Здравствуйте, есть циска 1811 одним интерфейсом подключенная к провайдеру (1 айпи адрес) за ней в нате находятся несколько веб серверов. Поскольку внешний адрес один и потр одинаковый, как настроить статик трансляцию на каждый из серверов?
тоесть как я понимаю она должна смотреть в урл обращения к сайту и перенаправлять на соответствующий внутренний адрес
напримерblablabla.example.com ---> 192.168.1.1
mail.example.com ---> 192.168.1.2
боюсь огорчить, но врятли железка уровня SOHO может подобное...Настраивайте один сервер на порту 80, второй на порту 81.
или просите у провайдера второй адрес...
>Здравствуйте, есть циска 1811 одним интерфейсом подключенная к провайдеру (1 айпи адрес)
>за ней в нате находятся несколько веб серверов. Поскольку внешний адрес
>один и потр одинаковый, как настроить статик трансляцию на каждый из
>серверов?
>тоесть как я понимаю она должна смотреть в урл обращения к сайту
>и перенаправлять на соответствующий внутренний адрес
>например
>
>blablabla.example.com ---> 192.168.1.1
>mail.example.com ---> 192.168.1.2ставте одну тачилу с прокси и все получится, а с нее уже на 1.1, 1.2 и т.д.
Спасибо за быстрые ответы, но конечно ставить еще одну машину с прокси или развешивать сервера на разные порты не очень удобно или я может что то недопонимаюзачача: в небольшом продакшене есть 2 сервака которые смотрят наружу и их видно внутри
первый файл сервер, фтп, и хттп для клиентов снаружи (клиенты забирают файлы по прямым линкам, листинг запрещен)
второй сервак опен директори, майл, айкол, адресбук
снаружи опубликован майл, айкол, адресбукидя такая чтобы снаружи сотрудники могли коннектиться к вебмайлу (на 80 порте) - это второй сервак
а клиенты забирать по нттп файлы (это первый сервак)тоесть для меня было бы идеально решить это на уровне маршрутизатора, чем перевешивать серваки на разные порты (и объяснять сотрудникам - мол пока вы в офисе то через один порт, пока дома через другой)
по скольку вышеупомянутый маршрутизатор и правда уровня сохо, то выводить серваки в дмз - нереально, так как маршрутизировать он будет максимум со скоростью 100 мегабит, а нужен гигабит)на счет прокси - наверное это это самая правильная идея, но я боюсь что могут возникнуть какие нибудь сложности ....
>[оверквотинг удален]
>- это второй сервак
>а клиенты забирать по нттп файлы (это первый сервак)
>
>тоесть для меня было бы идеально решить это на уровне маршрутизатора, чем
>перевешивать серваки на разные порты (и объяснять сотрудникам - мол
>пока вы в офисе то через один порт, пока дома через
>другой)
>по скольку вышеупомянутый маршрутизатор и правда уровня сохо, то выводить серваки в
>дмз - нереально, так как маршрутизировать он будет максимум со скоростью
>100 мегабит, а нужен гигабит)Никаких 100 мегабит, 10 в самом оптимистичном случае ;)
Вариантов у вас немного. Если вы не хотите менять порты, придётся попросить у провайдера ещё один адрес. Или статическая трансляция вида:
xx.xx.xx.xx:80 ---> 192.168.0.1:80
xx.xx.xx.xx:81 ---> 192.168.0.2:80
Хорошо, перефразирую вопрос
какая из железок циско может делать то что написано выше?
>Хорошо, перефразирую вопрос
>какая из железок циско может делать то что написано выше?Вы в любом случае с помощью ната не сделаете, чтобы при обращении на один и тот же белый ип с одним и тем же портом, пакеты шли на разные сервера за натом.
>>Хорошо, перефразирую вопрос
>>какая из железок циско может делать то что написано выше?
>
>Вы в любом случае с помощью ната не сделаете, чтобы при обращении
>на один и тот же белый ип с одним и тем
>же портом, пакеты шли на разные сервера за натом.Уточню:
На уровне Ната, роутер не будет смотреть урлы, он только ипы разбирает.
я понимаю что это не нат, а фильтрация более высокого уровня
это вообще возможно на циско или нет?
(просто я что из прошлого опыта припоминаю что иса 2006 такое делать могла)
>я понимаю что это не нат, а фильтрация более высокого уровня
>это вообще возможно на циско или нет?
>(просто я что из прошлого опыта припоминаю что иса 2006 такое делать
>могла)вообше то можно как минимум на платформах которые поддерживают "slb url load balancing". можно думать и о "policy-map + firewall" фичах IOSа? что скажут спецы? :)
>я понимаю что это не нат, а фильтрация более высокого уровня
>это вообще возможно на циско или нет?
>(просто я что из прошлого опыта припоминаю что иса 2006 такое делать
>могла)Не путайте Теплое с Мягким - роутер это прежде всего роутер, а прокси (иса) - это прокси.
Такие вещи даже бесплатный линукс умеет и не виснет каждые две недели как иса...В данной ситуации вам бы сделать ВПН-сервер и пусть домашние юзера в впн цепляются - и безопасней и придумывать с натом ничего не надо...
А если вам интересно сколько будет стоить железка, то циско никогда мало не стоили, будет ооооочень дорого...
1800 роутеры хоть и идут с интерфейсами 10/100BaseTX, но производительности много больше 10Мбит не дают... даже 2811 дает только 60Мбит, а 2821 - 80Мбит...
давайте подведем итоги:
на сколько я понимаю решить данную задачу при помощи циско оборудования невозможно.
я прав?!что касается реалтизаций, (линукс / виндоуз) виснуть оно будет или не виснуть это как говорится выходит за пределы обсуждения данного топика
ПС
большинство пользователей пользуются разнообразной почтой через веб интерфейс (например гмайл,. яндекс и тд) представьте себе ситуацию что перед тем как проверить почту вам нужно установить впн соединение - это удобно??? а если вы в интернет кафе, или оказались за чужой машиной или вообще пользуетесь айфоном или айпадом.
>[оверквотинг удален]
>
>что касается реалтизаций, (линукс / виндоуз) виснуть оно будет или не
>виснуть это как говорится выходит за пределы обсуждения данного топика
>
>ПС
>большинство пользователей пользуются разнообразной почтой через веб интерфейс (например гмайл,. яндекс и
>тд) представьте себе ситуацию что перед тем как проверить почту вам
>нужно установить впн соединение - это удобно??? а если вы в
>интернет кафе, или оказались за чужой машиной или вообще пользуетесь айфоном
>или айпадом.Думаю, что цисковое решение все же есть. Это скорее всего какой-то фаервол должен быть с ip inspect urlfilter.
Но имхо, это не рентабельно. Есть масса других способов. Я бы просто попросил у провайдера еще один IP.
>большинство пользователей пользуются разнообразной почтой через веб интерфейс (например гмайл,. яндекс и
>тд) представьте себе ситуацию что перед тем как проверить почту вам
>нужно установить впн соединение - это удобно??? а если вы в
>интернет кафе, или оказались за чужой машиной или вообще пользуетесь айфоном
>или айпадом.Тем кто пользуется гмайлом, яндексом и тд, доступ к вам в сеть сообще зачем? :)
А вот тем кто из интернет-кафе хочет почитать какие-нить финансовые документы фирмы да еще и без установки впн-соединения сразу надо по рукам довать и отключать...По поводу айфона сказать ничего не могу - не юзал.
А для йапада есть замечательная весч - Citrix XenDesktop, для юзера и правда удобнейгшая вещь, правда толстый канал нужен.
В общем ладно - будем считать что тема закрыта,
средствами циско выше указанное сделать невозможно.Спасибо всем участникам.
под такие задачи многие юзают nginx как фронтэнд.
дополнительная машина не обязательна - можно на одной из существующих поднять еще один сервис.
мерси
надо будет попробовать, жалко что только сама циска это не делает
>мерси
>надо будет попробовать, жалко что только сама циска это не делаетУже упоминалось - не ее задача...
Вы же врядли в качестве такси для перевозки пассажиров станете использовать зил или камаз...