router Redundancy Protocol) — сетевой протокол, предназначенный для увеличения доступности маршрутизаторов, выполняющих роль шлюза по умолчанию.
Это достигается путём объединения группы маршрутизаторов в один виртуальный маршрутизатор и назначения им общего IP-адреса, который и будет использоваться как шлюз по умолчанию для компьютеров в сети.
В каждой локации для поддержки протокола устанавливается по два маршрутизатора доступа.
VRRP может быть предоставлен как внутри одной локации, так и между локациями
VRRP-адрес Виртуальный адрес на маршрутизаторах, который используется в качестве default gateway или next-hop для хостов клиентов
MC-LAG Может использоваться при подключении хоста как для локальной, и так и интернет-сети, в зависимости от типа выделенного сервера (хоста, подробнее)
Подробнее о MC-LAG
Глобальная приватная сеть
(приватная L3-сеть, L3VPN)
Объединение приватных сетей в нескольких локациях на базе L2-соединений точка-точка или приватной маршрутизируемой сети - L3VPN

VLAN (сеть, приватная сеть)

VLAN (сети) используются в интернет-сети и в локальной сети локации для обеспечения изолирования друг от друга сетевой активности клиентов на втором L2-уровне (L2).

Каждому клиенту в локации предоставляется VLAN (сеть) для интернет и отдельно VLAN (сеть) локальной сети, в которые включаются все сетевые интерфейсы выделенных серверов, в зависимости от их назначения, заказываемых клиентом в локации. Все выделенные серверы клиента в одной локации имеют связность в рамках одной VLAN (сеть) как для интернет, так и локальной сети.

Клиенту по желанию и в зависимости от тех. потребностей может быть предоставлено в пользование несколько VLAN (сетей) как в локальной сети, так и в интернет-сети.

Выделенный сервер (хост) может быть одновременно подключен к интернету и локальной сети только через разные сетевые интерфейсы сервера. Один интерфейс может быть подключен только в одной VLAN (сети) локальной или интернет.

Информация о VLAN (сеть) доступна для просмотра в панели управления.

Если в локации оборудования одна локальная сеть, то локальный порт добавляется в эту сеть и включается. Если локальных сетей несколько, то локальный порт остается выключенным.

IP-адреса (подсеть)

Благодаря указанию публичного адреса на хосте, он становится доступен из любой точки интернета. Все подсети делятся на публичные и приватные относительно видимости IP-адреса сервера из интернета.

Подсети выделенных серверов делятся на Публичные (используют публичные IP-адреса) и Приватные. Публичные подсети бывают Общие и Выделенные.

Публичные Общие (1) Публичные Выделенные (2) Приватные (3)
Имеют фиксированный префикс /24 (маска 255.255.255.0) и используются в рамках одной VLAN (сеть) для нескольких клиентов * Имеют любой префикс (маску) и могут быть назначены любому VLAN (сеть) клиента Пользователь имеет возможность создать сеть, серверы в которой будут иметь частные IP-адреса из стандартных диапазонов** и не будут напрямую доступны из интернета
Изменение или добавление дополнительного адреса на сервере, находящемся в публичной общей сети, невозможно Для перехода на использование публичных выделенных сетей закажите подсеть Для изолирования сервера произвольной конфигурации от сети интернет создайте тикет с запросом на отключение порта ***

* Внутри публичной общей сети серверы разных клиентов могут не иметь общей L2-связности (могут быть использованы private VLAN или port isolation).

** Доступные стандартные диапазоны:

  • 10.0.0.0 — 10.255.255.255 (маска подсети: 255.0.0.0 или /8)
  • 100.64.0.0 — 100.127.255.255 (маска подсети 255.192.0.0 или /10) — Данная подсеть рекомендована согласно RFC 6598 для использования в качестве адресов для CGN (Carrier-Grade NAT).
  • 172.16.0.0 — 172.31.255.255 (маска подсети: 255.240.0.0 или /12)
  • 192.168.0.0 — 192.168.255.255 (маска подсети: 255.255.0.0 или /16)

*** При отправке запроса на отключение важно помнить, что без подключения к интернету пропадет функциональность автоустановки ОС.

При заказе сервера по умолчанию бесплатно присваивается публичный IP-адрес из сети, в которой находятся также серверы других клиентов. Разные серверы одного клиента могут попасть в разные публичные общие сети.

Общий публичный IP-адрес не позволяет:

  • подключать DDoS-защиту;
  • настраивать статическую или динамическую маршрутизацию;
  • разблокировать закрытые порты;
  • настраивать подключение по протоколу BGP;
  • использовать одновременно общий публичный IP-адрес и адрес из выделенной сети;
  • переназначать адрес другому серверу (в том числе использовать VRRP/CARP/Keepalived/Corosync и т.п. для резервирования сервера).

Выделенные подсети позволяют:

Если обмен трафиком совершается в пределах одной подсети, то трафик внутри приватной сети не учитывается.

Закрытые порты

Актуальный список закрытых портов представлен на странице.

Примечание: для публичных общих подсетей дополнительно заблокированы порты UDP: 0, 19, 53, 123, 161, 520, 1900.

Включение и использование VRRP

VRRP предоставляется как внутри одной локации, так и между локациями.

В случае включения VRRP между локациями существует ряд технологических ограничений на его использование. Подробнее о VRRP читайте в статье.

Использование VRRP между двумя рядом стоящими устройствами, имеющими общий L2-сегмент, оправдано. Для дата-центров, разнесенных территориально, используются разные маршрутизаторы, а между ними организуется связность с использованием MPLS.

Подробнее о резервировании маршрутизатора читайте в статье.

Подключение дополнительных IP-адресов

Шаг 1. Покупка дополнительных IP-адресов

Для подключения дополнительных IP-адресов:

  1. На вкладке Сеть в панели управления нажмите кнопку Заказать подсеть.
  2. Выберите необходимую услугу.
  3. Укажите локацию. Обратите внимание! Переместить подсеть в другую локацию нельзя.
  4. Укажите цель использования.
  5. Выберите период оплаты.
  6. Нажмите кнопку Оплатить.

Подключение и активация услуги может занимать некоторое время. Когда услуга будет готова к работе, придет уведомление через тикет-систему.

Шаг 2. Закрепление одного или несколько IP-адресов за сервером

Чтобы использовать дополнительные адреса на сервере:

  1. Перейдите в карточку сервера на вкладку Сеть.
  2. Нажмите кнопку Назначить IP-адрес.
  3. Укажите подсеть.
  4. Выберите один или несколько IP-адресов.
  5. Сохраните внесенные изменения.

Шаг 3. Изменение сетевых настроек сервера

При подключении дополнительного IP-адреса в ОС сервера измените сетевые настройки:

  • IP-адрес;
  • маску подсети;
  • шлюз.

Данные параметры можно просмотреть в панели управления в подразделе Сеть на вкладке Подсеть в карточке выделенной подсети.

Примените сетевые настройки. Доступность на сервере пропадет, пока не будет изменена VLAN (сеть) на порту.

Шаг 4. Переключение VLAN (сети) порта сервера

Для переключения VLAN (сети) порта сервера:

  1. Перейдите в панели управления в карточку сервера.
  2. Перейдите на вкладку Порты.
  3. Измените в поле Интернет значение Общая на значение выделенной VLAN (сети).
  4. Сохраните внесенные изменения.

Доступ к серверу восстановится с новым IPv4.

Для возврата к бесплатному IP-адресу (из /32 подсети) в карточке сервера:

  1. Перейдите в панели управления в карточку сервера.
  2. Перейдите на вкладку Порты.
  3. Измените в поле Интернет значение выделенной VLAN (сети) на значение Общая.
  4. Сохраните внесенные изменения.

Можно докупить дополнительные IPv4 и IPv6 адреса.

Обратите внимание! Для серверов линейки Chipcore Line нет возможности использовать IPv6 адреса.

Примечение: на Общей (/32) сети нельзя использовать IPv6 и необходима покупка хотя бы одного блока IPv4.

Создание статических маршрутов

Статическая маршрутизация — вид маршрутизации, при котором маршруты указываются в явном виде при конфигурации маршрутизатора.
Наиболее часто статическая маршрутизация для клиентских подключений в Selectel используется при заказе файрвола. Файрвол позволяет пропускать интернет-трафик для маршрутизированных на него сетей через себя. При задании статического маршрута указывается:

  • адрес сети (трафик на которую необходимо маршрутизировать), маска сети;
  • адрес шлюза (узла), который способствует дальнейшей маршрутизации (или подключен к маршрутизируемой сети напрямую).

В рамках нашей услуги запрос из интернета обрабатывается маршрутизатором и перенаправляется на фаервол, к которому подключены серверы. Для подключения статических маршрутов создайте тикет. Любая терминированная подсеть может быть прописана в качестве статического маршрута.

Подключение сервера к сети

Выделенные серверы по умолчанию подключены к интернету через один сетевой интерфейс. По запросу подключение серверов произвольной конфигурации может быть сделано через группу агрегированных сетевых интерфейсов с помощью конфигуратора, подробнее. Серверы фиксированной конфигурации таким образом подключить нельзя.

Приватная сеть — это группа серверов клиента, подключенная к общей локальной VLAN (сеть) в рамках одной локации и/или имеющее соединение с другими серверами клиента расположенными в других локациях. В приватную сеть подключение производится через другой сетевой интерфейс (или группу агрегированных сетевых интерфейсов — MC-LAG) для выделенных серверов, кроме серверов линейки Chipcore Line.

Возможно включение дополнительных VLAN (сеть) в рамках одной локации для одного клиента, для создания нескольких приватных сетей создайте тикет.

Схема подключения к интернету и приватной сети

После назначения VLAN (сети) все IP-подсети в ней будут терминированы на маршрутизаторах Selectel. Все выделенные серверы могут быть объединены в приватную сеть, кроме серверов линейки Chipcore Line. На логическом уровне приватная сеть представляет собой отдельный выделенный VLAN (Virtual LAN). Внутри этого VLAN все серверы взаимодействуют друг с другом аналогично тому, как если бы они были подключены к одному физическому коммутатору.

При передаче выделенного сервера в эксплуатацию клиенту по умолчанию порты локальной сети и интернет-сети включены. Просмотреть информацию о портах можно в карточке сервера на вкладке Порты.

Организация связи приватных сетей в нескольких локациях и/или с другими продуктами Selectel

Для организации сетевой связности между разными локациями и услугами используется Приватная маршрутизируемая сеть.

Внутри локации используется L2-схема взаимодействия серверов друг с другом, а присоединение серверов в другой локации может осуществляться:

  • по схеме L2 — только в случае объединения двух локаций/услуг, при наличии технической возможности;
  • по схеме L3 — во всех остальных случаях.

Рекомендуется использовать соединение по схеме L3.

Подробнее о схемах подключения читайте в статье.

Для подключения создайте тикет с указанием приватных сетей, которые необходимо объединить.

Схема подключения по L2

Схема подключения по L3

Для организации L3-схемы используются несколько маршрутизаторов. На каждую локацию выделяются два маршрутизатора, для каждого клиента выделяются два адреса для назначения на маршрутизаторы Selectel и формируется Virtual IP с использованием протокола VRRP.

VLAN до стороннего оператора

В дата-центрах Selectel имеют точку присутствия многие операторы связи. При наличии технической возможности организации стыка с ними можно организовать прямое соединение через приватную сеть клиента.

При необходимости подключения VLAN до стороннего оператора создайте тикет с запросом.