Простой ( элементарный ) вопрос по маршрутизации в NW6.5

Обсуждение технических вопросов по продуктам Novell

Простой ( элементарный ) вопрос по маршрутизации в NW6.5

Сообщение Андрей Тр. aka RH » 29 июн 2004, 07:43

Уважаемые, подскажите по след. вопросу, пожалуйста. Чего-то я сильно торможу на тему маршрутизации ( вообще в данную область по жизни старался не лезть, а тут надо ВМ потестировать и в данный момент больше оказалось некому ). Ситуация следующая :

Имеется сеть 10.64.192.0 subnet mask 255.255.254.0 ( используем диапазон 10.64.192.1 - 10.64.193.254 ), аплинк в "Интернет" через роутер 10.64.193.1 В данный момент подключено так :

LAN ( адреса по DHCP, серверы, в т.ч. прокси, свичи и пр. ) - свич2 10.64.193.5 - свич1 10.64.193.2 - роутер 10.64.193.1 - "Инет"

Чего хочется в идеале :
LAN ( все та же, с DHCP ) - свич2 10.64.193.5 - свич1 10.64.193.2 - BM NIC2 - BM NIC1 - роутер 10.64.193.1 - "Инет"

Для BM NIC1 предлагается адрес 10.64.193.16, для NIC2 - 10.64.193.17. NAT не нужен, как я понимаю тут достаточно прописать статическую маршрутизацию в INETCFG, но чего-то не выходит. В принципе, единственной функцией данного ВМ-сервера предполагался быть учет и контроль трафика плюс прокси ( в случае положительных результатов возможен также перенос на него DNS/DHCP ).

При тестировании данный ВМ вынесен вглубь LAN, перед свичом2, но сути это ж не меняет, верно ( или меняет ) ? Вопрос - что именно должно быть прописано в таблице маршрутизации ?
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Мещеряков Андрей » 29 июн 2004, 08:05

Попробуйте нарисовать :D , а то как-то не вырисовывается :) .А вопрос далеко не так прост. Синтаксиса таблицы маршрутов для Inetcfg я так и не нашел, а от юниксовых книжек толку мало. Эмпирически можно подобрать, но хотелось бы что-то поосновательнее.
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

Сообщение Андрей Тр. aka RH » 29 июн 2004, 08:26

Чего именно нарисовать ? :) Вроде все достаточно примитивно .. хотя, возможно, и нет. А насчет синтаксиса - так надо же добавить маршруты в inetcfg, средствами же inetcfg ( ну или в tcpcon хотя бы ), вот только надо сообразить, что писать в address, next hop и пр. в случае с такими двумя интерфейсами. К примеру, сколько вообще маршрутов нужно в этом случае ?
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Иван Левшин aka Ivan L. » 29 июн 2004, 09:18

Привет, Андрей :)
У меня сделана примерно похожая схема - бордюр крутится внутри сетки. Вообще с одним интерфейсом, который и Public, и Private. в Inetcfg прописал Default Route на внутренний интерфейс шлюза, на котором, в свою очередь поднят НАТ. Все работает уже два с лишним года :)
Иван Левшин aka Ivan L.
 
Сообщения: 2365
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Андрей Тр. aka RH » 29 июн 2004, 09:39

Иван, если б можно было с одним интерфейсом .. но пока у меня не получилось :) Проблема ( одна из ) в том, что некоторые юзеры лезут в обход прокси - к примеру, по фтп или еще чем. Сейчас стоит Сквид ( с одним интерфейсом ), на котором довольно много ограничений, но 100% трафика пропускать через него не получается. Подумалось - а в чем проблема ? Нормальное же решение с двумя интерфейсами, тем более, что это повлияет только лишь на работу Инета. Зато учет и контроль, плюс чуть что - краник прикрыть можно на индивидуальной основе. А НАТ мне настраивать что-то пока неохота .. не вижу большого смысла ( мы и так уже за НАТом ). Но если это радикально упростит ситуацию :) то ..
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Мещеряков Андрей » 29 июн 2004, 10:28

Все-таки интерфейсов должно быть два. Можно, конечно, добиться стерильности и при внутрисетевом прокси, но тогда (я так понимаю :) ) машрутом по умолчанию должно быть объявлено устройство, которому можно задать правило: пакеты от прокси -> route, пакет от не-прокси (Юзер Х) ->drop. На ADSL модеме с роутером такое возможно. Без соблюдения этого условия прокси - защита от честного человека.


-----[192.168.1.0]--[192.168.1.1|192.168.10.1]--[192.168.10.0]----------

понятно ли?

У меня самого на прокси 2 интерфейса. Первый - основная сеть 192.168.1.0/255.255.225.0 там вся пользовательская кодла. Вторая сеть образована прокси и интерфейсом точки доступа 192.168.10.0/255.255.255.0 Если получим адреса для домена - будет демилитаризированная зона :) а на прокси подниму НАТ. Итак, публичный адрес 192.168.10.1, приватный 192.168.1.1
Что маршруты надо добавлять в inetcfg я понимаю :) По ИДЕЕ, для организации сквозной передачи данных без прокси, мне надо описать две сети: 192.168.1.0 next hop 192.168.10.1 и 192.168.10.0 next hop 192.168.1.1 Так ведь? Либо поставить Defaul route 192.168.10.0. RIP, ессно, выключен, маршруты только статические. Так вот, первая комбинация НЕ работает! Мало того, прокси вообще таблицы маршрутов не нужны, т.е. маршрутизацию можно и запретить и все будет работать. Что скажете, кабальерос? :D
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

Сообщение Андрей Тр. aka RH » 29 июн 2004, 15:33

Мещеряков Андрей писал(а):По ИДЕЕ, для организации сквозной передачи данных без прокси, мне надо описать две сети: 192.168.1.0 next hop 192.168.10.1 и 192.168.10.0 next hop 192.168.1.1 Так ведь? Либо поставить Defaul route 192.168.10.0. RIP, ессно, выключен, маршруты только статические. Так вот, первая комбинация НЕ работает! Мало того, прокси вообще таблицы маршрутов не нужны, т.е. маршрутизацию можно и запретить и все будет работать.
Ну да, и я рассуждал примерно так же, и выполнил почти такие же действия ( и с default route, и RIP отключал, и пробовал упомянутые выше маршруты ). Результат один - нифига никуда не ходит и интерфейсы 1 и 2 не пингуются с "противоположных" им сторон ( не говоря уже о том, что дальше за ними ). Форвардинг включен, в tcpcon'е форвардируемых пакетов не наблюдаем ( нуль ). Вот я и подумал .. где-то чего-то явно неправильно. Но пример-то тривиальный ! Куда ж проще, казалось бы. :?
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Мещеряков Андрей » 29 июн 2004, 16:00

Так вот, в настоящее время у меня:
1. Разрешена маршрутизация
2. Разрешена статическая маршрутизация.
3. Запрещен RIP.
4. Публичный интерфейс прописан маршрутом по умолчанию.
Что имеем:
Из внутренней сети пингуются: приватный интерфейс (ессно), публичный ( :? ) Следующий узел во внешней сети (модем) уже не пингуется :shock: Хотя должен, как мне кажется, раз прописан такой маршрут.
Вывод: Что-то у меня работает, но Я понимаю, что ничего не понимаю.

P.S. Во время утановки Бордера на стороне я накатил СП9 на 4.2 ПОСЛЕ установки Бордера. И что бы вы думали? Только что работавшая система сдохла :!: Кто-то у нас жаловался на проблемы именно с модулем tcp/ip?
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

Сообщение Сергей.М. » 30 июн 2004, 06:20

Мещеряков Андрей писал(а):Все-таки интерфейсов должно быть два.

-----[192.168.1.0]--[192.168.1.1|192.168.10.1]--[192.168.10.0]----------



В данной схеме не надо дополнительно ничего прописывать, т.к. обе сети являются directly connected к маршрутизатору. Необходимо включить форвардинг на сервере и прописать на нем default gateway c указанием адреса провайдера. На клиентах default gateway 192.168.1.1
Аватара пользователя
Сергей.М.
 
Сообщения: 179
Зарегистрирован: 06 июн 2002, 08:14

Сообщение Андрей Тр. aka RH » 30 июн 2004, 06:45

Сергей.М. писал(а):
Мещеряков Андрей писал(а):Все-таки интерфейсов должно быть два.

-----[192.168.1.0]--[192.168.1.1|192.168.10.1]--[192.168.10.0]----------



В данной схеме не надо дополнительно ничего прописывать, т.к. обе сети являются directly connected к маршрутизатору. Необходимо включить форвардинг на сервере и прописать на нем default gateway c указанием адреса провайдера. На клиентах default gateway 192.168.1.1
В каком именно месте прописывать на сервере default gateway ? Единственное, где я вижу такую возможность - в таблице маршрутизации ( в default route ? ). Попробовал так, плюс изменил gateway на клиенте на адрес внутреннего интерфейса на ВМ - никаких изменений пока что.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Владимир Горяев » 30 июн 2004, 09:54

CIDR :!: :?: :evil:
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Сергей.М. » 30 июн 2004, 10:32

Default gateway указывать там где написано :D.

Если Вы экспериментируете на сетях 192.168.1.0/24 и 192.168.10.0/24 то во-первых: хосты должны пинговать хосты из другой сети (еще раз повторяю, сети directly connected автоматически попадают в таблицу маршрутизации, достаточно только разрешить маршрутизацию на сервере). во-вторых, хосты из обоих подсетей должны ходить в инет.

Если же Вы работаете с сетью 10.64.192.0/22 то Владимир правильно говорит, Netware CIDR не держит!

З.Ы. да и вообще честно говоря держать такой broadcast домен себе дороже, бейте на подсети.
Аватара пользователя
Сергей.М.
 
Сообщения: 179
Зарегистрирован: 06 июн 2002, 08:14

Re: Простой ( элементарный ) вопрос по маршрутизации в NW6.5

Сообщение Владимир Горяев » 30 июн 2004, 11:24

Еще
Андрей Тр. aka RH писал(а):Для BM NIC1 предлагается адрес 10.64.193.16, для NIC2 - 10.64.193.17.
Адреса из одной сети чтоль? :roll:
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Иван Левшин aka Ivan L. » 30 июн 2004, 13:20

Мещеряков Андрей - несогласен с категоричностью относительно двух интерфейсов. Повторюсь - у меня БМ крутится уже третий год на машине с одним (!) интерфейсом.

Андрей Тр. aka RH - на шлюзе надо настроить файрволл именно так, как прописал Мещеряков Андрей:
акеты от прокси -> route, пакет от не-прокси (Юзер Х) ->drop

Именно так у меня и работает :) Прокси - БМ 3.8, шлюз - ред хат с настроенным файрволлом. Все работает ОК :) Ты настройки filtcfg смотрел? Скорее всего при инсталляции БМ ты включил фильтры, которые наглухо все перекрывают - политика deny по умолчанию. Я filtcfg на внутреннем сервере вообще не настраивал и отказался от активизации фильтров при установке БМ. Этим и объясняется, что пакеты никуда не ходят :)
Иван Левшин aka Ivan L.
 
Сообщения: 2365
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Андрей Тр. aka RH » 30 июн 2004, 14:36

А, ну да, CIDR .. немного поясню ситуацию. N лет назад людям была выделена 10.64.193.0 / 255.255.255.0 ( отсюда gateway 10.64.193.1 ). Сетка постепенно росла, и М лет назад их адресное пространство расширили ( до 10.64.192.0 / .254.0 ). Указания по расширению свелись к "внести соотв. изменения в местный DHCP".

Я там, собсно, лишь поддерживаю новелловские продукты, поэтому бить на подсети, настраивать маршрутизацию в мои планы как бы не входит - тем более, что никаких объективных признаков проблем с той сетью не наблюдается. Возможно, в будущем и придется, но пока я не убежден. Так вот, как уже упоминал, единственное, чего пока захотелось попробовать - поставить Бордер между сетью ( или ее частью ) и маршрутизатором, с единственной целью - контролем за трафиком. Получается, раз CIDR, то все что ли ?

Иван, я не спорю, ВМ без проблем можно поднимать и с одним интерфейсом, только у тебя еще есть файервол на Шапке, с НАТом - он ведь с двумя ? Тогда в моем случае не вижу большого смысла разносить файервол и ВМ, но по нормальному без двух ИМХО не обойтись. Однако, надо подумать.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

След.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4