Jump to content

Посоветуйте плиз рутер для предприятия

n00b4ik
 Share

Recommended Posts

n00b4ik

n00b4ik

Posted
Posted (edited)

Есть две локальные сетки на предприятии, пока раздельные. Их надо хитро объединить и экранировать друг от друга.

Пусть сеть А будет общая для всего предприятия, а сеть Б принадлежит одному из отделений.

Надо клиентам из сети Б дать доступ к ЛДАП серверу и еще кое каким сервисам в общей сети.

А клиентам из сети А дать доступ к двум (!) вебсерверам из сети Б и еще нескольким там разным серверам.

Если бы не было условия "дать доступ к двум (!) вебсерверам на порту 80" любой рутер с НАТом и пробросом 80-го порта и прочих нужных портов решил бы эту задачу.

Но вот так хитро,что два вебсервера и оба на 80 порту. Сменить порт у одного из вебсерверов я не могу, завязано на клиентское приложение.

С обоих сторон витая пара 100/1000 мегабит. Нагрузка довольно тяжелая.

 

Посоветуйте пожалуйста железку для решения моей проблемы.

Edited by n00b4ik
MaksMMS

MaksMMS

Posted
Posted

поставьте PC с Mikrotik OS, думаю старенького компа типа п-3 хватит вполне

 

з.ы. у меня п-100 в одном месте работает как терминатор 55 вланов, роутер и фаервол :) Справляется вполне себе успешно :)

n00b4ik

n00b4ik

Posted
  • Author
Posted
Нагрузка довольно тяжелая.
Это сколько в мегабитах?

ну скажем больше 10 Мбит

 

поставьте PC с Mikrotik OS, думаю старенького компа типа п-3 хватит вполне

Не могу, клиент с претензиями, не поймет.

И я сомневаюсь в способности Микротика "дать доступ к двум (!) вебсерверам на порту 80"

По крайней мере года 4 назад мне не удалось решить похожую задачу с использованием линуксового роутера в силу тогдашних ограничений линукса.

 

 

О кстати можно немного переформулировать задачу, может станет понятнее.

Как/Каким рутером/файрволом выпустить в интернет два веб сервера на 80 порту? Плюс дать клиентам доступ в интренет через НАТ.

_djbdb

_djbdb

Posted
Posted
По крайней мере года 4 назад мне не удалось решить похожую задачу с использованием линуксового роутера в силу тогдашних ограничений линукса.

 

О кстати можно немного переформулировать задачу, может станет понятнее.

Как/Каким рутером/файрволом выпустить в интернет два веб сервера на 80 порту? Плюс дать клиентам доступ в интренет через НАТ.

а в чем проблема?.. yе помню точно, но если уж 4 года назад и не было iptables был ipchanes.. ipfw/fw.. вариаций много..

суть первого вопроса: пробросить с одного интерфейса+сорцовых ип на другой интерфейс+дест ип.. т.е. фактически любой фаервол под nix справится с данной задачей..

 

по второму вопросу - если ип внешний один - то врядли.. разве что load balancing хотите сделать..

n00b4ik

n00b4ik

Posted
  • Author
Posted

Проблема в том что нужна железка, а не компьютер, клиент с претензиями.

 

По первому вопросу проблемы, со вторым то как раз нет.

> если ип внешний один - то врядли

Ну вот года 4 назад я пробовал поднять алиас интерфейс (т.е. второй ип) и выяснилось что линукс не желает рутить с/на него, после чтения всяких конференций выяснилось, что да. все верно, не работает такая конструкция.

SergeiK

SergeiK

Posted
Posted (edited)

Реально тяжелая нагрузка - L3 свич с ACL - куда пускать, куда нет.

Если же это 10 мегабит - любая кошка справиться.

Например, 2811-SEC-K9 + L2 свич для увеличения числа портов - и StateFull Firewall.

Или жe ASA5500 - отличное решения для клиентов с претензиями.

Модель - от бюджета и скоростей.

Как вариант - 5510.

Edited by SergeiK
teodor

teodor

Posted
Posted

Поставте два роутера с разными IP адресами и соответственно с каждого порт-маппинг на разные серваки и в ДНСе пропишите свои адреса и серваки.

n00b4ik

n00b4ik

Posted
  • Author
Posted
Поставте два роутера с разными IP адресами и соответственно с каждого порт-маппинг на разные серваки

Это было первое, что мне пришло в голову. Но решил поинтересоватьс у сообщества как обойтись одной железкой.

n00b4ik

n00b4ik

Posted
  • Author
Posted (edited)
Реально тяжелая нагрузка - L3 свич с ACL - куда пускать, куда нет.

Если же это 10 мегабит - любая кошка справиться.

Например, 2811-SEC-K9 + L2 свич для увеличения числа портов - и StateFull Firewall.

Или жe ASA5500 - отличное решения для клиентов с претензиями.

Модель - от бюджета и скоростей.

Как вариант - 5510.

Там ACL-ем особо резать нечего, не по делу ничего нет, интернета практически нет (только для избранных, через прокси).

Просто на одном из веб серверов тяжелый контент, картинки и серии картинок, по примерно 8-20 мегабайт.

Никакого контроля особого вобщем то не нужно, просто в целях безопасности разделить две сетки и дать доступ как я описывал, т.е. это базовый функционал рутера.

Т.е. Никаких особо навороченных рутеров не надо, надо дешевое решение имеющее только (или почти только) вышетребуемый функционал.

 

 

Т.е. если я правильно вас понял cisco моделей 2811-SEC-K9 5510 ASA5500 могут иметь по два внешних ip адреса и рутить так как мне надо?

А сколько они стоят примерно?

 

Edited by n00b4ik
ugluck

ugluck

Posted
Posted (edited)

поднять 2 айпишника на одном роутере - не вопрос. особенно лупбеки. сетки А и Б маршрутизируемые или просто бродкаст домены? если просто бродкаст домены, то на интерфейсе придется прописать секондари айпишник из той же подсети, какие-то из софтов цыски позволяют это сделать. или не морочицца и сделать этот роутер дефолт гейтвеем для компов из обоих сеток, тогда с лупбеками все проканает

Edited by ugluck
SergeiK

SergeiK

Posted
Posted

Адресов на Сisco может быть сколько угодно, (в разумных пределах, зависящих от шасси, но сотни).

Есть понятие такое, не только в cisco, кстати, loopback. Их может быть несколько. Есть еще pool-ы для NAT-а и много чего еще.

Но, вопрос - зачем?

 

"Надо клиентам из сети Б дать доступ к ЛДАП серверу и еще кое каким сервисам в общей сети.

А клиентам из сети А дать доступ к двум (!) вебсерверам из сети Б и еще нескольким там разным серверам."

 

Почему бы это не сделать ACL? То есть запретить весь обмен между сетями, но разрешить доступ к тем или иным адресам по тем или иным портам. И обратные tcp established.

 

NAT в этом случае нужен, если у А и Б пересекаются адресные пространства.

Если они разные - зачем НАТ? Или я что-то не понимаю в задаче.

n00b4ik

n00b4ik

Posted
  • Author
Posted

Я не контролирую сервисы и рутер (выходящий в мир) сетки А, соответствено не могу там прописать статический рутинг на сетку Б.

Т.е. я практически ничего не могу менять в сети А. Так что хотелось бы отделаться малой кровью.

Предприятие большое и разные части находятся под контролем разных людей.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.