Jump to content

Как пустить локальынй трафик мимо Браса?

BudushiyISP
 Share

Recommended Posts

BudushiyISP

BudushiyISP

Posted
Posted

Короче, собрал тестовую схему коммутатор L3 H3C, к нему Д-линки 1228, и Сервер FreeBSD, подключенный к L3 коммутатору H3C. Задача пустить локальный трафик мимо Сервер, а Интернет через Сервер.

На Д-линках создал VLAN-ы и транком поднял их до L3 коммутатора, там стерменировал VLAN-ы и вроде бы всё ок, далее настроит сервер фряху и поднял там ПППоE, попытался установить соединение ничего в задницу не работает. Выяснил разные уровни OSI, PPPoE L2 и VLAN L3.

Потом поднял VPN и соединился по PPTP, и всё поехало локалка пошла только через Л3 коммутатор, а Интернет через фряху.

локальная сеть 10.0.0.0/255.255.0.0

По VPN получают адреса 10.128.0.0/255.255.0.0

 

Маршруты никакие на пользовательской стороне не прописывал, но всё работает. Можете мне объяснить как происходит это чудо и как сделать так, чтобы оно происходило и в тех случаях когда я буду давать реальные адресса, нужно как-то подготовиться ?

 

на пользовательской стороне ничего творить не хочу

BudushiyISP

BudushiyISP

Posted
  • Author
Posted
на пользовательской стороне ничего творить не хочу
А придётся...

Может функционал какой задействовать ? И почему сейчас работает, я же ничего не прописывал.

 

ugluck

ugluck

Posted
Posted

не обязательно что-то творить на пользовательской стороне. почему оно у вас так получилось - сложно сказать. а вообще можно по дхцп давать специальными опциями юзерам не только дефолт, а маршруты к локалке, а по пптп - дефолт и все получится как надо. а если без ппп вообще обходиться, то еще легче - ближайший к юзеру L3 сам все раскидает

BudushiyISP

BudushiyISP

Posted
  • Author
Posted
не обязательно что-то творить на пользовательской стороне. почему оно у вас так получилось - сложно сказать. а вообще можно по дхцп давать специальными опциями юзерам не только дефолт, а маршруты к локалке, а по пптп - дефолт и все получится как надо. а если без ппп вообще обходиться, то еще легче - ближайший к юзеру L3 сам все раскидает

Действительно, а нахрена мне он нужен ? можно ведь по DHCP выдать маршруты. Хотя вопрос после того как пользователи буду соединяться в Интернет через фряху по принципам обычной Айпи маршрутизации они друг друга видеть не будут на ней ? В смысле концепция VLAN на пользователя сохранится? и потом как я буду давать реальники без VPN ? вопросы пока есть.

 

ugluck

ugluck

Posted
Posted

они будут видеть друг друга через ближайший L3, а чтоб он не гонял их друг на друга через фряху - надо просто настроить правильно маршрутизацию между L3-железками. с реальниками просто в отдельный VLAN(ы)

sdy_moscow

sdy_moscow

Posted
Posted
.....

там стерменировал VLAN-ы и вроде бы всё ок....

 

Маршруты никакие на пользовательской стороне не прописывал, но всё работает. Можете мне объяснить как происходит это чудо и как сделать так, чтобы оно происходило и в тех случаях когда я буду давать реальные адресса, нужно как-то подготовиться ?

 

на пользовательской стороне ничего творить не хочу

сперва скажите что для вас значит "стерминировал"

и что за локальный трафик? на какие ип?

 

BudushiyISP

BudushiyISP

Posted
  • Author
Posted
.....

там стерменировал VLAN-ы и вроде бы всё ок....

 

Маршруты никакие на пользовательской стороне не прописывал, но всё работает. Можете мне объяснить как происходит это чудо и как сделать так, чтобы оно происходило и в тех случаях когда я буду давать реальные адресса, нужно как-то подготовиться ?

 

на пользовательской стороне ничего творить не хочу

сперва скажите что для вас значит "стерминировал"

и что за локальный трафик? на какие ип?

Там где они заканчиваются ив выше не поднимаются - это я стерминировал :)

IP пока серые. Я написал какие именно использовать. С реальниками и BGP ещё не сталкивался, поэтому спросил смогу выдавать реальные IP.

 

 

BudushiyISP

BudushiyISP

Posted
  • Author
Posted
они будут видеть друг друга через ближайший L3, а чтоб он не гонял их друг на друга через фряху - надо просто настроить правильно маршрутизацию между L3-железками. с реальниками просто в отдельный VLAN(ы)
Выдаются просто два маршрута и один из них имеет меньшую метрику, имею ввиду по DHCP. А каждый пользователь в своём VLAN-е и фактически если через фряху бегает внешний трафик, тот у баланс положительный ему ACL-ми на L3, разрешаю соединяться с фряхой, так что ли ?

 

dr Tr0jan

dr Tr0jan

Posted
Posted
не обязательно что-то творить на пользовательской стороне. почему оно у вас так получилось - сложно сказать. а вообще можно по дхцп давать специальными опциями юзерам не только дефолт, а маршруты к локалке
RFC 3442?

А вы сам это пробовали? И как оно у вас на операционках от MS (winxp, vista-non-sp, vista sp1) работало?

ugluck

ugluck

Posted
Posted (edited)
они будут видеть друг друга через ближайший L3, а чтоб он не гонял их друг на друга через фряху - надо просто настроить правильно маршрутизацию между L3-железками. с реальниками просто в отдельный VLAN(ы)
Выдаются просто два маршрута и один из них имеет меньшую метрику, имею ввиду по DHCP. А каждый пользователь в своём VLAN-е и фактически если через фряху бегает внешний трафик, тот у баланс положительный ему ACL-ми на L3, разрешаю соединяться с фряхой, так что ли ?

не так. никаких ппп нет, юзер просто хавает по дхцп айпишник, маску, днс и дефолтный шлюз. этот дефолтный шлюз - интерфейс L3-свича. L3-свич знает маршруты к юзерам, для которых он - дефолтный шлюз (эти маршруты для него - connected). он также знает маршруты к юзерам, для которых дефолтным шлюзом являются другие L3-свичи (он их знает статикой либо динамикой) через эти L3-свичи. он также знает маршрут к фряхе. и дефолт (и только дефолт) идет через фряху.

 

не обязательно что-то творить на пользовательской стороне. почему оно у вас так получилось - сложно сказать. а вообще можно по дхцп давать специальными опциями юзерам не только дефолт, а маршруты к локалке
RFC 3442?

А вы сам это пробовали? И как оно у вас на операционках от MS (winxp, vista-non-sp, vista sp1) работало?

сам не пробовал, админы наши юзают. на winxp срабатывает, насчет вислы - не в курсе. Edited by ugluck
zadrovets

zadrovets

Posted
Posted

ПС заработало все по одной причине - все в одном бродкас домене. т.е. никакой маршрутизации не было вот и работало.

А почему не заработало на пппое (и не заработает на впн при нескольких внутренних подсетях) топому как при включение соединения оно переписывает дефолт маршрут на шлюз, коим является кампутер.

Если юзать пппое/впн то только отдельно прописывать маршруты на локалку у пользователей

ghost

ghost

Posted
Posted
про них и разговор. Да, надо не забывать про маршрутизаторы домашние. Слишком мало дешевых моделей понимает это.
Можно "попинать" производителя, например у zyxel-а опция 121 даже в ADSL модемах (P660RT2) в экспериментальной прошивке поддерживается...

Хотя D-Link например ответил "купите минимум 4000 шт - реализуем" :) с тех пор на ADSL модемы от D-Link забили.

 

Можно сформировать список "рекомендованого оборудования", если у абонента железка не из списка - его проблемы.

mikevlz

mikevlz

Posted
Posted

Ну то, что D-Link реализовал DualAccess PPTP/PPPoE уже неплохо. Опции поддерживают(по словам на форуме) в DIR-400 и выше. Прям хоть бери длинк пару разных(проводной и с вафлями), ищи на них нормальный WRT/прочий линукс, перешивай и продавай...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.