форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Маршрутизация, NAT / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"Маршрутизация между несколькими внутренними подсетями"	+/–
Сообщение от nops (ok) on 15-Июл-13, 15:08
Всем доброго времени. Вот пытаюсь решить проблему, но что-то в голову ничего не приходит. Имеем локальную сеть компании из двух сотен компов и эНННого количества серверов и всякого железа типа принтеров, копиров и подобного. возмем для рассмотрения 3 сервера: 1. Шлюз - 192.168.0.1 2. Фалопомойка - 192.168.0.2 3. сервер баз данных - 192.168.0.3 Имеем подсеть 192.168.0.0/24 Появилась задача, раскидать все отделы по разным подсетям с нарезанием ограничения по скорости для каждого из подотделов. Ну со скоростью я худо бедно разберусь, точнее разобрался, нужно будет допиливать, а вот с маршутизацией никак не могу. Начал на примере действующей сети, решил добавить сначала одну подсеть и выгнать в нее самый критичный отдел. создал алиас на шлюзе: em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500     options=4219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC,VLAN_HWTSO>     ether 00:25:90:7e:ac:84     inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255     inet 172.16.201.1 netmask 0xfffffff8 broadcast 172.16.201.7     media: Ethernet autoselect (1000baseT <full-duplex>)     status: active прописал на одной из машин руками IP 172.16.201.2, добил правила в фаерволе чтобы был инет и инет есть, внешняя сеть робит. Возникает проблема с главное подсетью 192.168.0.0/24. В ней стоит сервак в файлом к которому нужно организовать доступ. Как ни странно, а вот с этой рабочей станции, с IP: 172.16.201.2 моя шара пингуется без проблем, а вот с шары моя эта машинка нет. я этого прикола не понял и давай ковыряться. Сегодня весь день убил, но так и не смог разобраться. Я так понимаю, что придется мне натить пакеты, которые будут ходить между внутренними подсетями 192.168.0.0/24 и 172.16.201.0/24 у меня стоит ipfw+pf. Это связка нужна, PF у меня фильтрацией снаружи занимается и натит, а ipfw разруливает все остальное. в PF.CONF set limit states 128000 set optimization aggressive set loginterface em0 ### NAT ### nat pass on em0 from 192.168.0.0/24 to any -> em0 nat pass on em0 from 172.16.201.0/24 to any -> em0 где em0 - внешняя, em1 - внутренняя. Как итог, мне нужно чтобы внутренние подсети видели друг друга. Эти подсети сидят на одном физическом интерфейсе. Подскажите пожалуйста, в какую сторону копнуть, а то что-то не могу допетрить где тут собака закопалась...
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Маршрутизация между несколькими внутренними подсетями"	+/–
Сообщение от Аноним (??) on 15-Июл-13, 16:14
man vlan
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Маршрутизация между несколькими внутренними подсетями"	+/–
Сообщение от Grey (ok) on 15-Июл-13, 16:31
Думаю что натить между внутренними подсетями ничего не надо. 192.168.0.1 уже знает где находятся другие внутренние подсети (просто потому что на нём прописаны все внутренние подсети). Про vlan тут ответили.... хм. не знаю к чему это. на всех машинах надо прописать шлюзом адрес из той же подсети, но который прописан на основном роутере. Если пинг с одной машины на другую идёт - значит маршрутизация работает, остальное смотрите в фаерволах. Для пробы уберите все ограничения по внутренним подсетям и интерфейсам.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Маршрутизация между несколькими внутренними подсетями"	+/–
	Сообщение от PavelR (ok) on 15-Июл-13, 16:40
	> Про vlan тут ответили.... хм. не знаю к чему это. Без vlan разделение на подсети особого смысла не имеет. Можно точно также нарисовать правила нарезки трафика на набор отдельных IP как на общую группу. Набивать же кучей сетевых карт сервер-маршрутизатор и ставить изолированный коммутатор на отдел - это как-то уже слишком устаревшая технология. > Думаю что натить между внутренними подсетями ничего не надо. 192.168.0.1 уже знает > где находятся другие внутренние подсети (просто потому что на нём прописаны > все внутренние подсети). > на всех машинах надо прописать шлюзом адрес из той же подсети, но > который прописан на основном роутере. > Если пинг с одной машины на другую идёт - значит маршрутизация работает, > остальное смотрите в фаерволах. > Для пробы уберите все ограничения по внутренним подсетям и интерфейсам. про все остальное - полностью согласен.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Маршрутизация между несколькими внутренними подсетями"	+/–
	Сообщение от Grey (ok) on 15-Июл-13, 17:04
	>> Про vlan тут ответили.... хм. не знаю к чему это. > Без vlan разделение на подсети особого смысла не имеет. Можно точно также > нарисовать правила нарезки трафика на набор отдельных IP как на общую > группу. > Набивать же кучей сетевых карт сервер-маршрутизатор и ставить изолированный коммутатор > на отдел - это как-то уже слишком устаревшая технология. Ну это понятно, но этот совет скорее в развитие. Человеку для начала надо уяснить основы, а сходу советовать городить огород с vlan-ами - :) ... и кстате, изолирующий коммутатор, в таком разе, надо ставить не на отдел а на всех и все отделы втыкать в разные изолирующие порты коммутатора. т.е. обойтись одним коммутатором. Но с vlan-ами конечно красивее :) >> Думаю что натить между внутренними подсетями ничего не надо. 192.168.0.1 уже знает >> где находятся другие внутренние подсети (просто потому что на нём прописаны >> все внутренние подсети). >> на всех машинах надо прописать шлюзом адрес из той же подсети, но >> который прописан на основном роутере. >> Если пинг с одной машины на другую идёт - значит маршрутизация работает, >> остальное смотрите в фаерволах. >> Для пробы уберите все ограничения по внутренним подсетям и интерфейсам. > про все остальное - полностью согласен.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Маршрутизация между несколькими внутренними подсетями"	+/–
	Сообщение от nops (ok) on 16-Июл-13, 06:35
	Забавно. Всем спасибо за советы. Но вот только я малость не понял. 1. Я открыл на шлюзе фаервол, т.е. ipfw add 1 allow ip from any to any Пинг как шел с виндовой машины на фрюшную с шарой так и идет, а вот с шары на виндовую машину нет. Странно подумал я. 2. Я в принципе понимаю, что натит тут как бы и не надо, что вообще трафик между подсетями должен летать и без того, но однако не ходит:( Пробовал ipfw add 1 allow ip from any to any via em1 результат тот же. 3. Про VLAN-ы малость не понял. Вместо алиасов поднимать VLAN на интерфейсе? Дайте пожалуйста побольше теории и если можно то пример для более легкого понимания.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	9. "Маршрутизация между несколькими внутренними подсетями"	+/–
	Сообщение от PavelR (ok) on 16-Июл-13, 09:16
	> 3. Про VLAN-ы малость не понял. Вместо алиасов поднимать VLAN на интерфейсе? > Дайте пожалуйста побольше теории и если можно то пример для более > легкого понимания. Вы знаете, есть такой сайт хороший.... http://google.ru называется. Если он вам не сильно нравится, то есть и другие. Подсказать?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	10. "Маршрутизация между несколькими внутренними подсетями"	+/–
	Сообщение от Grey (ok) on 16-Июл-13, 09:31
	> 3. Про VLAN-ы малость не понял. Вместо алиасов поднимать VLAN на интерфейсе? > Дайте пожалуйста побольше теории и если можно то пример для более > легкого понимания. 1. на внутренней сетёвке основного роутера убрать все подсети. 2. на этой сетёвке поднять на каждый отдел по vlan-у 3. прописать на каждом vlan-е нужные подсети (может не по одной на отдел (vlan)) 4. на свиче, с которого расходятся кабели в отделы, на нужных портах поднять нужные vlan-ы. Ну и доруливать фаерволы в соответствии с новой схемой. В общих чертах примерно так.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Маршрутизация между несколькими внутренними подсетями"	+/–
Сообщение от YuryD (??) on 16-Июл-13, 08:08
> Возникает проблема с главное подсетью 192.168.0.0/24. В ней стоит сервак в файлом > к которому нужно организовать доступ. Как ни странно, а вот с > этой рабочей станции, с IP: 172.16.201.2 моя шара пингуется без проблем, > а вот с шары моя эта машинка нет. На шаре нет маршрута до сети 172.16.201.0/24....
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Маршрутизация между несколькими внутренними подсетями"	+/–
	Сообщение от nops (ok) on 16-Июл-13, 08:37
	>> Возникает проблема с главное подсетью 192.168.0.0/24. В ней стоит сервак в файлом >> к которому нужно организовать доступ. Как ни странно, а вот с >> этой рабочей станции, с IP: 172.16.201.2 моя шара пингуется без проблем, >> а вот с шары моя эта машинка нет. >  На шаре нет маршрута до сети 172.16.201.0/24.... Я пробовал на шаре прописал route add 172.16.201.0/24 192.168.0.1 Но итог нудевой. К тому же, по дефолту, все что не прописано руками, все идет по дефолту, т.е. через 192.168.0.1
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Маршрутизация между несколькими внутренними подсетями"	+/–
Сообщение от nops (ok) on 16-Июл-13, 08:52
Всем огромное спасибо за помощь и советы. Сам дурак... Брандмауэр оказался включеным на винде, все входящие рубил. Сейчас еще с самбой тупанул. Забыл что в конфиге прописываются разрешенные подсети.... Сейчас все норм.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема