форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Как вывернуть весь трафик с сервера в порт на cisco?"

Сообщение от Igor (??) on 15-Май-07, 20:24

Задача: к маршрутизатору серии 6500 подключены - несколько локальных сетей (каждая в своем vlan'е), - ISP-провайдер, - сервер, решающий, пускать или не пускать трафик из локалки на провайдера, а также подсчитывающий этот трафик. Как правильно настроить маршрутизацию на циске и на сервере? Сейчас провайдер подключен через cs-2511 со своим IP, в сервере задан default gateway на 2511, и все нормально работает (при том, что с сервера на 2511 трафик идет через 6500). Я хочу исключить 2511, подключив провайдера непосредственно на один из портов 6500, но моих знаний циски недостаточно для решения этой задачи. Если завести отдельный vlan (для примера назовем его vlanISP и повесим на этот vlan адрес 192.168.200.1), включить в него сервер и порт провайдера - непонятно, как быть с маршрутизацией в циске. Сейчас в циске 6500 default gateway - сервер (по другому никак). Если я в сервере в качестве default gateway укажу 192.168.200.1 - получится замкнутый круг. Фактически мне нужно сказать серверу, что весь трафик, который должен уйти на провайдера, нужно отправить в порт, к которому подключен провайдер (т.е. маршрутизировать ничего не нужно). А циске мне нужно сказать, что весь трафик, пришедший с порта провайдера, нужно (тоже не маршрутизируя) отправить на сервер (там он посчитается), и только после того, как он вернется с сервера на циску, раскидать его в нужные vlan'ы. Получается, мне нужен некий "туннель" внутри циски (между двумя ее портами), по которому трафик будет бегать без маршрутизации. Похоже, эту задачу можно решить при помощи private vlan (серверный порт - primary, порт провайдера - isolated). Но в доках private vlan'ы позиционируются совсем для других задач, и мне кажется, что использование для моих нужд private vlan - стрельба из пушки по воробьям... Я не прошу готовое решение - хотя бы подскажите, какой механизм лучше всего использовать, чтобы "соединить" два порта "внутри" циски наиболее оптимальным способом.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Как вывернуть весь трафик с сервера в порт на cisco?"

Сообщение от VAS75 (ok) on 15-Май-07, 22:46

Не совсем понял суть вашего хотения. Если сиё чудо паутины планируется только для "- сервер, решающий, пускать или не пускать трафик из локалки на провайдера, а также подсчитывающий этот трафик." то это все черезчур перемудренно. Как подсчитывать так и решать пускать или нет трафф в интернет, да и еще многое другое - это все может сделать сама сиська. 1. На один интерфейс сиськи вешаешь локальные VLANы 2. На второй включаешь своего провайдера. 3. Настраиваешь маршрутизацию между своими VLAN 4. Настраиваешь правила маршрутизации в интернет rout-map policy для "решать, пускать или не пускать из локалки" 5.Включаешь ip NAT для трансляции интернета внутрь локалки. (Кстате правила доступа в инет можешь настроить в NAT). У всех узеров локалки ставишь шлюзом этот маршрутизатор. 6.Включаешь сбор статистики со второго интерфейса 7. Берешь в инете скрипт для принятия и обработки сиськовской статистики И твоя задача выполнена.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Как вывернуть весь трафик с сервера в порт на cisco?"
	Сообщение от Igor (??) on 16-Май-07, 10:38
	>Не совсем понял суть вашего хотения. > >Если сиё чудо паутины планируется только для "- сервер, решающий, пускать или >не пускать трафик из локалки на провайдера, а также подсчитывающий этот >трафик." > >то это все черезчур перемудренно. Как подсчитывать так и решать пускать или >нет трафф в интернет, да и еще многое другое - это >все может сделать сама сиська. Не все так просто. Сервер "раздает" трафик в локалки по индивидуальным правилам для каждого адреса. А решение "пускать - не пускать" принимает самописный сервер авторизации, "общение" с которым реализовано при помощи клиентов (тоже самописных). Наверное, все это (со временем) можно заставить делать циску - но я пока даже не представляю, каким образом. Например, как на моей циске (cat6509, sup2/msfc2, IOS 12.1(26)E6, native mode) реализовать такую "простенькую" задачу, как проверка соответствия IP/MAC для трафика из локалок. Я уже задавал этот вопрос на этом форуме, но полезного ответа так и не получил. Поэтому задача остается: циска маршрутизирует только трафик между локалками, а "внешний" трафик отдается на некий "сервер", который _некоторую_ часть этого трафика должен "пробросить" в порт провайдера на той же циске.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Как вывернуть весь трафик с сервера в порт на cisco?"
	Сообщение от VAS75 (ok) on 16-Май-07, 10:45
	Всетаки чего-то недопонимаю... Сформулируй полностью чего ты хочешь сделать и как оно должно работать с описание структуры сети и т.п. Тогда можно будет дать какой либо совет, который ты сможешь использовать.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Как вывернуть весь трафик с сервера в порт на cisco?"
	Сообщение от Igor (??) on 16-Май-07, 11:46
	>Всетаки чего-то недопонимаю... >Сформулируй полностью чего ты хочешь сделать и как оно должно работать с >описание структуры сети и т.п. > >Тогда можно будет дать какой либо совет, который ты сможешь использовать. Да вроде ж все уже изложил... Попробую другими словами (жаль, нарисовать здесь никак не получится) Мы - один из городских провайдеров, предоставляющих доступ в интернет по так называемой технологии "домашние сети". Основным маршрутизатором является циска (cisco catalist 6509). К ней подключены все наши клиенты. Также есть несколько каналов на других городских провайдеров "домашних сетей" - "выход" на них из наших локалок также реализован через циску. Все это - "локальный" трафик, который нет необходимости учитывать. Есть провайдер, через которого мы (и наши клиенты, естественно) "ходим" в "мир". Сейчас линк с этим провайдером поднят на DSL-модемах. Модем с нашей стороны воткнут в cs2511 на serial интерфейс. Ethernet интерфейс с 2511 подключен на один из портов 6509. Есть сервер под Линуксом, который выполняет авторизацию клиентов (для получения доступа в "мир"), учет этого трафика, и, что самое главное, _распределение_ "мирового" канала "согласно купленных билетов". Сейчас маршрутизация построена следующим образом: на циске 6509 в качестве default gateway задан адрес сервера авторизации, а на сервере авторизации в качестве default gateway прописан адрес циски 2511. Все счастливы :) Теперь мы подняли нормальный ethernet канал до провайдера (протянули оптику). 2511 больше не нужна. Нужно "малой кровью" (без переписывания всего, что уже работает) сделать так, чтобы "внешний" трафик с сервера авторизации уходил на провайдера (подключенного непосредственно на порт 6509), и наоборот, трафик от провайдера (без маршрутизации!!!) весь уходил на сервер авторизации. Сейчас буду пробовать private vlan между портами сервера и провайдера, но мне почему-то кажется, что задачу можно решить более простым способом.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Как вывернуть весь трафик с сервера в порт на cisco?"
	Сообщение от zaikini (??) on 16-Май-07, 13:49
	>>Всетаки чего-то недопонимаю... >>Сформулируй полностью чего ты хочешь сделать и как оно должно работать с >>описание структуры сети и т.п. >> >>Тогда можно будет дать какой либо совет, который ты сможешь использовать. > >Да вроде ж все уже изложил... Попробую другими словами (жаль, нарисовать здесь >никак не получится) > >Мы - один из городских провайдеров, предоставляющих доступ в интернет по так >называемой технологии "домашние сети". Основным маршрутизатором является циска (cisco catalist 6509). >К ней подключены все наши клиенты. Также есть несколько каналов на >других городских провайдеров "домашних сетей" - "выход" на них из наших >локалок также реализован через циску. Все это - "локальный" трафик, который >нет необходимости учитывать. > >Есть провайдер, через которого мы (и наши клиенты, естественно) "ходим" в "мир". >Сейчас линк с этим провайдером поднят на DSL-модемах. Модем с нашей >стороны воткнут в cs2511 на serial интерфейс. Ethernet интерфейс с 2511 >подключен на один из портов 6509. > >Есть сервер под Линуксом, который выполняет авторизацию клиентов (для получения доступа в >"мир"), учет этого трафика, и, что самое главное, _распределение_ "мирового" канала >"согласно купленных билетов". > >Сейчас маршрутизация построена следующим образом: на циске 6509 в качестве default gateway >задан адрес сервера авторизации, а на сервере авторизации в качестве default >gateway прописан адрес циски 2511. Все счастливы :) > >Теперь мы подняли нормальный ethernet канал до провайдера (протянули оптику). 2511 больше >не нужна. Нужно "малой кровью" (без переписывания всего, что уже работает) >сделать так, чтобы "внешний" трафик с сервера авторизации уходил на провайдера >(подключенного непосредственно на порт 6509), и наоборот, трафик от провайдера (без >маршрутизации!!!) весь уходил на сервер авторизации. > >Сейчас буду пробовать private vlan между портами сервера и провайдера, но мне >почему-то кажется, что задачу можно решить более простым способом. Порты в сторону сервера и провайдера добавить в один vlan. Default gateway на сервере - айпишник провайдера.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]