Terol Posted July 17, 2006 Posted July 17, 2006 (edited) Всем привет! В городе предоставляют услуги 3 сети. Каждая сеть со своей адресацией (IP) и структурой. Мы предоставляем контент услуги в каждой из этих сетей. и имеем подключение к каждой сети. Сейчас это подключение реализовано в виде PC маршрутизатора с 4мя сетевыми картами. Но грядет еще одно подключение, а свободных слотов в машине уже нет. Существует ли подходящее оборудование (или может быть более гибкое решение не ограниченное кол-вом слотов в машине) которое может заменить этот PC-Роутер? Линки со стороны сетей - Ethernet, не тагированые. смотрел вот в эту сторону http://www.dlink.ru/products/prodview.php?type=15&id=551. Но чувствую - это не то. Подскажите решение, плз. Edited July 17, 2006 by Terol Вставить ник Quote
txalex Posted July 17, 2006 Posted July 17, 2006 Если по простому, то есть сетёвки с несколькими интерфейсами или можно взять USB сетевые карты. Вставить ник Quote
Terol Posted July 17, 2006 Author Posted July 17, 2006 Если по простому, то есть сетёвки с несколькими интерфейсамиТолько заведутся ли они под FreeBSD?или можно взять USB сетевые карты.Та же проблема - заведутся ли они под FreeBSD? И что при этом насчет производительности? Меня гложут сомнения. Вставить ник Quote
builder Posted July 17, 2006 Posted July 17, 2006 Поставте перед маршрутизатором какой-нить 8-ми портовый свич и повесте аллиасы на уже существующие сетевые карты. Вставить ник Quote
Terol Posted July 17, 2006 Author Posted July 17, 2006 Поставте перед маршрутизатором какой-нить 8-ми портовый свич и повесте аллиасы на уже существующие сетевые карты. там IP адреса могут пересекаться или возможен проброс пакета из одной сети в другую .а мы должны гарантировано исключить. Вставить ник Quote
builder Posted July 17, 2006 Posted July 17, 2006 Вы же написали: Каждая сеть со своей адресацией (IP) Но в любом случае, наверно, поставив что-нить на 16 портов с port-based виланами, на картах уже фильтрами исключить взаимное влияние. Кривовато, но не дорого. Или L3 и выкинуть нафиг Фрю :) Вставить ник Quote
Terol Posted July 17, 2006 Author Posted July 17, 2006 Вы же написали: Каждая сеть со своей адресацией (IP)Но в любом случае, наверно, поставив что-нить на 16 портов с port-based виланами, на картах уже фильтрами исключить взаимное влияние. Кривовато, но не дорого. Или L3 и выкинуть нафиг Фрю :) Большое спасибо, правильно ли я понял - картина такая:свич (L3 или port based vlan) в нем с одной стороны 4 линка из сетей, и один линк в комп (firewall). На нем поднять алиасы для каждой сети на сетевухе и правилами исключить взаимный обмен? И если не сложно, подскажите в таком случае подходящий для этого свич (8-16 портов). Вставить ник Quote
vIv Posted July 17, 2006 Posted July 17, 2006 нет, неправильно :-) 1) http://www.alliedtelesyn.ru/ru-ru/products...oduct.asp?pid=5 На нём завести 11 портов в 11 VLAN как untagged, 12й порт - во все 11 VLANs как tagged 2) На сетевухе своей поднять 11 tagged-alias-ов на сетевухе Вставить ник Quote
builder Posted July 17, 2006 Posted July 17, 2006 Я имел ввиду несколько другое (не хочу привязываться к вендорам). Вариант с port-based vlan's и L3 совершенно разные вещи. Первый как наиболее бюджетный на port-based vlan's, второй на 802.11q (тегированные виланы) как предложил товарищ vIv. Если же деньги есть, то красивей и.. правильней будет коммутатор L3, вы на порты его уже повесите IP разных сетей, в нём же можно реализовать и файервол на базе ACL, и вообще в нём много чего есть, что может понадобиться. Вставить ник Quote
Terol Posted July 17, 2006 Author Posted July 17, 2006 спасибо, будем ориентироваться на решение с L3. Вставить ник Quote
vIv Posted July 17, 2006 Posted July 17, 2006 (edited) Я имел ввиду несколько другое (не хочу привязываться к вендорам). Вариант с port-based vlan's и L3 совершенно разные вещи. Первый как наиболее бюджетный на port-based vlan's, второй на 802.11q (тегированные виланы) как предложил товарищ vIv. Если же деньги есть, то красивей и.. правильней будет коммутатор L3, вы на порты его уже повесите IP разных сетей, в нём же можно реализовать и файервол на базе ACL, и вообще в нём много чего есть, что может понадобиться.ACL есть не всегда. L3 routing и L2-L4 - параллельные вещи. Быть вместе не обязаны. А вот искать роутящий свитч на 5 соточных портов я бы не стал... шансов найти новые такие очень мылы Разве-что взять что-то модульное и сунуть туда минимальный модуль на сотку.... Edited July 17, 2006 by vIv Вставить ник Quote
puh Posted July 17, 2006 Posted July 17, 2006 L3 свич не спасёт при пересекающихся адресных пространствах сетей. Не распишешь маршруты, что куда маршрутизировать. если сети не пересекаются, сгодится любой свич с 802.1q. На сервере с фрёй тоже настраиваем 802.1q от пересекающейся маршрутизации нужно открещиваться как можно дольше, иначе решение сильно усложнится и удорожает. Вставить ник Quote
builder Posted July 17, 2006 Posted July 17, 2006 Не распишешь маршруты, что куда маршрутизироватьМежду сетями, как я понял ничего не надо маршрутизировать, их же в свою очередь на пару-тройку портов, к которым подключены ТМС.Немного не пойму, как же всё-таки разные сети пересекаются своими адресными пространствами, разжуйте... Вставить ник Quote
puh Posted July 17, 2006 Posted July 17, 2006 то есть может быть такая ситуация: сеть провайдера А: 192.168.0.0/23, провайдера Б: 10.0.12.0/22, провайдера В: 192.168.1.0/24 у провайдеров А и В сети пересекаются. Как написать маршруты на L3 свиче в таком случае? в какой порт тот пошёт пакетик с destination 192.168.1.10 ? Вставить ник Quote
builder Posted July 17, 2006 Posted July 17, 2006 а на L3 нельзя разрулить маршруты по интерфейсам (портам), да и маска не рулит? Спрашиваю, потому что только собираемся заказывать L3, почти для аналогичных целей. Вставить ник Quote
mr.Scamp Posted July 17, 2006 Posted July 17, 2006 Не распишешь маршруты, что куда маршрутизироватьМежду сетями, как я понял ничего не надо маршрутизировать, их же в свою очередь на пару-тройку портов, к которым подключены ТМС.Немного не пойму, как же всё-таки разные сети пересекаются своими адресными пространствами, разжуйте... а как это может работать? как минимум одна подсеть по /24 не будет иметь доступа, разве что для третьей сети можно придумать NAT... Вставить ник Quote
builder Posted July 17, 2006 Posted July 17, 2006 А в вилане (802.1q), терминированном на маршрутизаторе можно изолировать клиентов друг от друга в одной сети? Вставить ник Quote
Илья Овчинников Posted July 17, 2006 Posted July 17, 2006 L3-коммутатор, скорее всего, окажется недостаточно гибким для такой задачи. Я бы поставил L2-коммутатор с 802.1q, соединил бы его с сервером гигабитным линком и уже на сервере настраивал бы все правила nat и т.д. (с учетом IP и интерфейса -- можно будет решить проблему, что каждая сеть использует 10.x.x.x не согласовывая с другими) Port-based не решит проблему, поскольку потеряется информация из какой сети пришел пакет. С точки зрения софта в случае Linux решение с 802.1q будет эквивалентно установке N сетевых карточек. Думаю, во FreeBSD аналогично. Вставить ник Quote
Barsick Posted July 17, 2006 Posted July 17, 2006 Ну или многопортовая сетевуха. Подозреваю что это тоже L2 свич с dotQ, только внутренний... Вставить ник Quote
telefan Posted July 17, 2006 Posted July 17, 2006 у меня сейчас реализовано подобное решение: свитч с виланами 802.1q на гиговый аплинк в гиговый порт подключена гиговая сетевуха INTEL PRO/1000 которая во фряке em (последняя порадовала кстати: без включения полинга загрузка процессора по прерываниям не превышает 25% с четырмя виланами по 100 мбит) на сетевой подняты 4 вилана тегированных с разными адресами, рутер фильтрует весь трафик между подсетями - довольно гибкое и бюджетное решение получилось. Вставить ник Quote
vIv Posted July 18, 2006 Posted July 18, 2006 куда делась кнопка "СЛЕДИТЬ ЗА ОТВЕТАМИ В ТЕМЕ"?!?! Вставить ник Quote
GluckMaker Posted July 18, 2006 Posted July 18, 2006 Если по простому, то есть сетёвки с несколькими интерфейсамиТолько заведутся ли они под FreeBSD? Обычно такая сетёвка - это PCI-PCI мост, на котором сидят 4 стандартных чипа навроде intel 8255x. Соответственно, если эти чипы в одиночном исполнении ядро умеет, оно и 4 на одной плате умеет. или можно взять USB сетевые карты.Та же проблема - заведутся ли они под FreeBSD? И что при этом насчет производительности? Меня гложут сомнения. Думаю, проблем с производительностью не возникнет. Ибо не заведутся =) Вставить ник Quote
Terol Posted July 18, 2006 Author Posted July 18, 2006 Обычно такая сетёвка - это PCI-PCI мост, на котором сидят 4 стандартных чипа навроде intel 8255x. Соответственно, если эти чипы в одиночном исполнении ядро умеет, оно и 4 на одной плате умеет. А можно более точно конкретную модель? и порядок цен? И еще чем это решение отличается от решения со свичем L2 в плане гибкости и производительности? Вставить ник Quote
puh Posted July 18, 2006 Posted July 18, 2006 в плане производительности многоголовые сетевушки лучше - процессор не будет загружаться обработкой dot1q тегов. Хотя если трафик не измеряется сотнями мегабит, то это не критично. в плане масштабируемости лучше свич. Да и эстетичности конструкции тоже. p.s. но всё это, поять же, в случае непересечения адресных пространств сетей. Я, если честно, не уверен, что в freebsd можно сделать вирутуальные таблицы маршрутизации. но может и можно. в таких детелях с фрей не сталкивался. Вставить ник Quote
Илья Овчинников Posted July 18, 2006 Posted July 18, 2006 p.s. но всё это, поять же, в случае непересечения адресных пространств сетей. Я, если честно, не уверен, что в freebsd можно сделать вирутуальные таблицы маршрутизации. но может и можно. в таких детелях с фрей не сталкивался. В linux точно можно -- копать в сторону netfilter и policy routing. Насчет freebsd не знаю. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.