[n00b4ik]

Есть две локальные сетки на предприятии, пока раздельные. Их надо хитро объединить и экранировать друг от друга.

Пусть сеть А будет общая для всего предприятия, а сеть Б принадлежит одному из отделений.

Надо клиентам из сети Б дать доступ к ЛДАП серверу и еще кое каким сервисам в общей сети.

А клиентам из сети А дать доступ к двум (!) вебсерверам из сети Б и еще нескольким там разным серверам.

Если бы не было условия "дать доступ к двум (!) вебсерверам на порту 80" любой рутер с НАТом и пробросом 80-го порта и прочих нужных портов решил бы эту задачу.

Но вот так хитро,что два вебсервера и оба на 80 порту. Сменить порт у одного из вебсерверов я не могу, завязано на клиентское приложение.

С обоих сторон витая пара 100/1000 мегабит. Нагрузка довольно тяжелая.

 

Посоветуйте пожалуйста железку для решения моей проблемы.

Изменено 6 февраля, 2008 пользователем n00b4ik

[Diesel]

Нагрузка довольно тяжелая.

Это сколько в мегабитах?

 

[MaksMMS]

поставьте PC с Mikrotik OS, думаю старенького компа типа п-3 хватит вполне

 

з.ы. у меня п-100 в одном месте работает как терминатор 55 вланов, роутер и фаервол :) Справляется вполне себе успешно :)

[n00b4ik]

Нагрузка довольно тяжелая.

Это сколько в мегабитах?

ну скажем больше 10 Мбит

 

поставьте PC с Mikrotik OS, думаю старенького компа типа п-3 хватит вполне

Не могу, клиент с претензиями, не поймет.

И я сомневаюсь в способности Микротика "дать доступ к двум (!) вебсерверам на порту 80"

По крайней мере года 4 назад мне не удалось решить похожую задачу с использованием линуксового роутера в силу тогдашних ограничений линукса.

 

 

О кстати можно немного переформулировать задачу, может станет понятнее.

Как/Каким рутером/файрволом выпустить в интернет два веб сервера на 80 порту? Плюс дать клиентам доступ в интренет через НАТ.

[_djbdb]

По крайней мере года 4 назад мне не удалось решить похожую задачу с использованием линуксового роутера в силу тогдашних ограничений линукса.

 

О кстати можно немного переформулировать задачу, может станет понятнее.

Как/Каким рутером/файрволом выпустить в интернет два веб сервера на 80 порту? Плюс дать клиентам доступ в интренет через НАТ.

а в чем проблема?.. yе помню точно, но если уж 4 года назад и не было iptables был ipchanes.. ipfw/fw.. вариаций много..

суть первого вопроса: пробросить с одного интерфейса+сорцовых ип на другой интерфейс+дест ип.. т.е. фактически любой фаервол под nix справится с данной задачей..

 

по второму вопросу - если ип внешний один - то врядли.. разве что load balancing хотите сделать..

[n00b4ik]

Проблема в том что нужна железка, а не компьютер, клиент с претензиями.

 

По первому вопросу проблемы, со вторым то как раз нет.

> если ип внешний один - то врядли

Ну вот года 4 назад я пробовал поднять алиас интерфейс (т.е. второй ип) и выяснилось что линукс не желает рутить с/на него, после чтения всяких конференций выяснилось, что да. все верно, не работает такая конструкция.

[ugluck]

если клиент с пальцами, то поставьте ему цыску. если с большими пальцами, то 72-ю :)

[SergeiK]

Реально тяжелая нагрузка - L3 свич с ACL - куда пускать, куда нет.

Если же это 10 мегабит - любая кошка справиться.

Например, 2811-SEC-K9 + L2 свич для увеличения числа портов - и StateFull Firewall.

Или жe ASA5500 - отличное решения для клиентов с претензиями.

Модель - от бюджета и скоростей.

Как вариант - 5510.

Изменено 7 февраля, 2008 пользователем SergeiK

[teodor]

Поставте два роутера с разными IP адресами и соответственно с каждого порт-маппинг на разные серваки и в ДНСе пропишите свои адреса и серваки.

[n00b4ik]

Поставте два роутера с разными IP адресами и соответственно с каждого порт-маппинг на разные серваки

Это было первое, что мне пришло в голову. Но решил поинтересоватьс у сообщества как обойтись одной железкой.

[n00b4ik]

Реально тяжелая нагрузка - L3 свич с ACL - куда пускать, куда нет.

Если же это 10 мегабит - любая кошка справиться.

Например, 2811-SEC-K9 + L2 свич для увеличения числа портов - и StateFull Firewall.

Или жe ASA5500 - отличное решения для клиентов с претензиями.

Модель - от бюджета и скоростей.

Как вариант - 5510.

Там ACL-ем особо резать нечего, не по делу ничего нет, интернета практически нет (только для избранных, через прокси).

Просто на одном из веб серверов тяжелый контент, картинки и серии картинок, по примерно 8-20 мегабайт.

Никакого контроля особого вобщем то не нужно, просто в целях безопасности разделить две сетки и дать доступ как я описывал, т.е. это базовый функционал рутера.

Т.е. Никаких особо навороченных рутеров не надо, надо дешевое решение имеющее только (или почти только) вышетребуемый функционал.

 

 

Т.е. если я правильно вас понял cisco моделей 2811-SEC-K9 5510 ASA5500 могут иметь по два внешних ip адреса и рутить так как мне надо?

А сколько они стоят примерно?

 

Изменено 7 февраля, 2008 пользователем n00b4ik

[ugluck]

поднять 2 айпишника на одном роутере - не вопрос. особенно лупбеки. сетки А и Б маршрутизируемые или просто бродкаст домены? если просто бродкаст домены, то на интерфейсе придется прописать секондари айпишник из той же подсети, какие-то из софтов цыски позволяют это сделать. или не морочицца и сделать этот роутер дефолт гейтвеем для компов из обоих сеток, тогда с лупбеками все проканает

Изменено 7 февраля, 2008 пользователем ugluck

[n00b4ik]

Сети практически статические, часть IP адресов статические, часть DHCP.

[SergeiK]

Адресов на Сisco может быть сколько угодно, (в разумных пределах, зависящих от шасси, но сотни).

Есть понятие такое, не только в cisco, кстати, loopback. Их может быть несколько. Есть еще pool-ы для NAT-а и много чего еще.

Но, вопрос - зачем?

 

"Надо клиентам из сети Б дать доступ к ЛДАП серверу и еще кое каким сервисам в общей сети.

А клиентам из сети А дать доступ к двум (!) вебсерверам из сети Б и еще нескольким там разным серверам."

 

Почему бы это не сделать ACL? То есть запретить весь обмен между сетями, но разрешить доступ к тем или иным адресам по тем или иным портам. И обратные tcp established.

 

NAT в этом случае нужен, если у А и Б пересекаются адресные пространства.

Если они разные - зачем НАТ? Или я что-то не понимаю в задаче.

[n00b4ik]

Я не контролирую сервисы и рутер (выходящий в мир) сетки А, соответствено не могу там прописать статический рутинг на сетку Б.

Т.е. я практически ничего не могу менять в сети А. Так что хотелось бы отделаться малой кровью.

Предприятие большое и разные части находятся под контролем разных людей.