Здравствуйте, помогите советов.
Цель такая: построить сеть состоящую из прокси сервера, нескольких виланов и маршрутизатора, с возможностью шейпить трафик на виланах.

Имеется сервер с User-Gate, маршрутизатор 2801, и пару свичей HP Procurve 2524.

схема такая:

Интренет => Сервер => 2801 => HP Curva => users

На сервере ip Inside 10.10.0.1
На 2801    ip FA 0/0 10.10.0.2
              FA 0/1 10.10.1.1 на этом интерфейсе создал пару виланов
              FA 0/1.2 10.10.2.1 и так далее

Ядром сети будет 2801. Нужно чтобы был доступ с сети 10.10.2.0 на шлюз прокси 10.10.0.1 У меня это пока не получается.

Вот конфиг с 2801
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
no logging buffered
!
no aaa new-model
no ip cef!
!
ip dhcp use vrf connected
ip dhcp excluded-address 10.10.2.1
!
ip dhcp pool lan
   network 10.10.2.0 255.255.255.0
   domain-name lan.network
   default-router 10.10.2.1!
!
interface FastEthernet0/0
ip address 10.10.0.2 255.255.255.0
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
ip address 10.10.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1.2
encapsulation dot1Q 2
ip address 10.10.2.1 255.255.255.0
  rate-limit input 256000 8000 16000 conform-action continue exceed-action drop
  rate-limit output 128000 8000 16000 conform-action continue exceed-action drop
!
ip route 0.0.0.0 0.0.0.0 10.10.0.1
!
ip http server
ip http authentication local
!
access-list 1 permit 10.10.2.0 0.0.0.255
!
control-plane
!
end

На курве создал VLAN 2 поставил на порт в который идёт линк от 2801 taget
из сети 10.10.2.0 пинги идут на 10.10.2.1 и 10.10.0.2  на 10.10.0.1 не идут. Может подскажите в чём ошибка? Спасибо заранее.  

• Правильно построение сети. proxy-cisco2801-комутатор,AlexDv, 17:26 , 22-Фев-12
  • Правильно построение сети. proxy-cisco2801-комутатор,alkaid, 12:13 , 23-Фев-12
    • Правильно построение сети. proxy-cisco2801-комутатор,Dima, 13:30 , 23-Фев-12
      • Правильно построение сети. proxy-cisco2801-комутатор,alkaid, 14:13 , 23-Фев-12
        • Правильно построение сети. proxy-cisco2801-комутатор,Dima, 14:25 , 23-Фев-12
          • Правильно построение сети. proxy-cisco2801-комутатор,alkaid, 15:02 , 23-Фев-12
            • Правильно построение сети. proxy-cisco2801-комутатор,Dima, 19:44 , 23-Фев-12
    • Правильно построение сети. proxy-cisco2801-комутатор,AlexDv, 19:24 , 23-Фев-12
      • Правильно построение сети. proxy-cisco2801-комутатор,alkaid, 08:52 , 24-Фев-12
        • Правильно построение сети. proxy-cisco2801-комутатор,alkaid, 09:31 , 24-Фев-12
          • Правильно построение сети. proxy-cisco2801-комутатор,AlexDv, 11:53 , 24-Фев-12
• Правильно построение сети. proxy-cisco2801-комутатор,kopic, 09:40 , 24-Фев-12
  • Правильно построение сети. proxy-cisco2801-комутатор,alkaid, 10:09 , 24-Фев-12
    • Правильно построение сети. proxy-cisco2801-комутатор,kopic, 11:36 , 24-Фев-12
      • Правильно построение сети. proxy-cisco2801-комутатор,alkaid, 12:45 , 24-Фев-12
        • Правильно построение сети. proxy-cisco2801-комутатор,alkaid, 14:53 , 24-Фев-12
          • Правильно построение сети. proxy-cisco2801-комутатор,kopic, 10:48 , 28-Фев-12
            • Правильно построение сети. proxy-cisco2801-комутатор,alkaid, 07:58 , 29-Фев-12
        • Правильно построение сети. proxy-cisco2801-комутатор,Dima, 20:09 , 24-Фев-12
• Правильно построение сети. proxy-cisco2801-комутатор,alkaid, 08:00 , 29-Фев-12

> Здравствуйте, помогите советов.
> Цель такая: построить сеть состоящую из прокси сервера, нескольких виланов и маршрутизатора,
> с возможностью шейпить трафик на виланах.
> Имеется сервер с User-Gate, маршрутизатор 2801, и пару свичей HP Procurve 2524.
> схема такая:
> Интренет => Сервер => 2801 => HP Curva => users
> На сервере ip Inside 10.10.0.1
> На 2801    ip FA 0/0 10.10.0.2
>            

[skipped]

> На курве создал VLAN 2 поставил на порт в который идёт линк
> от 2801 taget
> из сети 10.10.2.0 пинги идут на 10.10.2.1 и 10.10.0.2  на 10.10.0.1
> не идут. Может подскажите в чём ошибка? Спасибо заранее.

А у 10.10.0.1 есть роут в сеть 10.10.2.0 ? Видимо нет.

> А у 10.10.0.1 есть роут в сеть 10.10.2.0 ? Видимо нет.

Добавил ip route 10.10.2.0 255.255.255.0 FastEthernet 0/01.2

Вроде бы работает, но на Убунту, и доступ в интернет от прокси сервера получает.А вот на Винде(XP,Seven) нифига, даже не пингуется.  

>> А у 10.10.0.1 есть роут в сеть 10.10.2.0 ? Видимо нет.
> Добавил ip route 10.10.2.0 255.255.255.0 FastEthernet 0/01.2
> Вроде бы работает, но на Убунту, и доступ в интернет от прокси
> сервера получает.А вот на Винде(XP,Seven) нифига, даже не пингуется.

Зачем делать огород из лишних хопов.
хочется использовать прокси ?

делайте это через WSSP на циске, а ее ставьте как центральный рутер в инет.

настраивайте НАТ и сетевой экран на циске.

Д.

> Зачем делать огород из лишних хопов.
> хочется использовать прокси ?
> делайте это через WSSP на циске, а ее ставьте как центральный рутер
> в инет.
> настраивайте НАТ и сетевой экран на циске.
> Д.

В том то и дело что нужен прокси, с дружественным интерфейсом (статистика, ограничения и т.д.) Вот и думаю как правильно построить сеть. Исходя из этих запросов.

WSSP - что это? гугл не помог (((

>> Зачем делать огород из лишних хопов.
>> хочется использовать прокси ?
>> делайте это через WSSP на циске, а ее ставьте как центральный рутер
>> в инет.
>> настраивайте НАТ и сетевой экран на циске.
>> Д.
> В том то и дело что нужен прокси, с дружественным интерфейсом (статистика,
> ограничения и т.д.) Вот и думаю как правильно построить сеть. Исходя
> из этих запросов.
> WSSP - что это? гугл не помог (((

сори, в вел заблуждение, это опечатка.
Технология называется WCCP, она позволяет трафик WEB перекидывать на прокси сервера, коих может быть много.
далее уже работает ваша статистика и ограничения трафика на проксе сервере (SQUID).

Основной трафик, проходящий через роутер в хорошо собирается через NetFlow на какой-нибудь коллектор.

Д.

> сори, в вел заблуждение, это опечатка.
> Технология называется WCCP, она позволяет трафик WEB перекидывать на прокси сервера, коих
> может быть много.
> далее уже работает ваша статистика и ограничения трафика на проксе сервере (SQUID).
> Основной трафик, проходящий через роутер в хорошо собирается через NetFlow на какой-нибудь коллектор.
> Д.

ааа, про это я читал. Но прокся на линуксе.
А моя схема вообще никакая? или всё таки есть надежда, грамотно построить сеть?

>> сори, в вел заблуждение, это опечатка.
>> Технология называется WCCP, она позволяет трафик WEB перекидывать на прокси сервера, коих
>> может быть много.
>> далее уже работает ваша статистика и ограничения трафика на проксе сервере (SQUID).
>> Основной трафик, проходящий через роутер в хорошо собирается через NetFlow на какой-нибудь коллектор.
>> Д.
> ааа, про это я читал. Но прокся на линуксе.
> А моя схема вообще никакая? или всё таки есть надежда, грамотно построить
> сеть?

с моей точки зрения она бесталковая.
имея хорошую железку в качестве рутера, с кучей фич на борту ИОСа, и не пользоваться этим добром :)

можно тут что-то из полезного почитать про организацию связки SQUID-Cisco-WCCP
http://forum.lissyara.su/viewtopic.php?f=48&t=5208

в любом случае ваша схема тоже имеет жизнь, так что дерзайте, настраивайте читайте главное не останавливаться.

Д.

>> А у 10.10.0.1 есть роут в сеть 10.10.2.0 ? Видимо нет.
> Добавил ip route 10.10.2.0 255.255.255.0 FastEthernet 0/01.2

На Циске?
Уберите, а добавьте на хосте 10.10.0.1

> Вроде бы работает, но на Убунту, и доступ в интернет от прокси
> сервера получает.А вот на Винде(XP,Seven) нифига, даже не пингуется.

>>> А у 10.10.0.1 есть роут в сеть 10.10.2.0 ? Видимо нет.
>> Добавил ip route 10.10.2.0 255.255.255.0 FastEthernet 0/1.2
> На Циске?
> Уберите, а добавьте на хосте 10.10.0.1

Убрал, на хосте (Win2008) добавил route add 10.10.2.0 255.255.255.0 10.10.0.2 -p

В голове уже каша. борюсь дальше.

>>>> А у 10.10.0.1 есть роут в сеть 10.10.2.0 ? Видимо нет.
>>> Добавил ip route 10.10.2.0 255.255.255.0 FastEthernet 0/1.2
>> На Циске?
>> Уберите, а добавьте на хосте 10.10.0.1
> Убрал, на хосте (Win2008) добавил route add 10.10.2.0 255.255.255.0 10.10.0.2 -p
> В голове уже каша. борюсь дальше. Да пока имею следующие результаты.

на видовом хосте 10.10.2.2 работает, но недолго.От него, сеть 10.10.2.0, пинг идут на 10.10.2.1 т.е до циски стабильно.
Пинг до 10.10.0.2 и 10.10.0.1 сначала идёт, как только интерфейс перезапуcтишь перестают.
Из циски пинг на 10.10.2.2 тоже перстаёт идти.

На убунту 10.10.2.2 пока вроде работает всё. доступ в интернет от прокси получает.  

>[оверквотинг удален]
>>> На Циске?
>>> Уберите, а добавьте на хосте 10.10.0.1
>> Убрал, на хосте (Win2008) добавил route add 10.10.2.0 255.255.255.0 10.10.0.2 -p
>> В голове уже каша. борюсь дальше. Да пока имею следующие результаты.
> на видовом хосте 10.10.2.2 работает, но недолго.От него, сеть 10.10.2.0, пинг идут
> на 10.10.2.1 т.е до циски стабильно.
> Пинг до 10.10.0.2 и 10.10.0.1 сначала идёт, как только интерфейс перезапуcтишь перестают.
> Из циски пинг на 10.10.2.2 тоже перстаёт идти.
> На убунту 10.10.2.2 пока вроде работает всё. доступ в интернет от прокси
> получает.

Отключите все лишние функции и проверьте сначала маршрутизацию, а потом уже остальное.

Ох и огород нагородили. Делайте вот так:

                  сервер
                    ^
                    |
Интренет => 2801 => HP Curva => users

В этой схеме сервер имеет выход в интернет а юзеры через него.
Либо как вариант вот так:

                                            сервер
                                              ^<=access=>
                                              |
Интренет => 2801 <=trunk=> HP Curva <=access=> users

> Ох и огород нагородили. Делайте вот так:
>            сервер
>              ^
>              |
> Интренет => 2801 => HP Curva => users
> В этой схеме сервер имеет выход в интернет а юзеры через него.

Если два человека считают что моя схема огород, то значит я огородник.

Хорошо, схема номер один, работает так? Пакет от юзера идёт на курву в свой вилан, от неё на свой подинтерфейс 2801. далее ,циска пакет перенаправляет на внутренний интерфейс сервера, на севрере проходит авторизация и пакет юзера, через нат, идёт на внешний интерфейс сервера. От севрера на циску, и наконец в циске на внешку в инет. Правильно

Не совсем.
На прокси сервере тоже 1 интерфейса хватит (как на рабочей станции).

И коли цыска 2801 - то на ней в базе всего 2 интерфейса и подходит только схема 2.
Трафик будет идти так:
1) от юзера на курву потом на роутер.
2) от роутера на прокси сервер.
3) от прокси сервера снова на роутерю
4) НАТ на роутере
5) Выход в инет.

Обратно в обратном порядке.
с WCCP правильно сказали, ибо тут совсем все просто будет.
1) пакет от юзера идет на роутер, потом роутер сам смотрит на прокси, делает нат и отправляет в инет.

>[оверквотинг удален]
> Трафик будет идти так:
> 1) от юзера на курву потом на роутер.
> 2) от роутера на прокси сервер.
> 3) от прокси сервера снова на роутерю
> 4) НАТ на роутере
> 5) Выход в инет.
> Обратно в обратном порядке.
> с WCCP правильно сказали, ибо тут совсем все просто будет.
> 1) пакет от юзера идет на роутер, потом роутер сам смотрит на
> прокси, делает нат и отправляет в инет.

WCCP работает только с SQWID, а у меня юзергейт лицензия. Так что нужно как то вокруг него своять сеть.

Просто мне от 28 циски нужно ограничение полосы по вилану и маршрутизация всех до кучи на сервер. По идеи хороший коммутатор 3 уровня нужен а не 28. так ведь?

Хороший мутатор третьего уровня встанет очень дорого вам.
Сколько всего пользователей и полоса пропускания в тырнет?

> Хороший мутатор третьего уровня встанет очень дорого вам.
> Сколько всего пользователей и полоса пропускания в тырнет?

Пользователей сейчас примерно 50, но цифра постоянно меняется. Канал 4 м/б

>[оверквотинг удален]
>> 2) от роутера на прокси сервер.
>> 3) от прокси сервера снова на роутерю
>> 4) НАТ на роутере
>> 5) Выход в инет.
>> Обратно в обратном порядке.
>> с WCCP правильно сказали, ибо тут совсем все просто будет.
>> 1) пакет от юзера идет на роутер, потом роутер сам смотрит на
>> прокси, делает нат и отправляет в инет.
> WCCP работает только с SQWID, а у меня юзергейт лицензия. Так что
> нужно как то вокруг него своять сеть.

может таки SQUID поставите + SAMS (хотя его деятельность свернули, но вполне можно использовать) для статистики и блокировки превышения?
ну куда проще схема будет.

отжимать пользователей по доступному контенту через тот же SQUIDGUARD

Д.

Разобрался я почему отваливался инет. Оказалось всё просто, на курве айпишник вилану присвоил такой же как и на подинтерфейсе циски.
Дня три тестирую свою огородную схему. Пока работает. Но вот ограничения установленные на проксе не работают. В частности запрет на посещение определённых ресурсов. Знаю что дело в циске.