Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 19:08



Ответить на тему  [ Сообщений: 8 ] 
Реорганизация сети 
Автор Сообщение

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 155
Доброго дня.
Есть сеть с четырьмя роутерами и таким же количеством серверов. Провайдер выдает 4 белых ip медью, которые благополучно приходят каждый в свой роутер. Хочу упорядочить эту аццкую конструкцию с помощью одного роутера и виланов, при этом нужно, например, чтобы с сервера А запросы уходили только через "свой" адрес. Собрал в симуляторе схемку, пингует наружу только с помощью маршрута по умолчанию (ip route 0.0.0.0 0.0.0.0), что противоречит условию. Прошу подсказать, где я туплю, и вообще, имеет ли такая схема право на жизнь.
Конфиг, там два вилана.
interface Ethernet0/0
no ip address
!
interface Ethernet0/0.2
encapsulation dot1Q 2
ip address 192.168.2.2 255.255.255.0
ip nat outside
ip virtual-reassembly in
!
interface Ethernet0/0.3
encapsulation dot1Q 3
ip address 192.168.3.2 255.255.255.0
ip nat outside
ip virtual-reassembly in
!
interface Ethernet0/1
no ip address
!
interface Ethernet0/1.4
encapsulation dot1Q 4
ip address 192.168.30.1 255.255.255.240
ip nat inside
ip virtual-reassembly in
!
interface Ethernet0/1.5
encapsulation dot1Q 5
ip address 192.168.30.25 255.255.255.248
ip nat inside
ip virtual-reassembly in


23 апр 2022, 22:44
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
Maxische писал(а):
Прошу подсказать, где я туплю, и вообще, имеет ли такая схема право на жизнь.

1. Любая схема имеет право на жизнь при необходимости.

2. Что в вашем понимании "роутер"? Cat 6500 и китайская мыльница (или Linksys) тоже как бы все роутеры.
Но ответ будет сильно разным в зависимости от.
Дальнейшее исходит из предположения об обычном ISR, ISR G2, ISR 4k, ISR 1k etc.

3.
Maxische писал(а):
Провайдер выдает 4 белых ip медью, которые благополучно приходят каждый в свой роутер.

Приходит лошадь на водопой.

Если эти провайдерские IP-шники в одном сегменте (подсети), то это легко решается через обычный static NAT.
Если это 4 разных подсети, то можно изгаляться с помощью PBR и Policy NAT.
Но правильнее это сделать через VRF-Lite. Точнее EVN, или EVN+RR при необходимости.

viewtopic.php?f=2&t=11202

4.
Maxische писал(а):
Хочу упорядочить эту конструкцию с помощью одного роутера и виланов

В роутере нет никаких VLAN-ов в общем виде. Для этого еще нужен управляемый свитч.

_________________
Knowledge is Power


24 апр 2022, 01:20
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
А мне схему хочется, а то из словестного описания что-то мало понятно.


24 апр 2022, 03:32
Профиль WWW

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 155
Роутеры 2921, адреса провайдера в одной подсети. Свитч (2960), конечно, также будет в предполагаемой схеме между роутером и сервером, не стал его упоминать и конфиги приводить, проблема не с ним, похоже.
Схема на данный момент такая - 4шт. 2921, wan в железку прова, lan к серверу. Есть неуправляемый свитч, используется для ipmi. Топорно, но работает, всегда есть куда стремиться )


24 апр 2022, 08:30
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
Maxische писал(а):
Роутеры 2921, адреса провайдера в одной подсети.
Схема на данный момент такая - 4шт. 2921, wan в железку прова, lan к серверу.

Мда, месье знает толк в ... И не испытывает стеснения в средствах.
VLAN на каждый сервер тут скорее всего тоже лишнее, если нет таких уж прям параноидальных требований по безопасности.
Вот вынести их все в отдельный VLAN от юзеров, это да, имеет смысл.
Да и четыре сервера, подозреваю, тут лишние.
Что на них, web? Четыре сайта вполне себе живут на одном сервере (да хоть 400).
И даже на одном IP-шнике. Технология уже давно позволяет. Вопрос только в нагрузке.

_________________
Knowledge is Power


24 апр 2022, 15:00
Профиль

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 155
Silent_D писал(а):
Мда, месье знает толк в ... И не испытывает стеснения в средствах.
VLAN на каждый сервер тут скорее всего тоже лишнее, если нет таких уж прям параноидальных требований по безопасности.
Вот вынести их все в отдельный VLAN от юзеров, это да, имеет смысл.
Да и четыре сервера, подозреваю, тут лишние.
Что на них, web? Четыре сайта вполне себе живут на одном сервере (да хоть 400).
И даже на одном IP-шнике. Технология уже давно позволяет. Вопрос только в нагрузке.

Мсье, который в этом понимал, уже не работает в филиале, а дело его живет. Собственно, поэтому и хочу исправить по-человечьи.
Сервера в таком количестве вряд ли лишние, там терминальщики работают.
Благодарю за ответы, буду перестраивать.


24 апр 2022, 17:05
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
Maxische писал(а):
Благодарю за ответы, буду перестраивать.

Только не нужно городить дополнительные IP-адреса (для серверов) на внешний интерфейс роутера, как secondary.
Достаточно static NAT, IP-to-IP.

ip nat inside source static <local-IP> <global-IP>

Proxy ARP только не отключайте на внешнем интерфейсе.
Ну и про безопасность не забудьте. ACL, FW и т.п.

_________________
Knowledge is Power


24 апр 2022, 17:40
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 191
Какой канал от провайдера?
А то может приляжет одна 2921 натить.


25 апр 2022, 10:12
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 8 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 46


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB