n00b4ik Опубликовано 6 февраля, 2008 (изменено) · Жалоба Есть две локальные сетки на предприятии, пока раздельные. Их надо хитро объединить и экранировать друг от друга. Пусть сеть А будет общая для всего предприятия, а сеть Б принадлежит одному из отделений. Надо клиентам из сети Б дать доступ к ЛДАП серверу и еще кое каким сервисам в общей сети. А клиентам из сети А дать доступ к двум (!) вебсерверам из сети Б и еще нескольким там разным серверам. Если бы не было условия "дать доступ к двум (!) вебсерверам на порту 80" любой рутер с НАТом и пробросом 80-го порта и прочих нужных портов решил бы эту задачу. Но вот так хитро,что два вебсервера и оба на 80 порту. Сменить порт у одного из вебсерверов я не могу, завязано на клиентское приложение. С обоих сторон витая пара 100/1000 мегабит. Нагрузка довольно тяжелая. Посоветуйте пожалуйста железку для решения моей проблемы. Изменено 6 февраля, 2008 пользователем n00b4ik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diesel Опубликовано 7 февраля, 2008 · Жалоба Нагрузка довольно тяжелая.Это сколько в мегабитах? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MaksMMS Опубликовано 7 февраля, 2008 · Жалоба поставьте PC с Mikrotik OS, думаю старенького компа типа п-3 хватит вполне з.ы. у меня п-100 в одном месте работает как терминатор 55 вланов, роутер и фаервол :) Справляется вполне себе успешно :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
n00b4ik Опубликовано 7 февраля, 2008 · Жалоба Нагрузка довольно тяжелая.Это сколько в мегабитах? ну скажем больше 10 Мбит поставьте PC с Mikrotik OS, думаю старенького компа типа п-3 хватит вполне Не могу, клиент с претензиями, не поймет. И я сомневаюсь в способности Микротика "дать доступ к двум (!) вебсерверам на порту 80" По крайней мере года 4 назад мне не удалось решить похожую задачу с использованием линуксового роутера в силу тогдашних ограничений линукса. О кстати можно немного переформулировать задачу, может станет понятнее. Как/Каким рутером/файрволом выпустить в интернет два веб сервера на 80 порту? Плюс дать клиентам доступ в интренет через НАТ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_djbdb Опубликовано 7 февраля, 2008 · Жалоба По крайней мере года 4 назад мне не удалось решить похожую задачу с использованием линуксового роутера в силу тогдашних ограничений линукса. О кстати можно немного переформулировать задачу, может станет понятнее. Как/Каким рутером/файрволом выпустить в интернет два веб сервера на 80 порту? Плюс дать клиентам доступ в интренет через НАТ. а в чем проблема?.. yе помню точно, но если уж 4 года назад и не было iptables был ipchanes.. ipfw/fw.. вариаций много..суть первого вопроса: пробросить с одного интерфейса+сорцовых ип на другой интерфейс+дест ип.. т.е. фактически любой фаервол под nix справится с данной задачей.. по второму вопросу - если ип внешний один - то врядли.. разве что load balancing хотите сделать.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
n00b4ik Опубликовано 7 февраля, 2008 · Жалоба Проблема в том что нужна железка, а не компьютер, клиент с претензиями. По первому вопросу проблемы, со вторым то как раз нет. > если ип внешний один - то врядли Ну вот года 4 назад я пробовал поднять алиас интерфейс (т.е. второй ип) и выяснилось что линукс не желает рутить с/на него, после чтения всяких конференций выяснилось, что да. все верно, не работает такая конструкция. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ugluck Опубликовано 7 февраля, 2008 · Жалоба если клиент с пальцами, то поставьте ему цыску. если с большими пальцами, то 72-ю :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 7 февраля, 2008 (изменено) · Жалоба Реально тяжелая нагрузка - L3 свич с ACL - куда пускать, куда нет. Если же это 10 мегабит - любая кошка справиться. Например, 2811-SEC-K9 + L2 свич для увеличения числа портов - и StateFull Firewall. Или жe ASA5500 - отличное решения для клиентов с претензиями. Модель - от бюджета и скоростей. Как вариант - 5510. Изменено 7 февраля, 2008 пользователем SergeiK Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
teodor Опубликовано 7 февраля, 2008 · Жалоба Поставте два роутера с разными IP адресами и соответственно с каждого порт-маппинг на разные серваки и в ДНСе пропишите свои адреса и серваки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
n00b4ik Опубликовано 7 февраля, 2008 · Жалоба Поставте два роутера с разными IP адресами и соответственно с каждого порт-маппинг на разные серваки Это было первое, что мне пришло в голову. Но решил поинтересоватьс у сообщества как обойтись одной железкой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
n00b4ik Опубликовано 7 февраля, 2008 (изменено) · Жалоба Реально тяжелая нагрузка - L3 свич с ACL - куда пускать, куда нет. Если же это 10 мегабит - любая кошка справиться. Например, 2811-SEC-K9 + L2 свич для увеличения числа портов - и StateFull Firewall. Или жe ASA5500 - отличное решения для клиентов с претензиями. Модель - от бюджета и скоростей. Как вариант - 5510. Там ACL-ем особо резать нечего, не по делу ничего нет, интернета практически нет (только для избранных, через прокси). Просто на одном из веб серверов тяжелый контент, картинки и серии картинок, по примерно 8-20 мегабайт. Никакого контроля особого вобщем то не нужно, просто в целях безопасности разделить две сетки и дать доступ как я описывал, т.е. это базовый функционал рутера. Т.е. Никаких особо навороченных рутеров не надо, надо дешевое решение имеющее только (или почти только) вышетребуемый функционал. Т.е. если я правильно вас понял cisco моделей 2811-SEC-K9 5510 ASA5500 могут иметь по два внешних ip адреса и рутить так как мне надо? А сколько они стоят примерно? Изменено 7 февраля, 2008 пользователем n00b4ik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ugluck Опубликовано 7 февраля, 2008 (изменено) · Жалоба поднять 2 айпишника на одном роутере - не вопрос. особенно лупбеки. сетки А и Б маршрутизируемые или просто бродкаст домены? если просто бродкаст домены, то на интерфейсе придется прописать секондари айпишник из той же подсети, какие-то из софтов цыски позволяют это сделать. или не морочицца и сделать этот роутер дефолт гейтвеем для компов из обоих сеток, тогда с лупбеками все проканает Изменено 7 февраля, 2008 пользователем ugluck Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
n00b4ik Опубликовано 7 февраля, 2008 · Жалоба Сети практически статические, часть IP адресов статические, часть DHCP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 7 февраля, 2008 · Жалоба Адресов на Сisco может быть сколько угодно, (в разумных пределах, зависящих от шасси, но сотни). Есть понятие такое, не только в cisco, кстати, loopback. Их может быть несколько. Есть еще pool-ы для NAT-а и много чего еще. Но, вопрос - зачем? "Надо клиентам из сети Б дать доступ к ЛДАП серверу и еще кое каким сервисам в общей сети. А клиентам из сети А дать доступ к двум (!) вебсерверам из сети Б и еще нескольким там разным серверам." Почему бы это не сделать ACL? То есть запретить весь обмен между сетями, но разрешить доступ к тем или иным адресам по тем или иным портам. И обратные tcp established. NAT в этом случае нужен, если у А и Б пересекаются адресные пространства. Если они разные - зачем НАТ? Или я что-то не понимаю в задаче. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
n00b4ik Опубликовано 7 февраля, 2008 · Жалоба Я не контролирую сервисы и рутер (выходящий в мир) сетки А, соответствено не могу там прописать статический рутинг на сетку Б. Т.е. я практически ничего не могу менять в сети А. Так что хотелось бы отделаться малой кровью. Предприятие большое и разные части находятся под контролем разных людей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...