Простой ( элементарный ) вопрос по маршрутизации в NW6.5

Обсуждение технических вопросов по продуктам Novell

Сообщение Сергей.М. » 30 июн 2004, 15:12

Андрей посмотри что Владимир написал, я как то упустил из виду, на 2 разных интерфейса ты пытаешся повесить адреса из одной подсети. Я честно говоря 6.х не юзал, но при таких экспериментах 4.х и 5.х меня в таком случаи честно посылали :D. В любом случаи если ты хочеш поставить сервер с ВМ в качестве маршрутизатора между LAN и провайдером придется либо бить на подсети, либо просить небольшую подсеть для организации связи ВМ----GW.

Таким образом должно получится так:

LAN---10.64.192.0/22----BM----new-net----GW.

Мне кажется что это нормальный вариант в вашем случаи. Сети то у вас не PI и даже не PA.
Аватара пользователя
Сергей.М.
 
Сообщения: 180
Зарегистрирован: 06 июн 2002, 08:14

Сообщение Мещеряков Андрей » 30 июн 2004, 16:17

Тем не менее, придется констатировать: по существу, из каких соображений и в каких терминах писать маршруты для NetWare - подчеркиваю, NetWare :P , а не *nix -ов, для которых прорва книг, никто так и не написал :) Неужели Novell так и не издала ни одного мануала на эту пикантную тему ?
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

Сообщение Андрей Тр. aka RH » 30 июн 2004, 16:19

Ну как бы понятно, что они формально не из одной подсети ( адреса для интерфейсов ВМ в примере были написаны от балды, честно говоря ). Проблема еще в том, что а) хочется в имеющейся LAN по возможности сохранить адресацию из 10.64.192.0 и б) получить что-то новое для второй подсети, между ВМ и gateway провайдера не получится. Означает ли это, что я слишком многого хочу или есть еще варианты ?

Сергей.М.

Кстати, что означает /22 в 10.64.192.0/22 ?
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

/22 = 255.255.252.0

Сообщение Андрей Троценко » 30 июн 2004, 19:26

Андрей Тр. aka RH писал(а):Кстати, что означает /22 в 10.64.192.0/22 ?

22 бита отведены под адрес сети - аналогично маске 255.255.252.0
Аватара пользователя
Андрей Троценко
 
Сообщения: 529
Зарегистрирован: 31 июл 2002, 13:54
Откуда: Киев, Украина

Сообщение Сергей.М. » 01 июл 2004, 06:13

Мещеряков Андрей писал(а):Тем не менее, придется констатировать: по существу, из каких соображений и в каких терминах писать маршруты для NetWare - подчеркиваю, NetWare :P , а не *nix -ов, для которых прорва книг, никто так и не написал :) Неужели Novell так и не издала ни одного мануала на эту пикантную тему ?


Андрей, а маршрутизация это вообще изначально была не прерогатива операционных систем :D. Это со временем, когда последнии стали совершенствоваться, поддерживать большее количество функций, появилась возможность использовать сервера еще и как роутеры. Поэтому скорее для понимания данного механизма лучше штудировать протокол TCP/IP и специальные мануалы по маршрутизации в IP сетях. Когда наступит четкое понимание работы данного процесса, плюс знание динамических протоколов маршрутизации, то соответственно инженер сможет настроить данную задачю средствами предоставляемыми ему ОС.
Аватара пользователя
Сергей.М.
 
Сообщения: 180
Зарегистрирован: 06 июн 2002, 08:14

Сообщение Сергей.М. » 01 июл 2004, 06:18

Андрей Тр. aka RH писал(а):Ну как бы понятно, что они формально не из одной подсети ( адреса для интерфейсов ВМ в примере были написаны от балды, честно говоря ). Проблема еще в том, что а) хочется в имеющейся LAN по возможности сохранить адресацию из 10.64.192.0 и б) получить что-то новое для второй подсети, между ВМ и gateway провайдера не получится. Означает ли это, что я слишком многого хочу или есть еще варианты ?


а. Без проблем в предложеной мной выше схеме.
б. Да емое, что ж у вас за провайдер, который не в состоянии дополнительно использовать небольшую подсеть из пула частных адресов. Их же море!! Если вы с ним подключены эзернетом то нужна то подсеть на 8 адресов, если по PPP то и того меньше - 4 :evil: :roll:
Аватара пользователя
Сергей.М.
 
Сообщения: 180
Зарегистрирован: 06 июн 2002, 08:14

Сообщение Сергей.М. » 01 июл 2004, 06:25

Андрей Тр. aka RH писал(а):
Сергей.М.

Кстати, что означает /22 в 10.64.192.0/22 ?


Да, я вам наврал :D, у Вас 10.64.192.0/23 = 10.64.192.0 255.255.254.0
Аватара пользователя
Сергей.М.
 
Сообщения: 180
Зарегистрирован: 06 июн 2002, 08:14

Сообщение Андрей Тр. aka RH » 01 июл 2004, 09:13

Сергей.М. писал(а):а. Без проблем в предложеной мной выше схеме.
б. Да емое, что ж у вас за провайдер, который не в состоянии дополнительно использовать небольшую подсеть из пула частных адресов. Их же море!! Если вы с ним подключены эзернетом то нужна то подсеть на 8 адресов, если по PPP то и того меньше - 4 :evil: :roll:
Большая корпоративная сеть, в которой туча таких вот небольших подсеток, пров соответствующий ( это на уровне транспорта, что касается подсеток, маршрутизаторов, АДСЛ и пр. - для Инета отдельные провайдеры ). Менять что-то для одной из тысяч подобных сетей они просто не станут.

Тогда такой вопрос к общественности - с моим CIDR'ом вариант ВМ с одним интерфейсом ( как предложил Иван ) тоже не проходит ? То есть ежели ВМ использовать просто как прокси, ведь тогда же маршрутизации как таковой не происходит .. должно по идее работать ?
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Иван Левшин aka Ivan L. » 01 июл 2004, 09:40

Не понимаю - зачем городить огород и выкупать сеть? Если мы делаем ДМЗ и в нее помещаем сервер с БМ - вопросов нет. Если БМ стоит внутри сетки Андрея - какой смысл? Он же не писал проде, что собирается делать ДМЗ? Или я что-то упустил?
БМ с двумя интерфейсами можно спокойно ставить и на границу. На одном интерфейсе приватный адрес, на другом - публичный. Поднимаем НАТ на публичном, настраиваем файрволл (ИМХО, кстати - filtcfg настраивается проще, чем на унихе... Не знаю - может, привычка... Хотя, говорят - проблемы с ним есть. В частности - со statefull-фильтрами) - и по самые уши в шоколаде :).

Андрей - определись, плз - что же тебе нужно. Если нужна ДМЗ с некоторым числом публично доступных сервисов - да, надо ставить дополнительные файрволлы. Если нет - просто ставим на выходе БМ с двумя интерфейсами и настраиваем файрволл на нем. У меня схема, которую я описал, используется просто в силу сложившихся исторически обстоятельств.
Иван Левшин aka Ivan L.
 
Сообщения: 2378
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Владимир Горяев » 01 июл 2004, 10:14

В обчем так... см TID10069353
Прокси и без "IP Packet Forwarding" заработает.
Или, если очень нужно "IP Packet Forwarding" - в таблице маршр. прописывать кучу сеток /24.
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Андрей Тр. aka RH » 01 июл 2004, 16:52

Иван Левшин aka Ivan L. писал(а):БМ с двумя интерфейсами можно спокойно ставить и на границу. На одном интерфейсе приватный адрес, на другом - публичный. Поднимаем НАТ на публичном, настраиваем файрволл. .. Если нужна ДМЗ с некоторым числом публично доступных сервисов - да, надо ставить дополнительные файрволлы. Если нет - просто ставим на выходе БМ с двумя интерфейсами и настраиваем файрволл на нем.
Иван, ты не читаешь про мои "исторические обстоятельства". Писал же, что внутри мне хочется оставить адреса как есть - т.е. НАТ тут вроде ни при чем. ДМЗ мне как таковая не нужна, меня пров неплохо прикрывает, в т.ч. и файрволом, и мы и так уже все за одним большим НАТом.

Что нужно я писал в самом начале - нужно считать трафик пользователей и контролировать их бюджеты. Плюс заодно хотелось блокировать "левый" трафик особо умных, но тут без двух интерфейсов не обойтись, как я понимаю. А без добавления второй, отличной от моей сети, маршрутизацию между ними не настроить - впрочем, как не настроить ее и с моей теперешней адресацией по причине CIDR'a, который "Новелл не держит". Мораль - поставить ВМ внутри, с одним интерфейсом ради прокси, т.к. без перетряски всей адресации в двумя не завести .. а простой файер снаружи поставить на Линуксе :) и дропать все, что не от ВМ. Хотя нет, хрен получится - менять адресацию все равно же придется. Так что, похоже, без вариантов ? С "левым" трафиком бороться на клиентах.

Владимир Горяев

Я этот ТИД уже видел, спасибо. Раньше не знал, что у Новелла проблемы с CIDRом.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Иван Левшин aka Ivan L. » 01 июл 2004, 17:58

Блин, запутался совсем...
Значит, так... Вариант номер раз. Ставим на выходе из своей сети (сетей) бордюр с двумя интерфейсами. Настраиваем, дальше либо поднимаем НАТ и файрволл (хотя бы для того, чтобы левотура не перлась неизвестно куда), либо пишем Default Route для этой машины. По идее, маршрутизация не нужна совсем.
Вариант два - внутри сетки ставим сервак с одним интерфейсами. На шлюзе (своем или прова) прописываем на его адрес разрешающие правила, остальные - лесом.

Кстати, насчет CIDR. Вроде его поддержка была заявлена еще в стеке для 5.1 где-то года два тому. До сих пор не сделали? Странно как-то... Сам не пользую - потому не знаю :)
Иван Левшин aka Ivan L.
 
Сообщения: 2378
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Сергей.М. » 02 июл 2004, 06:08

Андрей Тр. aka RH писал(а):LAN ( адреса по DHCP, серверы, в т.ч. прокси, свичи и пр. ) - свич2 10.64.193.5 - свич1 10.64.193.2 - роутер 10.64.193.1 - "Инет"


Андрей, в этой схеме роутер 10.64.193.1 вами управляется?
Аватара пользователя
Сергей.М.
 
Сообщения: 180
Зарегистрирован: 06 июн 2002, 08:14

Сообщение Владимир Горяев » 02 июл 2004, 09:19

Иван Левшин aka Ivan L. писал(а):Кстати, насчет CIDR. Вроде его поддержка была заявлена еще в стеке для 5.1 где-то года два тому. До сих пор не сделали? Странно как-то... Сам не пользую - потому не знаю :)
Да сделали, тока не маршрутит... http://novell.org.ru/forum/viewtopic.php?t=2232
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Иван Левшин aka Ivan L. » 02 июл 2004, 12:59

Владимир Горяев - спасибо, обязательно ознакомлюсь :)
Иван Левшин aka Ivan L.
 
Сообщения: 2378
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Пред.След.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5

cron