URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 109
[ Назад ]

Исходное сообщение
"интерессные вопросы :"
Отправлено bekzod , 06-Сен-12 01:32

привет всем . такой вопрос если роутер находится в DMZ зоне а за ним еще некий шлюз а за ним другая сетка и надо штоб все это находилось в DMZ -это надо все три подсети добавить в DMZ? или достаточно добавить подсетку WAN интерфейса в DMZ ? (надо пробросить впном телефонию из DMZ)
и второй вопросик : при настройке :
class map voip
match access-group ...
class map data
match access-group ...
policy-map voip
class voip
bandwith percent xx
class data
bandwith percent yy
?эти проценты жестко разделяют ПП или же в зависимости от нагрузки ? то есть если я дал 65% voip и 34% для data и voice не занимает 65% а data зашкаливает за 34% будет ли data использовать ресурс выделенный для voip?

Содержание

интерессные вопросы :,Myxa, 13:21 , 06-Сен-12
- интерессные вопросы :,bekzod, 16:39 , 06-Сен-12
  - интерессные вопросы :,Николай, 18:12 , 06-Сен-12

Сообщения в этом обсуждении

"интерессные вопросы :"
Отправлено Myxa , 06-Сен-12 13:21

> или достаточно добавить подсетку WAN  интерфейса в DMZ ?
достаточно если вы натите
> ?эти проценты жестко разделяют ПП или же в зависимости от нагрузки ?
> то есть если я дал 65% voip  и 34% для
> data  и voice  не занимает 65% а data
> зашкаливает за 34% будет ли data  использовать ресурс выделенный для voip?
Для воип используйте конструкцию priority percent , она гарантирует полосу.
Для остального bandwidth. В случае "зашкаливания" полосы data будет проверяться есть ли запас в полосе voice; если есть, то data будет использовать войс-полосу.
Учтите, что подобные настройки QoS будут иметь смысл только при работе маршуртизаторов "лоб в лоб" на арендованных каналах.

"интерессные вопросы :"
Отправлено bekzod , 06-Сен-12 16:39

>> или достаточно добавить подсетку WAN интерфейса в DMZ ?
> достаточно если вы натите
мне надо избежать натинга для DMZ иначе я не подниму впн , конец впна находится на роутере который в DMZ ... пока не врубаюсь как , по определению то што в дмз есть прозрачно для ната и если я еще порты 500 и 4500 и 50 открою для ipsec впн то я не должен беспокоится по этому поводу .. но ???

"интерессные вопросы :"
Отправлено Николай , 06-Сен-12 18:12

>>> или достаточно добавить подсетку WAN  интерфейса в DMZ ?
>> достаточно если вы натите
> мне надо избежать натинга для DMZ  иначе я не подниму впн
> , конец впна находится на роутере который в DMZ ... пока
> не врубаюсь как , по определению то што в дмз есть
> прозрачно для ната и если я еще порты 500 и 4500
> и 50 открою для ipsec впн то  я не должен
> беспокоится по этому поводу .. но ???
Читаю и плачу - классика. Вы бы посты перед этим хотя бы в Word для проверки правописания вставляли.
Я очень рекомендую почитать что такое NAT traversal протоколы AH ESP ISAKMP.
То что пишут порт 50 на самом деле Протокол стека IP №50
4500 это NAT-T UDP порт для организации IPSEC тунеля с железками, допустим, которые стоят за НАТом и выброшены наружу внешними ИП адресам (с учетом того что НАТирующая железка еще и должна понимать что через неё проходит ИПСЕК трафик).