The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Дизайн сети (где сделать ДМЗ), !*! Саша, 12-Мрт-15, 17:29  [смотреть все]
Здравствуйте. Прошу подсказать как(где) лучше сделать DMZ в сети или ткнуть в мануал(место) где можно почитать.
Что есть сейчас: два офиса в них стэки 3750, соединены между собой двумя L2 каналами с маршрутизацией на OSPF. В одном офисе к стеку прицеплена 2851 для выхода в инет. Она натит наружу и внутрь. У 2851 интерфейсы:
- который смотрит на 3750
- в инет1
- в инет2
- DMZ
компы сидящие в DMZ имеют приватные адреса и для доступа к их сервисам снаружи работают команды вида
ip nat inside source static tcp 172.31.1.х 80 у.у.у.у 80 extendable
планировал избавиться от проблем в случае падения 2851: установить второй маршрутизатор во втором офисе и переместить туда одного инет провайдера. после этого каждый маршрутизатор будет в OSPF объявлять маршрут по умолчанию со своей метрикой (расстоянием). И в случае падения маршрутизатора или прова выход в инет не пропадет для обоих офисов. Но что делать с ДМЗ, которая прицеплена к одному маршрутизатору? В случае его падения ДМЗ сервисы отвалятся, а некоторые из них критичные. Заранее спасибо.
Ответить | Сообщить модератору
  • Дизайн сети (где сделать ДМЗ), !*! anonymous, 21:32 , 12-Мрт-15 (1)
    Если пофантазировать, то например так.

    Интерфейсы серваков с интерфейсами роутеров в одном влане, поменять нат в дмз на ip nat source outside. Чтобы при падении местного роутера юзеры начали натиться через адрес другого.

    Ответить | Сообщить модератору
    • Дизайн сети (где сделать ДМЗ), !*! Саша, 10:16 , 13-Мрт-15 (2)
      > Если пофантазировать, то например так.
      > Интерфейсы серваков с интерфейсами роутеров в одном влане, поменять нат в дмз
      > на ip nat source outside. Чтобы при падении местного роутера юзеры
      > начали натиться через адрес другого.

      Не очень понятно. Рутеры будут находится в разных сайтах и соединены третьим уровнем. Просто так рутеры в один влан не завести. Была мысль сделать влан для ДМЗ на одном из стеков. И тогда рутеры будут пробрасывать коннекты снаружи в этот влан. Но возникает вопрос с фаерволом. Стэки являются помесью distribution и core уровня. Я считал что аксесс листы на них не вешаются. Да и на каталистах не все получается как на маршрутизаторах. у меня например не получилось использовать object-group. А тут придется in аксесс лист на ДМЗ интерфейсе переносить с рутера на коммутатор. И это кажется неправильным.

      Ответить | Сообщить модератору
      • Дизайн сети (где сделать ДМЗ), !*! anonymous, 13:42 , 13-Мрт-15 (3)
        > Не очень понятно. Рутеры будут находится в разных сайтах и соединены третьим
        > уровнем.

        Т.е. канал L2, но его завели в роутеры, или провайдер не даёт возможность пропуска своих вланов?


        Я не про то, что коммутаторы должны участвовать в третьем уровне общего влана, в котором должны быть интерфейсы роутеров и серваки.
        Я про то, что раз вам нужно натить при обращении к сервакам в дмз, то лучше переделать на ip nat source outside, чтобы при отказе одного из роутеров обращения к сервакам начали попадать со второго роутера.

        Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру