playnet Posted April 4, 2012 Posted April 4, 2012 (edited) Есть циска, за которой локалка, которой хотим заменить 2003 сервер с керио. Что есть: домен вида local.site.ru, который работает как из мира, так и локалки и ведёт внутрь нашей сети. Пробросы большого количества портов внутрь на разные айпи. Также есть куча доменов, ведущих на наш айпи, в том числе вообще никак нам не подконтрольных. Поэтому что требуется: такая же работа но на циске. Работа из офиса через эту циску есть, доступ из мира в локалку есть. НО - нет доступа из локалки в локалку же. Поскольку доменов ссылается достаточно много, вариант решения через view для локалки не вариант вообще, плюс иногда на внешних доменах сами владельцы меняют записи, когда например что-то из тестового режима переводится в рабочий и выставляется на нормальных серверах. И получается, что в такой схеме из офиса будет видна старая версия, а всем в инете - новая. Или надо пилить костыли, которые будут проверять, ссылается ли сейчас этот домен на нас, и если да - делать подмену ответа на локальную версию, если же нет - отдавать нормальный ответ. Плюс - гит и свн у нас висят на нестандартных портах в инет и на стандартных в локалке, вдобавок разные порты - разные сервера. Так что нужен маппинг портов. Получается, для локалки у нас будет двойной нат - сначала с локалки "в мир", потом второй нат с маппингом в локалку. Вопрос - как это сделать. И можно ли обойтись без vrf, которого вроде как в нашей циске нет. Edited April 4, 2012 by playnet Вставить ник Quote
playnet Posted April 4, 2012 Author Posted April 4, 2012 И вдогонку: есть ли в циске аналоги snat и dnat? Можно было бы на них тогда сварганить. И ещё: если нет vrf, может как-то через loopback попробовать? Вставить ник Quote
rover-lt Posted April 4, 2012 Posted April 4, 2012 (edited) Кратко: почти ничего нельзя. SNAT и DNAT есть, но ограниченные по сравнению с софтовыми решениями типа iptables. Это - маршрутизатор, а не сервер-все-в-одном. Edited April 4, 2012 by rover-lt Вставить ник Quote
playnet Posted April 4, 2012 Author Posted April 4, 2012 Это - маршрутизатор, а не сервер-все-в-одном. А это и есть базовые задачи для маршрутизации. Я ж не прошу поднимать на циске днс, да ещё с описанными выше костылями. Или получается, что простой нат оно умеет, а двойной - только в железках за много-много килобаксов? Да, циска 851. Вставить ник Quote
playnet Posted April 5, 2012 Author Posted April 5, 2012 Так чего получается, вариантов нет вообще? Вставить ник Quote
bokl Posted April 9, 2012 Posted April 9, 2012 на cisco.com была статья о том как решать твою задачу. поищи. делается через лупбэки. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.