[jekahawk]

Прошу помочь в решении такой проблемы:

 

Существует сеть 10.0.1.0/24

Сейчас в ней 214 абонентов. Через месяц-другой закончится адресное пространство. Т.е. придется сделать одно из двух - либо изменить сеть на 10.0.1.0/255.255.252.0 (например), или разбить всю сеть на подсети 10.0.1.0/24 10.0.2.0/24 и т.д.

 

Все магистрали сходятся к управляемому свитчу, туда же включен и роутер, на котором два интерфейса - в мир и в локалку. На нем же биллинг. Соответственно, на внутреннем интерфейсе 10.0.1.1 (default gateway для абонентов).

 

Вариант с увеличением адресного пространства не очень устраивает, так как броадкаст и так замучал. Хочется просто разбить сеть на подсети. Но я не понимаю, что нужно сделать.

В голову приходит два варианта:

1) прописать алиасы на интерфейс (10.0.1.1, 10.0.2.1 и т.д.)

2) воткнуть соответствующее количество сетевых карт (чего не хочется)

 

Как правильно и грамотно решить такую задачу?

Как настроить маршрутизацию в таком случае?

 

Заранее благодарен за любую посильную помощь!!!

[GENiUS]

Вобще интересно как кто на практике решал данную задачу, т.к. изменить за день IP-адреса примерно 200 клиентам... :)

 

В теории все довольно просто: либо ставишь Swith L3, либо комп. превращаешь в маршрутизатор. Соответственно ставишь одну сетевуху на каждую подсеть и между ними прописываешь маршрутизацию. Для биллинга можешь использовать например UTM (www.netup.ru)

[Grey]

Прошу помочь в решении такой проблемы:

 

Существует сеть 10.0.1.0/24

Сейчас в ней 214 абонентов. Через месяц-другой закончится адресное пространство. Т.е. придется сделать одно из двух - либо изменить сеть на 10.0.1.0/255.255.252.0 (например), или разбить всю сеть на подсети 10.0.1.0/24 10.0.2.0/24 и т.д.

 

Все магистрали сходятся к управляемому свитчу, туда же включен и роутер, на котором два интерфейса - в мир и в локалку. На нем же биллинг. Соответственно, на внутреннем интерфейсе 10.0.1.1 (default gateway для абонентов).

 

Вариант с увеличением адресного пространства не очень устраивает, так как броадкаст и так замучал. Хочется просто разбить сеть на подсети. Но я не понимаю, что нужно сделать.  

В голову приходит два варианта:

1) прописать алиасы на интерфейс (10.0.1.1, 10.0.2.1 и т.д.)

2) воткнуть соответствующее количество сетевых карт (чего не хочется)

 

Как правильно и грамотно решить такую задачу?

Как настроить маршрутизацию в таком случае?

 

Заранее благодарен за любую посильную помощь!!!

Не вижу проблем... Роутер в любом случае есть в сети, прописываете на его внутреннем интерфейсе алиасом сеть 10.0.2.0/24 и новым клиентам даёте адреса из этой сети...

[Grey]

Не вижу проблем... Роутер в любом случае есть в сети, прописываете на его внутреннем интерфейсе алиасом сеть 10.0.2.0/24 и новым клиентам даёте адреса из этой сети...

А вообще, правильнее ИМХО делать так: давать каждому клиенту двуххостовую подсеть от роутера... типа 10.0.1.0/30, 10.0.1.4/30 и т.д.

контроль по этим подсетям будет сделать легче и контроллировать трафик между клиентами тоже... а вообще столько клиентов в одном сегменте - не очень хорошо.... сеть надо сегментировать... и лучше роутерами... роутер на P1 32 метра памяти потянет достаточно много клиентов.... а если поставить потолще тачку/и то будет вообще всё кузяво :)

[Гость]

Не вижу проблем... Роутер в любом случае есть в сети, прописываете на его внутреннем интерфейсе алиасом сеть 10.0.2.0/24 и новым клиентам даёте адреса из этой сети...

А вообще, правильнее ИМХО делать так: давать каждому клиенту двуххостовую подсеть от роутера... типа 10.0.1.0/30, 10.0.1.4/30 и т.д.

контроль по этим подсетям будет сделать легче и контроллировать трафик между клиентами тоже... а вообще столько клиентов в одном сегменте - не очень хорошо.... сеть надо сегментировать... и лучше роутерами... роутер на P1 32 метра памяти потянет достаточно много клиентов.... а если поставить потолще тачку/и то будет вообще всё кузяво :)

 

гы, с тем же успехом можно поднять pppoe, и сделать аутентификацию с привязкой по ip, и получится что:

a) трафик между клиентами будет ходить через маршрутизатор, тоесть будет контролироватся

б) не будут плодится ip адреса на интерфесе

 

вот тока такая схема врятли будет работать если у тебяч между клиентами гигабитные линки, а точнее будет, но минимум что тебе нужно это cisco 72xx ибо всему остальному просто башру снесёт :)

[Ali-ajar]

Проще прописать алиасы ... у меня так сделанно в одном сегменте ..

А вообще если сетка большая однозначно нужно сегментировать простейшими рутерами, мы применяем бездисковые рутеры, ОС лежит во флэше, например Микротик.

 

Если уж очень захочется поменять пользователям ip то можно использовать вариант с DHCP , пользователю в настройках нужно будет просто нажать две галочки ... но это возможно если у вас идет жесткая привязка мак-порт.

[Гость]

Ali-ajar,

проще не всегда есть лучше, хотя действительно, кому как удобнее

[Yuz]

IMHO... VLAN и управляемый свитч и всего делов...

[Гость]

IMHO... VLAN  и управляемый свитч и всего делов...

ну тогда ещё в пару к нему и маршрутизатор хороший, чтонить типа сшысщ 7206, ну а свич catalyst 2950T (для начала :))

[Yuz]

IMHO... VLAN  и управляемый свитч и всего делов...

ну тогда ещё в пару к нему и маршрутизатор хороший, чтонить типа сшысщ 7206, ну а свич catalyst 2950T (для начала :))

 

Ну для начала можно обойтись 3Сom 3300.. или Nortel Bay Networks Baystack 350-24T

[Гость]

Yuz,

конечно, но это так не звучит )

[dj_7up]

У меня сделано так:

в лифтовой на крыше стоит роутер в нем 5 интерфейсов:

192.168.7.1

192.168.8.1

192.168.9.1

и допустим:

10.1.1.1

10.2.2.2

 

Поясняю:

от 192.168.7.1 идет сегмен в р-он города где подключаю юзеров 192.168.7.х с шлюзом 192.168.7.1

от 192.168.8.1 идет сегмент в р-он где подключаю юзеров 192.168.8.х с шлюзом 192.168.8.1

и сооьтветсвенно так же с 192.168.9.х

 

с 10.1.1.1 спускатс шнурочек в 10.1.1.2 что является биллингом и шлюзом в инет через НАТ.

с 10.2.2.2 спускается в 10.2.2.3 что является файловым сервером, чат, ВВВ, радио и т.д.

 

шлюз на этом роутере стоит 10.1.1.2 т.е. биллинг.

 

в итоге я имею три сети с юзерами которые видят друг друга через роутер и видят остальные сервера в том числе шлюз в инет.

 

вроде попытался объяснить все просто :)

[jekahawk]

Огромное спасибо за ответы!

Я поясню свой вариант.

В качестве роутера - сервер с двумя интерфейсами. Один в инте, другой в локалку. Тот, котороый в локалку, включен в свитч HP 2524. В этот же свитч включены ВСЕ магистрали, их пять.

Как я понял из ответов, вариантов, в общем-то всего три.

 

Первый - отказаться от свитча и добавить в роутер еще 4 интерфейса.

Второй - не добавлять ничего, просто прописать алиасами другие подсети.

Третий - разрулить всё коммутатором а-ля layer3

 

Биллинг (UTM4), кстати, живет на этом же роутере (через SQUID и NAT).

Роутер - DUAL INTEL XEON 2.4Gh 1GbRAM.

 

Есть привязка IP/MAC через ARP на роутере (в связке с биллингом)

 

В любом случае перевожу всё на DHCP.

 

Т.е. :

 

- нужно сохранить привязку IP/MAC;

- IP будет раздаваться DHCP;

- доступ в инет - через VPN;

- пять магистралей разделить на пять адресных сегментов.

 

МОЖНО ЛИ, КАК ПЕРВОНАЧАЛЬНЫЙ ЭТАП, ПРОСТО ОБОЙТИСЬ ПРОПИСЫВАНИЕМ АЛИАСОВ?

Просто мне не понятно, как поведет себя UTM4, если для каждой магистрали будет указан свой шлюз??? Его коллектор будет считать с ФИЗИЧЕСКОГО интерфейса или с какого-нибудь конкретного виртуального, например 10.0.1.1 или 10.0.2.1 и т.п.??? Кто сталкивался с подобным, поделитесь, пожалуйста, опытом!!!

 

Заранее благодарен за помощь!!!

[xenomorph]

Его коллектор будет считать с ФИЗИЧЕСКОГО интерфейса или с какого-нибудь конкретного виртуального, например 10.0.1.1 или 10.0.2.1 и т.п.???

 

Это решается достаточно просто:

Если мне не изменяет память то UTM как коллектор использует netflow(могу ошибатся ибо читал мануал по 3 версии и то поверхностно), а netflow может отдавать ipcad. А она может работать как со статисческим интерфейсом так и с динамическим, то есть можно собирать статистику с виртуального интерфейса (более точная технология настройки зависит от того что именно ты используешь для VPN).

 

МОЖНО ЛИ, КАК ПЕРВОНАЧАЛЬНЫЙ ЭТАП, ПРОСТО ОБОЙТИСЬ ПРОПИСЫВАНИЕМ АЛИАСОВ?

 

Eсли будешь использовать vpn то нельзя, потому что каждый из vpn видеть сервер vpn. Поэтому я бы посоветовал тебе использовать PPPOE, потому что при этом надо просто чтобы сервер и клиент находились на одном сегменте сети (PPPoE сервер точнее), и ip для установления соединения тут не нужно.

[AlexPan]

Что то про vpn тут напутано... PPTP может быть прибинден на все интерфейсы и народ может обращаться к разным адресам или вообще на один, т.к. роутинг между интерфейсами тоже есть... Хотя я тоже считаю PPPoE более правильным!!! Только вот с подсчетом трафика загвоздка выходит. Конечно можно ipcad повесить на все tun, но тогда получается bpf копия на каждый tun. Очень не рационально. Тут надо ставить два компа друг за другом. На одном делать NAS (сервер доступа), а на другом NAT. Трафик считается на внешнем интерфейсе NAS, но еще до NAT.