NAT & Router
Добавлено: 02 сен 2004, 11:10Кому-нибудь удавалось настроить Border Manager так, чтобы он одни хосты внутренней сети транслировал (Dynamic and Static NAT), а другие в это же время просто маршрутизировал во внешние сети?
proNovell
NAT & Router
Страница 1 из 2
Добавлено: 02 сен 2004, 11:10Re: NAT & Router
Добавлено: 02 сен 2004, 11:44Dynamic and Static NAT делал. И работает что характерно :)
Добавлено: 02 сен 2004, 11:57Dynamic and Static NAT то и у меня работает.
Но вот как сделать, чтобы одна из внутренних подсетей не транслировалась наружу, а маршрутизировалась? чтобы адреса не маскировались?
Но вот как сделать, чтобы одна из внутренних подсетей не транслировалась наружу, а маршрутизировалась? чтобы адреса не маскировались?
Если ты включил NAT, то это невозможно по определению.
Добавлено: 02 сен 2004, 13:26Можешь воткнуть в сервер еще одну карту и маршрутизировать эту сеть через нее.
Добавлено: 02 сен 2004, 13:51Косинов Владимир писал(а):Dynamic and Static NAT то и у меня работает.
Но вот как сделать, чтобы одна из внутренних подсетей не транслировалась наружу, а маршрутизировалась? чтобы адреса не маскировались?
Для этого нужно наличие 2 IP-стеков - а так не бывает
ибо когда в стек поступает на обработку пакет, то он обрабатывается только по адресу назначения. А вот если нет маршрута к адресу назначения - тогда спецпроцедура генерит ответ о недостижимости и... отправляет его через localhost в IP-стек.Добавлено: 02 сен 2004, 15:55Ну тогда второй роутер.
ОК, тогда как понимать вот это?
Добавлено: 02 сен 2004, 16:4520. Q: Can a single NAT-enabled router allow some users to utilize NAT and allow other users on the same Ethernet
interface to continue with their own IP addresses?
A: No, in dynamic mode. All communication going through the NAT enabled interface will be translated by the NAT.
This includes valid registered Internet IP addresses located on the private network that also pass through the NAT enabled interface.
Yes in 'static' or 'static and dynamic' mode. This is done by configuring the non translated IP address as the same public and private IP address in the mapping mode.
http://support.novell.com/cgi-bin/searc ... 011263.htm
к тому же такие файрволы как Cisco PIX и CheckPoint это делать умеют.
Так может и бордюра такое тоже может? Хотя всегда был убежден в обратном.
interface to continue with their own IP addresses?
A: No, in dynamic mode. All communication going through the NAT enabled interface will be translated by the NAT.
This includes valid registered Internet IP addresses located on the private network that also pass through the NAT enabled interface.
Yes in 'static' or 'static and dynamic' mode. This is done by configuring the non translated IP address as the same public and private IP address in the mapping mode.
http://support.novell.com/cgi-bin/searc ... 011263.htm
к тому же такие файрволы как Cisco PIX и CheckPoint это делать умеют.
Так может и бордюра такое тоже может? Хотя всегда был убежден в обратном.
Добавлено: 03 сен 2004, 04:01Пока знатоки думают над предыдущим вопросом, может кто-нибудь поделится опытом: статическим натом сколько адресов реально прокинуть? По идее ограничения накладываются только размерами памяти сервера и адресного пространства внешней подсети:
27.Q: Is there a limit to the number of secondary IP addresses one can configure per interface with the 'add secondary IP Address' command?
A: There is no hard coded limit to the number of secondary IP addresses that one can configure on a per interface basis.
The actual limit is based on two conditions:-
1. the amount of memory the server has can handle the addition of secondary IP addresses. (Every new secondary IP
address that is configured takes up an additional 8 Bytes of memory).
2. that you haven't reached the maximum number of nodes for your network. (You cannot configure 300 secondary IP
addresses for a class C address!)
но есть такой тид
http://support.novell.com/cgi-bin/searc ... 082419.htm
Кому верить?
27.Q: Is there a limit to the number of secondary IP addresses one can configure per interface with the 'add secondary IP Address' command?
A: There is no hard coded limit to the number of secondary IP addresses that one can configure on a per interface basis.
The actual limit is based on two conditions:-
1. the amount of memory the server has can handle the addition of secondary IP addresses. (Every new secondary IP
address that is configured takes up an additional 8 Bytes of memory).
2. that you haven't reached the maximum number of nodes for your network. (You cannot configure 300 secondary IP
addresses for a class C address!)
но есть такой тид
http://support.novell.com/cgi-bin/searc ... 082419.htm
Кому верить?
Не парь себе мозги.
Добавлено: 03 сен 2004, 11:40Скорее всего ни циска, ни чекпоинт делать этого тоже не умеют. По вполне понятным причинам. Начинаем разбирать полет поскольку с пониманием TCP/IP у тебя явно плоховато (иди на курс 606, кстати 605 лучше был).
Для чего нужен NAT? Скрывать внутренние адреса.
Зачем их скрывают? 1. Потому что НЕ ХОТЯТ ВЫСТАВЛЯТЬ наружу. 2. Потому что НЕ МОГУТ высталять наружу, так как используют номера сетей для частного применения (например, 192.168.х.х), которые у провайдеров НЕ ДОЛЖНЫ МАРШРУТИЗИРОВАТЬСЯ ВО ВНЕШНИЙ МИР!
Вариант "НЕ ХОТЯТ" в современном мире скорее всего отпадает, так как реальные целые сети провайдеры практически никому уже давно не дают, потому как они кончились. Но если у тебя есть и реальная целая сеть (роскошь!) и частные, то выставлять наружу более 1-10 адресов как-то странно. У тебя что 255 реальных вэб-серверов или FTP? В ТИДе нормально написано, что ограничений на кол-во адресов для статического NAT'а нет, но должны же быть разумные желания... Гораздо правильнее разместить всю эту кучу рельных адресов за отдельным машрутизатором, а может еще и реверсный прокси перед ними поставить и/или балансировщик нагрузки 4-7 уровня.
У нас, например, аренда реального адреса обходится 3-7 баксов в месяц. Итого за 255 адресов получается 765-1785$/месяц. Хорошо живете! За такие деньги можно прикупить и железный маршрутизатор и /или еще одим бордюр поставить, а уж тем более еще одну карту в него воткнуть....
Для чего нужен NAT? Скрывать внутренние адреса.
Зачем их скрывают? 1. Потому что НЕ ХОТЯТ ВЫСТАВЛЯТЬ наружу. 2. Потому что НЕ МОГУТ высталять наружу, так как используют номера сетей для частного применения (например, 192.168.х.х), которые у провайдеров НЕ ДОЛЖНЫ МАРШРУТИЗИРОВАТЬСЯ ВО ВНЕШНИЙ МИР!
Вариант "НЕ ХОТЯТ" в современном мире скорее всего отпадает, так как реальные целые сети провайдеры практически никому уже давно не дают, потому как они кончились. Но если у тебя есть и реальная целая сеть (роскошь!) и частные, то выставлять наружу более 1-10 адресов как-то странно. У тебя что 255 реальных вэб-серверов или FTP? В ТИДе нормально написано, что ограничений на кол-во адресов для статического NAT'а нет, но должны же быть разумные желания... Гораздо правильнее разместить всю эту кучу рельных адресов за отдельным машрутизатором, а может еще и реверсный прокси перед ними поставить и/или балансировщик нагрузки 4-7 уровня.
У нас, например, аренда реального адреса обходится 3-7 баксов в месяц. Итого за 255 адресов получается 765-1785$/месяц. Хорошо живете! За такие деньги можно прикупить и железный маршрутизатор и /или еще одим бордюр поставить, а уж тем более еще одну карту в него воткнуть....
Добавлено: 03 сен 2004, 13:44Косинов Владимир
Вы ничего не поняли. Это не маршрутизация. Это NAT - вернее его специфическая разновидность, когда адрес из коего транслируют - тот же что и тот в который транслируют. Однако ни о какой маршрутизаторской прозрачности речи не идет - к примеру попытка пообщаться с активным FTP будет зарезана на корню.Yes in 'static' or 'static and dynamic' mode.
??? откуда такие сведения?такие файрволы как Cisco PIX и CheckPoint это делать умеют
не понял связи что-то...но есть такой тид
Re: Не парь себе мозги.
Добавлено: 06 сен 2004, 06:29Павел Гарбар писал(а):Скорее всего ни циска, ни чекпоинт делать этого тоже не умеют. По вполне понятным причинам. Начинаем разбирать полет поскольку с пониманием TCP/IP у тебя явно плоховато (иди на курс 606, кстати 605 лучше был).
Для чего нужен NAT? Скрывать внутренние адреса.
Зачем их скрывают? 1. Потому что НЕ ХОТЯТ ВЫСТАВЛЯТЬ наружу. 2. Потому что НЕ МОГУТ высталять наружу, так как используют номера сетей для частного применения (например, 192.168.х.х), которые у провайдеров НЕ ДОЛЖНЫ МАРШРУТИЗИРОВАТЬСЯ ВО ВНЕШНИЙ МИР!
Вариант "НЕ ХОТЯТ" в современном мире скорее всего отпадает, так как реальные целые сети провайдеры практически никому уже давно не дают, потому как они кончились. Но если у тебя есть и реальная целая сеть (роскошь!) и частные, то выставлять наружу более 1-10 адресов как-то странно. У тебя что 255 реальных вэб-серверов или FTP? В ТИДе нормально написано, что ограничений на кол-во адресов для статического NAT'а нет, но должны же быть разумные желания... Гораздо правильнее разместить всю эту кучу рельных адресов за отдельным машрутизатором, а может еще и реверсный прокси перед ними поставить и/или балансировщик нагрузки 4-7 уровня.
У нас, например, аренда реального адреса обходится 3-7 баксов в месяц. Итого за 255 адресов получается 765-1785$/месяц. Хорошо живете! За такие деньги можно прикупить и железный маршрутизатор и /или еще одим бордюр поставить, а уж тем более еще одну карту в него воткнуть....
ну нагородил-то, нагородил...
может кому и не хватает знаний, так это тебе. только не нужно об этом всем рассказывать:) если ты о чем-то не знаешь, это вовсе не означает, что этого нет в природе.
кстати, на 606 курсе я учился.
есть у нас маршрутизатор - HP 9304m. вот на нем точно можно поднять и нат и маршрутизацию одновременно: одни адреса прокидываются натом, а другие маршрутизируются в соответсвии с прописанными настройками. ну работает это, ничего тут не поделаешь.
поскольку нетварь тоже вроде умеет быть маршрутизатором, то почему и ей не иметь такие же возможности?
с чего ты взял, что я выкидываю внутренние адреса в реальные сети?
есть такая штука, называется корпоративная сеть. в настоящий момент вся внутренняя сеть прокинута в корпоративку натом, но есть необходимость в переходе на чистую маршрутизацию. чтобы переход проходил наименее болезненно, от нетвари с бордюрой потребовались вышеуказанные возможности.
не для понтов, конечно, но реальная сетка класса C у нас имеется. никакой арендной платы.
про дополнительный сетевой адаптер в сервер пожалуйста поподробнее, что нам это даст?
Re: Не парь себе мозги.
Добавлено: 06 сен 2004, 06:48Павел Гарбар писал(а):Скорее всего ни циска, ни чекпоинт делать этого тоже не умеют. По вполне понятным причинам. Начинаем разбирать полет поскольку с пониманием TCP/IP у тебя явно плоховато (иди на курс 606, кстати 605 лучше был).
Для чего нужен NAT? Скрывать внутренние адреса.
Зачем их скрывают? 1. Потому что НЕ ХОТЯТ ВЫСТАВЛЯТЬ наружу. 2. Потому что НЕ МОГУТ высталять наружу, так как используют номера сетей для частного применения (например, 192.168.х.х), которые у провайдеров НЕ ДОЛЖНЫ МАРШРУТИЗИРОВАТЬСЯ ВО ВНЕШНИЙ МИР!
Вариант "НЕ ХОТЯТ" в современном мире скорее всего отпадает, так как реальные целые сети провайдеры практически никому уже давно не дают, потому как они кончились. Но если у тебя есть и реальная целая сеть (роскошь!) и частные, то выставлять наружу более 1-10 адресов как-то странно. У тебя что 255 реальных вэб-серверов или FTP? В ТИДе нормально написано, что ограничений на кол-во адресов для статического NAT'а нет, но должны же быть разумные желания... Гораздо правильнее разместить всю эту кучу рельных адресов за отдельным машрутизатором, а может еще и реверсный прокси перед ними поставить и/или балансировщик нагрузки 4-7 уровня.
У нас, например, аренда реального адреса обходится 3-7 баксов в месяц. Итого за 255 адресов получается 765-1785$/месяц. Хорошо живете! За такие деньги можно прикупить и железный маршрутизатор и /или еще одим бордюр поставить, а уж тем более еще одну карту в него воткнуть....
Обалдеть!!!! С каких это пор на нормальном маршрутизаторе нельзя указать что транслировать а что нет??? На циске это делается списком доступа.
Сколько - сколько Вы платите за в месяц за реальные адреса????? Мы к примеру за честные 3 сети класса С платим в год около 1500$. Сдается мне Вас хорошо.... обманывают.
Добавлено: 06 сен 2004, 06:49Влад А.Сокол aka Akina писал(а):Косинов ВладимирВы ничего не поняли. Это не маршрутизация. Это NAT - вернее его специфическая разновидность, когда адрес из коего транслируют - тот же что и тот в который транслируют. Однако ни о какой маршрутизаторской прозрачности речи не идет - к примеру попытка пообщаться с активным FTP будет зарезана на корню.Yes in 'static' or 'static and dynamic' mode.??? откуда такие сведения?такие файрволы как Cisco PIX и CheckPoint это делать умеютне понял связи что-то...но есть такой тид
Влад, вы берете фрагменты разных сообщений и пытаетесь найти прямую связь. вопрос был "статическим натом сколько адресов реально прокинуть?". на практике вы лично сталкивались с этим вопросом? тид напрямую связан с этим вопросом, поскольку в нем говорится о возикших проблемах со статическим натом при большом количестве транслируемых адресов.
FTP меня вообще не интересует (в контексте обсуждаемой темы).
Добавлено: 06 сен 2004, 11:16Косинов Владимир писал(а):вопрос был "статическим натом сколько адресов реально прокинуть?". на практике вы лично сталкивались с этим вопросом? тид напрямую связан с этим вопросом, поскольку в нем говорится о возикших проблемах со статическим натом при большом количестве транслируемых адресов.
Во-первых, не я виноват. Хотите НЕсмешивания ответов - придерживайтесь принципа "одна ветка - один вопрос".
Во-вторых, в выходные не поленился и воспроизвел дома груду адресов на статическом НАТе дома под ВМВаре (Бордюр 3.7 триал, Нетварь 5.1 пак 6а), 4 часа угрохал. Сеть класса А (10-я), 512 адресов... ящик, правда, еле ворочался (9 виртуальных машин - не шутка), но за час не повис... в ТИДе же вообще никто не удосужился уточнить ни какие адреса НАТились, ни на какой Нетвари... попробуй докажи что эти гении не НАТили бродкасты, впихивая в статический НАТ целую сеть класса С
еще несколько ответов
Добавлено: 06 сен 2004, 13:45>есть у нас маршрутизатор - HP 9304m. вот на нем точно можно поднять и нат и маршрутизацию одновременно: одни адреса прокидываются натом, а другие маршрутизируются в соответсвии с прописанными настройками. ну работает это, ничего тут не поделаешь.
Как и многое в TCP/IP - частная реализация (то же касается и циски - она, например, еще и PAT умеет). RFC - не догма, поэтому то что сделали одни, совсем не означает, что должны делать другие.
>поскольку нетварь тоже вроде умеет быть маршрутизатором, то почему и ей не иметь такие же возможности?
А потому что не обязан.
>с чего ты взял, что я выкидываю внутренние адреса в реальные сети?
А потому что ты сказал, что "внутренние сети", а о том, что у тебя внутри есть реальные адреса ты ничего не говорил. Описывай конфигурацию полнее и/или точнее. А так, как хочу, так и думаю.
>не для понтов, конечно, но реальная сетка класса C у нас имеется. никакой арендной платы.
Повезло. Может у тебя внешний трафик большой и провайдер "от доброты души" целую сеть дал?
По поводу арендной платы. Все провайдеры разные и цены тоже. Я называл средние.
>про дополнительный сетевой адаптер в сервер пожалуйста поподробнее, что нам это даст?
На одном адаптере подымаешь NAT, а на другом - просто маршрутизируешь по статичному маршруту свою "внутреннюю" реальную сеть во внешний мир.
Про знания. Зря ты меня зачморил. Знаю много, но - век живи - век учись. Я учусь постоянно, потому как по другому в нашей ИТ-сфере нельзя. Это подтверждено многими моими сертификатами от разных вендоров, есть большой практический опыт (я не бумажный инженер). Но все продукты всех вендоров всё равно не узнать, а частные реализации - не повод требовать того же самого от всех остальных вендоров.
Как и многое в TCP/IP - частная реализация (то же касается и циски - она, например, еще и PAT умеет). RFC - не догма, поэтому то что сделали одни, совсем не означает, что должны делать другие.
>поскольку нетварь тоже вроде умеет быть маршрутизатором, то почему и ей не иметь такие же возможности?
А потому что не обязан.
>с чего ты взял, что я выкидываю внутренние адреса в реальные сети?
А потому что ты сказал, что "внутренние сети", а о том, что у тебя внутри есть реальные адреса ты ничего не говорил. Описывай конфигурацию полнее и/или точнее. А так, как хочу, так и думаю.
>не для понтов, конечно, но реальная сетка класса C у нас имеется. никакой арендной платы.
Повезло. Может у тебя внешний трафик большой и провайдер "от доброты души" целую сеть дал?
По поводу арендной платы. Все провайдеры разные и цены тоже. Я называл средние.
>про дополнительный сетевой адаптер в сервер пожалуйста поподробнее, что нам это даст?
На одном адаптере подымаешь NAT, а на другом - просто маршрутизируешь по статичному маршруту свою "внутреннюю" реальную сеть во внешний мир.
Про знания. Зря ты меня зачморил. Знаю много, но - век живи - век учись. Я учусь постоянно, потому как по другому в нашей ИТ-сфере нельзя. Это подтверждено многими моими сертификатами от разных вендоров, есть большой практический опыт (я не бумажный инженер). Но все продукты всех вендоров всё равно не узнать, а частные реализации - не повод требовать того же самого от всех остальных вендоров.