LINUX.ORG.RU
ФорумAdmin

Помогите советом по маршрутизации.. Спасибо!


0

0

Здравствуйте уважаемые! Помогите решить задачку:

Есть диапазон реальных адресов, которые надо раздать фирмам, находящимся в одном здании.. Следовательно есть вариант обеспечения этого в виде:

Маршрутизатор (1) - через него идет весь трафик, который распределяется на соответствующие IP (то есть каждой фирме на свой IP). За этим маршрутизатором (1) стоят маршрутизаторы, которые выступают в роли mail/web-серверов (и имеют,как вы уже слышали, реальные ip) 4-х разных фирм.

Итак, как я понял: Маршрутизатор (1) имеет: eth0 - внешний IP - 212.43.160.34 (первая фирма) eth0:1 - внешний IP - 212.43.160.35 (вторая фирма) eth0:2 - внешний IP - 212.43.160.36 (третья фирма) eth0:3 - внешний IP - 212.43.160.37 (Третья фирма) eth1 - внутренний IP 10.150.1.1 сетки 10.150.1.0/24 eth2 - внутренний IP 10.150.2.1 сетки 10.150.2.0/24 eth3 - внутренний IP 10.150.3.1 сетки 10.150.3.0/24 eth4 - внутренний IP 10.150.4.1 сетки 10.150.4.0/24

Маршрутизатор первой фирмы (МF1) имеет: eth0 - 10.150.1.10 eth1 - 192.168.1.1 Маршрутизатор второй фирмы (МF2) имеет: eth0 - 10.150.2.10 eth1 - 192.168.2.1 Маршрутизатор третьей фирмы (МF3) имеет: eth0 - 10.150.3.10 eth1 - 192.168.3.1 Маршрутизатор четвертой фирмы (МF4) имеет: eth0 - 10.150.4.10 eth1 - 192.168.4.1

Как осуществить работу сети имея на руках подобную конфигурацию? Не прошу полного расклада, а прошу совета. Помогите кто сможет советом, а кто сможет и чем поболе.

Спасибо заранее большое!

anonymous

>Маршрутизатор (1) - через него идет весь трафик, который >распределяется на соответствующие IP (то есть каждой фирме на свой

Если ты хочешь чтобы _весь_ траффик шел через этот маршрутизатор -то тебе надо заморачиваться с маршрутизацией VLAN-ов -читай доки по цискам капитально ибо тема не простая

Если тебе надо лишь чтобы весь интернет-траффик шел через него -тогда RIP|OSPF маршрутизация (в зависимости от топологии) и прописанный default gatrway >IP). За этим маршрутизатором (1) стоят маршрутизаторы, которые >выступают в роли mail/web-серверов (и имеют,как вы уже слышали, >реальные ip) 4-х разных фирм.

Я так понял имеет место быть использование PC c юниксом в качестве "все-в-одном-и-ниибет" -тогда про про VLANы можешь забыть ,ну или покупай дорогие 3com сетевухи которые это умеют и поднимай на нем rip|ospf -роутер

anonymous
()
Ответ на: комментарий от anonymous

Спасибо Добрый человек! Насчет Cisco вряд ли получится.. конторы не те... а вот за совет о ospf спасибо!

anonymous
()
Ответ на: комментарий от anonymous

>а вот за совет о ospf спасибо!

вообще если это вся твоя топология и нет связей между маршрутизаторами фирм а только с центральным -то ospf тебе на..те совсем не нужен. Тебе будет нужен RIP с прописанным в окружении основным маршрутизатором -этим ты достигнешь максимальной производительности

anonymous
()
Ответ на: комментарий от anonymous

> Насчет Cisco вряд ли получится.. конторы не те
А Cisco здесь почти и не при чём. При чём их рекомендации построения сетей, в том числе VLAN-ы и динамических маршрутизаций, да и многого другого.

fisher74
()
Ответ на: комментарий от anonymous

Да! Именно это мне и нужно! Связей между собой маршрутизаторы фирм не имеют. Все 4 маршрутизатора подсоединены к одному маршрутизатору (1). Ок! Буду читать. Спасибо Большое!

anonymous
()

Может я чего путаю, но из описанной топологии следует, что все реальные ИП имеет центральный маршрутизатор, а остальные - серые из диапазана 10.0.0.0/8. Конечно при настройке DNAT можно сделать, что это якобы они имеют эти адреса, но по-моему это уже не маршрутизация как таковая. Может лучше поиграться с маскми выделенной подсети ? И вообще в упор не пониамю причем здесь динамические протоколы маршрутизации. По-моему здесь статики за глаза, в которой кроме как адрес dafeult gw и ничего указывать не надо.

Поправьте, если я не прав.

P.S. а вообще было бы неплохо узнать какой диапазон ип выдали.

roy ★★★★★
()
Ответ на: комментарий от roy

>И вообще в упор не пониамю причем здесь динамические протоколы >маршрутизации.

Маршрутизаторы общаются между собой с помощью протоколов маршрутизации. Cтатикой можно отделаться в случае одного маршрутизатора и только. Я тебя удивил?

А вообще вопрос автору поста: нафига тебе именно маршрутизация? ихмо проще сделать сеть на управляемых свичах и вланах с одним центральным маршрутизатором,который делает нат наружу

anonymous
()
Ответ на: комментарий от anonymous

Несомненно удивил. Для чего им общаться в данной конфигурации сети? Я понимаю, если бы за каждым из них было куча сетей с маршрутизаторами, а тут как то излишне это

roy ★★★★★
()
Ответ на: комментарий от roy

>Несомненно удивил т.е мсье полагает что прописав везде default gateway пакеты сразу побегут куда надо и обратно? и icmp тоже?

Мсье хоть раз общение хотя бы между двумя маршрутизаторам осиливал?

anonymous
()

А почему не дать маршрутизаторам клиентов сразу реальные адреса на их eth0?

qwe ★★★
()
Ответ на: комментарий от qwe

>А почему не дать маршрутизаторам клиентов сразу реальные адреса на их >eth0?

А смысл? Ну или если ты спамер или bot-net свой держишь для ддоса за деньги -тогда да. В остальных вариантах раздача юзерам внешних адресов не имеет особого смысла.

anonymous
()
Ответ на: комментарий от anonymous

>А смысл?
1. Не надо извращаться на своём маршрутизаторе, только прописать маршруты.
2. Свои проблемы клиенты решают самостоятельно, а не напрягают Вас из за разной фигни.
3. Если ваш маршрутизатор будет почтовым релеем для этих клиентов, то вам придётся принимать весь их спам, а они могут обрубать его на этапе приёма или даже на этапе rcpt to, вследствие чего ваш почтовый трафик будет на порядки больше чем у клиентов. Плюс к этому, вашему релею придётся рассылать уведомления о недоставке.
4. Вам придётся трассировать их FTP, IRC и подобные им соединения.
5. Клиентам не придётся извращаться с соответствием их DNS адресов и IP адресов (хотя это можно отнести к пункту 2).

qwe ★★★
()
Ответ на: комментарий от qwe

>1. Не надо извращаться на своём маршрутизаторе, только прописать >маршруты.

Скажите често -вы _железный_ маршрутизатор хоть раз сам настраивали? не pc-based?

>2.Свои проблемы клиенты решают самостоятельно, а не напрягают Вас из >за разной фигни.

и у вас они все такие? свой суппорт не нужен? Этож в какой стране то так? В средиземье с волшебными эльфами?

>3. Если ваш маршрутизатор будет почтовым релеем для этих клиентов, >то вам придётся принимать весь их спам, а они могут обрубать его на >этапе приёма или даже на этапе rcpt to, вследствие чего ваш почтовый >трафик будет на порядки больше чем у клиентов. Плюс к этому, вашему >релею придётся рассылать уведомления о недоставке

Это что же они и почтовый сервер сами поднимут? и чтоб smtp открытым не был? и еще и спам фильтр сами настроят и обучат?

А вы точно не из средиземья?

>4. Вам придётся трассировать их FTP, IRC и подобные им соединения.

Это что ж такое - у ваших клиентов значит будет полный доступ к интернету? А отделы безопасности клиентов вас просьбами о закрытии всех протоколов помимо http не забросают?

И все это предполагает адекватных юзеров в каждой подсети со своим выделенным администратором что конечно хорошо для крупного isp которым вы судя по всему являетесь -отдал провод и список адресов а дальше пусть клиент крутится как хочет.

Но автор ,который писал оригинальное сообщение явно не из ваших рядов.

anonymous
()
Ответ на: комментарий от roy

> P.S. а вообще было бы неплохо узнать какой диапазон ип выдали.

Дали для нас всего 6 IP.

За маршрутизатором(1) может быть как 3 сети (на текущий момент), так и 5 (в дальнейшем). Смысл в том, что необходимо сделать так, чтобы маршрутизаторы фирм (которые стоят за маршрутизатором(1)) имели реальные IP.

Почитав книгу С.Манн и М.Крелл "Linux. Администрирование сетей TCP/IP", увидел в ней подобный пример (на странице 424), реализованный с помощью RIP.

Спасибо еще раз всем..

P.S. И как вы знаете: Сколько людей - столько и мнений ;)

anonymous
()
Ответ на: комментарий от anonymous

>Но автор ,который писал оригинальное сообщение явно не из ваших рядов.

С такой задачей столкнулся впервые, так что не пинайте сильно ногами.. В этой книге описан такой же пример, но там всего 1 реальный IP, который вешается на вход маршрутизатора(1).. у меня же задачка посложнее.. Ну не на свитч же вешать на 8-ми портовый все эти 5 фирм! :D

anonymous
()
Ответ на: комментарий от anonymous

>Но автор ,который писал оригинальное сообщение явно не из ваших рядов.

Вот именно, прочитайте для начала оригинальное сообщение:

>Скажите често -вы _железный_ маршрутизатор хоть раз сам настраивали? не pc-based?

>>Маршрутизатор (1) имеет: eth0 - внешний IP - 212.43.160.34 (первая фирма) eth0:1 - внешний IP...

Где тут железный маршрутизатор?

>Это что же они и почтовый сервер сами поднимут? и чтоб smtp открытым не был? и еще и спам фильтр сами настроят и обучат?
>>...которые выступают в роли mail/web-серверов

Кто по вашему всё это поднимать и настраивать должен?

>Это что ж такое - у ваших клиентов значит будет полный доступ к интернету?
>>весь трафик, который распределяется на соответствующие IP (то есть каждой фирме на свой IP).

Слова "_ВЕСЬ_ТРАФИК_" Вам ни о чём не говорят?

>отдал провод и список адресов а дальше пусть клиент крутится как хочет.

Конечно, а вы предлагаете бегать к каждому клиенту за просто так если они сами справиться не могут? Типа они платят только за трафик, а вы плюс ко всему ещё и их сервера обслуживаете.

qwe ★★★
()
Ответ на: комментарий от qwe

>Конечно, а вы предлагаете бегать к каждому клиенту за просто так если они сами справиться не могут? Типа они платят только за трафик, а вы плюс ко всему ещё и их сервера обслуживаете.

Я всего-то написал, что это находится в одном здании, где мне суждено организовать все это и САМОМУ там все решать и бегать по всем этим серверам/сетям/компьютерам %)

anonymous
()
Ответ на: комментарий от anonymous

>у меня же задачка посложнее..

Ваша задача проще. Вам нужно только смаршрутизировать IP.

>Ну не на свитч же вешать на 8-ми портовый все эти 5 фирм!

В принципе можно и на свич, но тогда придётся немного поизвращаться. Проще вставить 5 карточек в Вашу машинку, если не хватает слотов, то приобрести 4-х портовую сетевую карту.

qwe ★★★
()
Ответ на: комментарий от anonymous

>суждено организовать все это и САМОМУ там все решать и бегать по всем этим серверам/сетям/компьютерам %)

В этом случае проще оставить только одну машину (маршрутизатор(1)) и на ней запустить сервисы клиентов.

qwe ★★★
()
Ответ на: комментарий от qwe

Все маршрутизаторы фирм должны быть именно их. В этом вся соль. Им нужно, чтобы все их web-сайты и вся почта была именно на их серверах. Чтобы если что они могли съезжать с этого места и забирать свой сервер с собой навсегда..

Спасибо за продолжение в решении моей проблемы!

anonymous
()
Ответ на: комментарий от anonymous

Вся почта и весь веб копируются в течение пяти минут. :)
В принципе, в машине можно держать по жесткому диску для каждого клиента и запускать их сервисы в chroot или на виртуальной машине. При отьезде клиента просто забирается винт, вставляется в другую машину и всё.
Ещё можно разделять диски их машин, на которых меняется информация по сети.
Если почесать репу можно и ещё что-нибудь придумать. :)

qwe ★★★
()

есть предложение избавить серверы с контентом (почта,веб) от задачи маршрутизации .Все серверы поставить в одном месте а сеть сделать с центральным маршрутизатором и свичами.

anonymous
()
Ответ на: комментарий от anonymous

>есть предложение избавить серверы с контентом (почта,веб) от задачи маршрутизации .

А смысл, в Вашем случае она практически не потребляет никаких ресурсов? Если заменить ваш "маршрутизатор(1) на обычный свич, то никакой маршрутизации и не потребуется :), нужен будет только NAT для локальных подсетей, это по одному правилу iptables на каждом из серверов.

qwe ★★★
()
Ответ на: комментарий от qwe

>При отьезде клиента просто забирается винт, вставляется в другую машину и всё.

С военными такое не пройдет.. ибо надо так, чтобы было как они говорят.

>Ещё можно разделять диски их машин, на которых меняется информация по сети.

Ага! Разделишь.. когда они смотрят через плечо и записывают каждый шаг..

Возможно я неправильно сразу сказал.. начал там про интерфейсы..

Вообщем смысл таков - Фирме (хозяину здания) выделен от провайдера диапазон адресов. В здании несколько разных фирм.. Необходимо поставить один маршрутизатор, через который будет идти трафик на маршрутизаторы разных фирм, на которых будут свои mail и web сервисы (не дай Бог, чтобы это как-то перекрестнулось и соседи увидели друг друга!!!). На этом же маршрутизаторе (тот который стоит выше всех) также ведется подсчет перебрасываемого трафика в эти различные фирмы. Также в дальнейшем планируется подключить этот (верхний) маршрутизатор ко второму провайдеру (так как в связь нужна постоянно и в случае отказа одного... ну там по обстоятельствам).

Вот собственно вкратце... А то я что-то начал с интерфейсов :))

>Если почесать репу можно и ещё что-нибудь придумать. :)

Что Вы думаете на этот счет?

Спасибо еще раз всем, кто отвечает!

anonymous
()
Ответ на: комментарий от qwe

>А смысл,..

меня озадачила фраза "клиенты хотят при переезде забрать свои сервера с собой" При таком раскладе вместе с сервером уедет и работоспособность сегмента сети.

anonymous
()
Ответ на: комментарий от anonymous

>Вообщем смысл таков..

А железо уже закуплено? Просто если еще нет -то я все же склоняюсь к использованию вланов и один маршрутизатор-гейт в инет.

anonymous
()
Ответ на: комментарий от anonymous

>меня озадачила фраза "клиенты хотят при переезде забрать свои сервера с собой" При таком раскладе вместе с сервером уедет и работоспособность сегмента сети.

А вся фирма если что и съезжает. Здание-то сдают :)

Из железа - есть все компы-маршрутизаторы.

anonymous
()
Ответ на: комментарий от anonymous

>А вся фирма если что и съезжает. Здание-то сдают :) те одна из контор на этаже сьехать не может? только все три одновременно?

anonymous
()
Ответ на: комментарий от anonymous

>те одна из контор на этаже сьехать не может? только все три одновременно?

Так я ж и говорю - есть хозяева здания. Это их "верхний" маршрутизатор (который подключен к провайдеру). Хозяева сдают здание (различные этажи) и сети, которые там проложены. Арендаторы приезжают, привозят свой маршрутизатор и компы и включаются. Их маршрутизаторы расположены "ниже" маршрутизатора хозяев здания.

Не важно кто и куда и когда съедет. Может съехать как одна так и все фирмы. Важно чтобы работал основной маршрутизатор и любая фирма, снимающая часть сети (например этаж. Сети уже все проложены и прочее) могла приехать со своим маршрутизатором, включиться после маршрутизатора хозяев, получив один из (реальных) IP владельцев здания, и работать спокойно.

На самом деле никто никуда не собирается съезжать.. Но это пока.. А так - возможны варианты..

anonymous
()
Ответ на: комментарий от anonymous

>Необходимо поставить один маршрутизатор, через который будет идти трафик на маршрутизаторы разных фирм, на которых будут свои mail и web сервисы (не дай Бог, чтобы это как-то перекрестнулось и соседи увидели друг друга!!!)

На вскидку три варианта: 1. Вместо маршрутизатора свич с виланами. 2. PPPoE 3. По ефернет карте на каждого клиента.

>включиться после маршрутизатора хозяев, получив один из (реальных) IP владельцев здания, и работать спокойно.

При таком раскладе не понимаю, почему Вы должны обслуживать оборудование клиента.

qwe ★★★
()
Ответ на: комментарий от qwe

>1. Вместо маршрутизатора свич с виланами.

Входящий-исходящий трафик он считать умеет?

>2. PPPoE

Поподробнее если можно...

>3. По ефернет карте на каждого клиента

с какой стороны и где? На основном маршритизаторе? Я предполагаю - На основном маршрутизаторе 6 NIC - одна на вход, остальные - на маршрутизаторы клиентов.

>При таком раскладе не понимаю, почему Вы должны обслуживать оборудование клиента.

Я обслуживаю всё здание. И в том числе все сети и компьютеры всех фирм, которые находятся в здании. Плюс протереть мышки и так далее :D

anonymous
()
Ответ на: комментарий от anonymous

>Входящий-исходящий трафик он считать умеет? это будет считаться на основном маршрутизаторе,который должен уметь tagged VLANS и netflow

anonymous
()
Ответ на: комментарий от anonymous

>это будет считаться на основном маршрутизаторе,который должен уметь tagged VLANS и netflow

я опять забыл что рутер-то комповый - тогда сетевуха,смотрящая к клиентам должна уметь tagged VLANS а netflow тут не нужен

anonymous
()
Ответ на: комментарий от anonymous

>я опять забыл что рутер-то комповый - тогда сетевуха,смотрящая к клиентам должна уметь tagged VLANS а netflow тут не нужен

Да, так как трафик-то еще надо будет считать не только по фирмам-клиентам, но и по портам и далее по пользователям..

anonymous
()
Ответ на: комментарий от anonymous

>Да, так как трафик-то еще надо будет считать не только по >фирмам-клиентам, но и по портам и далее по пользователям..

привязав ip+mac и включив на свитчах port-security получишь подсчет общего траффика с конкретного юзера,по портам и протоколам -есть предложение поставить прокси и считать на нем это

anonymous
()
Ответ на: комментарий от anonymous

>Входящий-исходящий трафик он считать умеет?

Уметь-то умеет, но действительно нужно её где-то собирать.

>>2. PPPoE >Поподробнее если можно...

http://ru.wikipedia.org/wiki/PPPoE

>с какой стороны и где? На основном маршритизаторе? Я предполагаю - На основном маршрутизаторе 6 NIC - одна на вход, остальные - на маршрутизаторы клиентов.

Именно так, но маршрутизация действительно будет корявой, поскольку у Вас очень маленький диапазон адресов, а на каждую подсеть, если делать по нормальному нужно минимум по 4 адреса.

>Я обслуживаю всё здание. И в том числе все сети и компьютеры всех фирм, которые находятся в здании.

Это нормально, если в каждой из фирм получать нормальную зарплату. :)

qwe ★★★
()
Ответ на: комментарий от qwe

Спасибо! Будем курить..

>Это нормально, если в каждой из фирм получать нормальную зарплату. :)

Не смешите моих московских тараканов :))))))) Собираюсь поскорее отсюда сдернуть.. вот только доделаю все %)

Предыдущий админ поступил проще - поставил самый дешевый свитч (рублей за 500 :D ), воткнул в него провод от провайдера и от него прокидал провода по этажам и поставил на каждом этаже по оффтопу с реальными IP, которые поломали быстро, в связи с этим он был собственно и уволен..

anonymous
()
Ответ на: комментарий от anonymous

IMHO лучший вариант:

Машинка с двумя карточками. К первой подцеплены интернет и сервера клиентов с реальными IP шлюзом на которых выставлена Ваша машина (поскольку администрируете Вы и эти машины стоят все в одном месте, подмены шлюза можно не опасаться). На второй карточке поднят PPPoE сервер, через неё ходят в интернет локальные сети клиентов (каждый пользователь аутентифицируется).

qwe ★★★
()
Ответ на: комментарий от anonymous

>Предыдущий админ поступил проще - поставил самый дешевый свитч (рублей за 500 :D ), воткнул в него провод от провайдера и от него прокидал провода по этажам и поставил на каждом этаже по оффтопу с реальными IP

В принципе он был прав. Если контора хочет иметь собственный сервер, пусть держит админа для его поддержки. Если ей нужны только какие-то сервисы (почта/веб), пусть арендует их у хостера.

qwe ★★★
()
Ответ на: комментарий от qwe

Спасибо за совет!

>Если контора хочет иметь собственный сервер, пусть держит админа для его поддержки.

Да.. Вот как раз меня-то они все и держат за хвост. Причем все сразу и за "разумную" плату ;)

>Если ей нужны только какие-то сервисы (почта/веб), пусть арендует их у хостера.

от этого как раз решили и избавиться и перенести все сервисы непосредственно на свои сервера (дабы не платить хостерам и проч.проч.проч.)

anonymous
()
Ответ на: комментарий от anonymous

Если интересно расскажу как было организована в одной из фирм где я работал (сразу скажу с динамической маршрутизацией работать не приходилось): -был один провайдер (в принципе два - но одновременно работали только через одного) -три офиса в разных зданиях, соединенных прямыми провадами, в каждом офисе свой PC-маршрутизатор. Они не имели реальных ip-адресов -в каждом из офисов свой диапозон серых адресов (192.168.0, 192.168.1, 192.168.2) -к провайдеру подключен PC-маршрутизатор на Linux c 5-ю сетевыми картами: две к провайдерам, три к внутренним маршрутизаторам. На нем расписана маршрутизация, iptables (DNAT,SNAT), сквид. Учет трафика ввелся вроде с помощью ipfm. -внутри офисов были компы с реальными ip-адресами (если приложения не поддерживали NAT, в противном случае обходились NAT).

Irek
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.