Вечер добрый всем. Имеется такой вопрос. Есть Cisco 1841 на нем два порта WAN и LAN. Поставлена задача настроить сие чудо как брандмауер и в сети установить его между сервером(маршрутизатором) и всей сетью. Сервер на базе FreeBSD, поднято два ната и имееться два канала инета. Один для ВИПов второй для всех смертных. Распределение кому куда ведеться на сервере связкой natd+ipfw по IP и MAC адрессам. Необходимо настроить Cisco так что бы всегда на исходящем трафике адрессация не менялась. Тоесть если идет запрос из сетки, например с 192.168.0.11, то и на выходе должны иметь запрос с етого адресса, что бы сервер по адрессам мог понять куда запрос посылать. Есть ли какие-то возможные решение на данной Cisco и какими путями. Скажи сразу с Cisco знаком не очень, и плюс там всего два порта, дополнительный модуль докупатся не будет, иначе завел бы туда два канала и там маршрутизацию сделал бы.

Заранее благодарен за помощь.

• Cisco 1841,LujkLos, 12:35 , 14-Апр-10
  • Cisco 1841,Ashas, 15:19 , 14-Апр-10
• Cisco 1841,ShyLion, 15:49 , 14-Апр-10
  • Cisco 1841,Ashas, 16:24 , 14-Апр-10
    • Cisco 1841,ShyLion, 16:35 , 14-Апр-10
      • Cisco 1841,ShyLion, 16:38 , 14-Апр-10
        • Cisco 1841,Ashas, 16:55 , 14-Апр-10
      • Cisco 1841,Ashas, 17:01 , 14-Апр-10
        • Cisco 1841,ShyLion, 08:46 , 15-Апр-10
    • Cisco 1841,ShyLion, 16:39 , 14-Апр-10
      • Cisco 1841,Ashas, 16:53 , 14-Апр-10
        • Cisco 1841,ShyLion, 09:42 , 15-Апр-10

Поднимите на Cisco VLANы и дополнительные интерфейсы докупать не придется.

>Поднимите на Cisco VLANы и дополнительные интерфейсы докупать не придется.

Да, спасибо за идею.
Теперь вопрос следующий я могу создать 2 ВЛАНА в одном диапазоне адресов???
Например:
1ВЛАН = 0.20-220
2ВЛАН = 0.230-240
И настроить маршрутизацию кому куда?

>Тоесть если идет запрос из сетки, например с 192.168.0.11, то и

ну и настрой его обычным маршрутизатором, в чем проблема? Маршрутизатор адреса в IP пакетах не меняет. Единственно, что МАК адреса будут не известны фрюше, так зажать связку мака и IP можно на кисе, хотя в целом практика определения пользователя по IP/MAC изначально порочна и легко обходится злоумышленником.

для связки фрюши с кисой отдельную подсетку назначь из свободных приватных диапазонов, хоть /30 размерностью.

>>Тоесть если идет запрос из сетки, например с 192.168.0.11, то и
>
>ну и настрой его обычным маршрутизатором, в чем проблема? Маршрутизатор адреса в
>IP пакетах не меняет. Единственно, что МАК адреса будут не известны
>фрюше, так зажать связку мака и IP можно на кисе, хотя
>в целом практика определения пользователя по IP/MAC изначально порочна и легко
>обходится злоумышленником.
>
>для связки фрюши с кисой отдельную подсетку назначь из свободных приватных диапазонов,
>хоть /30 размерностью.

Что скажешь на счет этого!?

Теперь вопрос следующий я могу создать 2 ВЛАНА в одном диапазоне адресов???
Например:
1ВЛАН = 0.20-220
2ВЛАН = 0.230-240
И настроить маршрутизацию кому куда?

Мне нужно более грамотно использовать киску.

>[оверквотинг удален]
>>
>>ну и настрой его обычным маршрутизатором, в чем проблема? Маршрутизатор адреса в
>Теперь вопрос следующий я могу создать 2 ВЛАНА в одном диапазоне адресов???
>
>Например:
>1ВЛАН = 0.20-220
>2ВЛАН = 0.230-240
>И настроить маршрутизацию кому куда?
>
>Мне нужно более грамотно использовать киску.

это будет не "более грамотно", это будет "писец полный"

что ты этим вообще хочешь добиться?
схему чтоли изобрази...

>что ты этим вообще хочешь добиться?
>схему чтоли изобрази...

Если ты хочешь отделить ВИП пользователей виланами, тогда выдели им отдельную сеть, не зачем резать как попало существующую.

>>что ты этим вообще хочешь добиться?
>>схему чтоли изобрази...
>
>Если ты хочешь отделить ВИП пользователей виланами, тогда выдели им отдельную сеть,
>не зачем резать как попало существующую.

Они должны иметь доступ в общую сеть с возможность пользоватся принтерами итд.

>[оверквотинг удален]
>>1ВЛАН = 0.20-220
>>2ВЛАН = 0.230-240
>>И настроить маршрутизацию кому куда?
>>
>>Мне нужно более грамотно использовать киску.
>
>это будет не "более грамотно", это будет "писец полный"
>
>что ты этим вообще хочешь добиться?
>схему чтоли изобрази...

ЮзерВип(0.230-240) ----0.240----- киска(0.2) ----0.240----- Фрюша(0.1) ------- 100/10 мбит
Юзер(0.20-220) ----0.50----- киска(0.2) ----0.50----- фрюша(0.1) ------- 3/3 мбит

Фрюша понимает айпиадреса и дает соответствующий канал. ^^^

Но на киске пишутся правила.
Поймете или нет, не знаю))))

>ЮзерВип(0.230-240) ----0.240----- киска(0.2) ----0.240----- Фрюша(0.1) ------- 100/10 мбит
>Юзер(0.20-220) ----0.50----- киска(0.2) ----0.50----- фрюша(0.1) ------- 3/3 мбит

ересь какая-то
ты вообще понимаешь как работает маршрутизация?
роутер никаких IP адресов и так не подменяет.
незачем тебе кисой что либо делить вообще.
просто сделай ip inspect с обычным роутингом и ВСЕ.

Пользователи(10.0.0.2 - .254) - (10.0.0.1)Киса(10.255.255.1)-(10.255.255.2)Фрюша(2 инета)

>И настроить маршрутизацию кому куда?

в твоей задаче только один вариант, куда роутить - фрюша. Что должна киса тут решать?

>>И настроить маршрутизацию кому куда?
>
>в твоей задаче только один вариант, куда роутить - фрюша. Что должна
>киса тут решать?

Киса должна передавать на фрюшу запросы таким образом что бы тот запрос который она получила, с тем же адресом и отдала(тоесть без подмены адресов).
+ иметь возможность писать правила на кисе.

>>>И настроить маршрутизацию кому куда?
>>
>>в твоей задаче только один вариант, куда роутить - фрюша. Что должна
>>киса тут решать?
>
>Киса должна передавать на фрюшу запросы таким образом что бы тот запрос
>который она получила, с тем же адресом и отдала(тоесть без подмены
>адресов).
>+ иметь возможность писать правила на кисе.

смотри выше
это называется не "передавать запрос", это называется "маршрутизация"