Subnets.ru

Привет всем. Поставили передомной задачу - перестроить сеть на более цивильное, чем то, что есть сейчас (на илл. рисовал как мог.)
Суть такая.
Есть 6 сетей (на рисунке всего 3). Главной сетью является 192.168.1.0/24 в ней стоят сервера 1С и т.п. Доступ в инет и из подсети в подсеть осуществляется при помощи IPCop (ПО на Линуксе, представляет из себя squid с прикрученной мордой для iptables (я так понял ipcop) - на схеме представлены синими квадратами).
Так же IPCop реализует доступ для всех сетей в "главную" при помощи тунелей.
Сеть 10.56.0.0/16 (не знаю зачем такая маска большая - там всего 40 машин) соединена с "главной" при помощи оптики (не радиоканал). Оптика одним концом воткнута в ipcop, другим в switch.
Не везде есть возможность уйти от радиоканала.

Теперь, собственно, вопрос. Как разгрести весь этот огород? как уйти от ipcop? Может ли оборудование циско 3750 или 2960 подключаться подобно ipcop?

Заранее благодарен за ответ.

Андрей писал(а):Так же IPCop реализует доступ для всех сетей в "главную" при помощи тунелей.

Андрей писал(а):Сеть 10.56.0.0/16 (не знаю зачем такая маска большая - там всего 40 машин) соединена с "главной" при помощи оптики (не радиоканал)

тогда какой смысл в туннеле если есть прямое подключение ?
зачем такая маска реально не понятно, видимо делал человек, который не совсем понимает что она означает, раз там 40-к машин то /24 будет вполне достаточно

Андрей писал(а):. Как разгрести весь этот огород? как уйти от ipcop? Может ли оборудование циско 3750 или 2960 подключаться подобно ipcop?

2960 это простой L2 свич, тебе нуна или 3560 или 3750 с прошивкой которая поддерживает создание туннелей (http://www.opennet.ru/base/cisco/gre_cisco_tun.txt.html)
туннели делать для удаленных подсетей, те что не могут быть доступны через прямой кабель
туннели можно поднимать как между серверами на FreeBSD так и между цисками, как и между FreeBSD и циской (http://www.opennet.ru/base/cisco/gre_cisco_tun.txt.html)
ставь

По части сети 10.56.0.0/16 я думал так:
Сменить адрессацию, вопрос в том, что только на какую - 192.168.1.0/24 (можжно и подвинуть до /20) настройить что-то типа stp, если один канал падает, скажем оптика, то канал переключается на радио.

По части остальных сетей - не знаю что предположить - ставиь cisco, и настраивать её на работу с радио каналом. От части бред, т.к. есть точки и с 2мя машинами всего.

Опять же не ясно как выстраиваются туннели. ни логинов/паролей, ничего подобного нет. Да и туннель один есть интересный - ip одной машины в туннеле 10.172..., а ip другой - 19.172.... (именно 19.). Фиг знает как это работает.

Андрей писал(а):можжно и подвинуть до /20

ну а теперь ты мне объясни и за каким надо 4096 ипов для 40ка компов ? по 100 адресов на каждый комп нихреновый запасец

Андрей писал(а):По части остальных сетей - не знаю что предположить - ставиь cisco, и настраивать её на работу с радио каналом.

для того что бы предлагать финальную схему, нуна много чего выяснить, потом подумать и тока потом нарисовать, вообщем потратить немало времени
за "спасибо" на это, лично у меня, сейчас нет времени ибо кушать мне тоже хочется

а "быстрые" рекомндации, вот они:
должен быть центр, где стоит нормальное железо и к этому центру уже подключаются все остальные точки

Андрей писал(а):настройить что-то типа stp, если один канал падает, скажем оптика, то канал переключается на радио.

я бы запустил динамический протокол, например OSPF, который решит вопрос с переключениями при падении канала, т.к. в нем как раз заложен контроль состояния линков
и это будет правильнее чем протокол STP, который был создан в первую очередь для решения проблемы петель в ethernet сетях

Андрей писал(а):т.к. есть точки и с 2мя машинами всего.

поставить слабенький серват с радио сетевухой, FreeBSD дружит с подобными картами
либо поискать железный роутер (asus, linksys и т.п.), который может и по радио работать и туннели поддерживает

Андрей писал(а):Опять же не ясно как выстраиваются туннели. ни логинов/паролей, ничего подобного нет.

например IPIP туннель не требует ни логинов ни паролей, а тока наличие реальников на обеих сторонах

Андрей писал(а):Да и туннель один есть интересный - ip одной машины в туннеле 10.172..., а ip другой - 19.172.... (именно 19.). Фиг знает как это работает.

потому что это туннель, у него всегда всего два конца и трафик, если его пихнуть в туннель, всегда дойдет до другого его конца и пофиг что там за IP на другой стороне висит
у меня есть и такое:

Код: Выделить всё

tun191: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
        inet 1.1.1.1 --> 192.168.54.21 netmask 0xffffffff

Код: Выделить всё

tun232: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
        inet 8.8.8.8 --> 172.16.30.240 netmask 0xffffffff

и что ? ))

root писал(а):ну а теперь ты мне объясни и за каким надо 4096 ипов для 40ка компов ? по 100 адресов на каждый комп нихреновый запасец

Сейчас всего 200 - 250 рабочих станций. Планируется увеличение, на сколько - не говорят (может 10, а может и 1000). по этому и маска такая. Да и маска такая к тому, чтобы объединить текущую 10.56.0.0 (с изменением адреса у 40 машин на 192.168.1.0/20 ну или /18) в 192.168.1.0 (тут тоже маску подвину. )

дело конечно твое, но я все равно не понимаю твое стойкое желание загнать всех под одну маску

Андрей писал(а):Планируется увеличение, на сколько - не говорят (может 10, а может и 1000)

и что ? ну сделаешь ещё одну подсеть /24, потому ещё одну и т.д.
в чем проблема ? пусть подсети общаются между собой по роутингу, делов то

Андрей писал(а):чтобы объединить текущую 10.56.0.0

а какой глубокий смысл объединения ?

как ты потом собираешся через туннели объединять сети с одной маской ?

root писал(а):как ты потом собираешся через туннели объединять сети с одной маской ?

Не подумал.

root писал(а):в чем проблема ? пусть подсети общаются между собой по роутингу, делов то

Хотел сети, соединенные по оптике, выпускать через единый прокси.
Вопрос в том, как сделать. К примеру, у клиента настройки сетевой карты: 192.168.2.2/24, gw 192.168.2.1 (ip ve vlan). Адрес прокси 192.168.1.1.

Как заставить выходить клиента через прокси, точнее чтобы он с гейта вилана попадал в прокси?

Андрей писал(а):Как заставить выходить клиента через прокси, точнее чтобы он с гейта вилана попадал в прокси?

"гейт вилана" - честно говоря нифига не понимаю комбинацию этих слов. По отдельности - не вопрос, а вот вместе - не могу осилить. Соотв, не знаю, что и посоветовать.

Андрей писал(а):Как заставить выходить клиента через прокси, точнее чтобы он с гейта вилана попадал в прокси?

что значит как ?
192.168.2.2 должен видеть 192.168.1.1 по роутингу, если конечно у тя все будет верно настроено

root писал(а):192.168.2.2 должен видеть 192.168.1.1 по роутингу, если конечно у тя все будет верно настроено

Попробую перефразировать.
Гейтом для клиента является ve его vlan'а. Т.к. 192.168.1.1 - уже другая сеть, то как задать default gateway'ем 192.168.1.1 для клиента?

Сейчас так:
192.168.1.2/24 - ip и маска у клиента
192.168.1.1 - gw.

Клиент выходит в инет потому что за 192.168.1.1 (ip прокси) лежит, собственно инет.
Если 192.168.1.1 лежит в другой сети, то как быть, то как сделать, чтобы у клиента, при прописывании default gw сразу был инет на машине?