The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Правильно построение сети. proxy-cisco2801-комутатор, !*! alkaid, 22-Фев-12, 14:27  [смотреть все]
Здравствуйте, помогите советов.
Цель такая: построить сеть состоящую из прокси сервера, нескольких виланов и маршрутизатора, с возможностью шейпить трафик на виланах.

Имеется сервер с User-Gate, маршрутизатор 2801, и пару свичей HP Procurve 2524.

схема такая:

Интренет => Сервер => 2801 => HP Curva => users

На сервере ip Inside 10.10.0.1
На 2801    ip FA 0/0 10.10.0.2
              FA 0/1 10.10.1.1 на этом интерфейсе создал пару виланов
              FA 0/1.2 10.10.2.1 и так далее

Ядром сети будет 2801. Нужно чтобы был доступ с сети 10.10.2.0 на шлюз прокси 10.10.0.1 У меня это пока не получается.

Вот конфиг с 2801
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
no logging buffered
!
no aaa new-model
no ip cef!
!
ip dhcp use vrf connected
ip dhcp excluded-address 10.10.2.1
!
ip dhcp pool lan
   network 10.10.2.0 255.255.255.0
   domain-name lan.network
   default-router 10.10.2.1!
!
interface FastEthernet0/0
ip address 10.10.0.2 255.255.255.0
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
ip address 10.10.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1.2
encapsulation dot1Q 2
ip address 10.10.2.1 255.255.255.0
  rate-limit input 256000 8000 16000 conform-action continue exceed-action drop
  rate-limit output 128000 8000 16000 conform-action continue exceed-action drop
!
ip route 0.0.0.0 0.0.0.0 10.10.0.1
!
ip http server
ip http authentication local
!
access-list 1 permit 10.10.2.0 0.0.0.255
!
control-plane
!
end

На курве создал VLAN 2 поставил на порт в который идёт линк от 2801 taget
из сети 10.10.2.0 пинги идут на 10.10.2.1 и 10.10.0.2  на 10.10.0.1 не идут. Может подскажите в чём ошибка? Спасибо заранее.  

Ответить | Сообщить модератору
  • Правильно построение сети. proxy-cisco2801-комутатор, !*! AlexDv, 17:26 , 22-Фев-12 (1)
    > Здравствуйте, помогите советов.
    > Цель такая: построить сеть состоящую из прокси сервера, нескольких виланов и маршрутизатора,
    > с возможностью шейпить трафик на виланах.
    > Имеется сервер с User-Gate, маршрутизатор 2801, и пару свичей HP Procurve 2524.
    > схема такая:
    > Интренет => Сервер => 2801 => HP Curva => users
    > На сервере ip Inside 10.10.0.1
    > На 2801    ip FA 0/0 10.10.0.2
    >            

    [skipped]

    > На курве создал VLAN 2 поставил на порт в который идёт линк
    > от 2801 taget
    > из сети 10.10.2.0 пинги идут на 10.10.2.1 и 10.10.0.2  на 10.10.0.1
    > не идут. Может подскажите в чём ошибка? Спасибо заранее.

    А у 10.10.0.1 есть роут в сеть 10.10.2.0 ? Видимо нет.

    Ответить | Сообщить модератору
    • Правильно построение сети. proxy-cisco2801-комутатор, !*! alkaid, 12:13 , 23-Фев-12 (2)
      > А у 10.10.0.1 есть роут в сеть 10.10.2.0 ? Видимо нет.

      Добавил ip route 10.10.2.0 255.255.255.0 FastEthernet 0/01.2

      Вроде бы работает, но на Убунту, и доступ в интернет от прокси сервера получает.А вот на Винде(XP,Seven) нифига, даже не пингуется.  

      Ответить | Сообщить модератору
      • Правильно построение сети. proxy-cisco2801-комутатор, !*! Dima, 13:30 , 23-Фев-12 (3)
        >> А у 10.10.0.1 есть роут в сеть 10.10.2.0 ? Видимо нет.
        > Добавил ip route 10.10.2.0 255.255.255.0 FastEthernet 0/01.2
        > Вроде бы работает, но на Убунту, и доступ в интернет от прокси
        > сервера получает.А вот на Винде(XP,Seven) нифига, даже не пингуется.

        Зачем делать огород из лишних хопов.
        хочется использовать прокси ?

        делайте это через WSSP на циске, а ее ставьте как центральный рутер в инет.

        настраивайте НАТ и сетевой экран на циске.


        Д.

        Ответить | Сообщить модератору
        • Правильно построение сети. proxy-cisco2801-комутатор, !*! alkaid, 14:13 , 23-Фев-12 (4)
          > Зачем делать огород из лишних хопов.
          > хочется использовать прокси ?
          > делайте это через WSSP на циске, а ее ставьте как центральный рутер
          > в инет.
          > настраивайте НАТ и сетевой экран на циске.
          > Д.

          В том то и дело что нужен прокси, с дружественным интерфейсом (статистика, ограничения и т.д.) Вот и думаю как правильно построить сеть. Исходя из этих запросов.

          WSSP - что это? гугл не помог (((

          Ответить | Сообщить модератору
          • Правильно построение сети. proxy-cisco2801-комутатор, !*! Dima, 14:25 , 23-Фев-12 (5)
            >> Зачем делать огород из лишних хопов.
            >> хочется использовать прокси ?
            >> делайте это через WSSP на циске, а ее ставьте как центральный рутер
            >> в инет.
            >> настраивайте НАТ и сетевой экран на циске.
            >> Д.
            > В том то и дело что нужен прокси, с дружественным интерфейсом (статистика,
            > ограничения и т.д.) Вот и думаю как правильно построить сеть. Исходя
            > из этих запросов.
            > WSSP - что это? гугл не помог (((

            сори, в вел заблуждение, это опечатка.
            Технология называется WCCP, она позволяет трафик WEB перекидывать на прокси сервера, коих может быть много.
            далее уже работает ваша статистика и ограничения трафика на проксе сервере (SQUID).

            Основной трафик, проходящий через роутер в хорошо собирается через NetFlow на какой-нибудь коллектор.

            Д.

            Ответить | Сообщить модератору
            • Правильно построение сети. proxy-cisco2801-комутатор, !*! alkaid, 15:02 , 23-Фев-12 (6)
              > сори, в вел заблуждение, это опечатка.
              > Технология называется WCCP, она позволяет трафик WEB перекидывать на прокси сервера, коих
              > может быть много.
              > далее уже работает ваша статистика и ограничения трафика на проксе сервере (SQUID).
              > Основной трафик, проходящий через роутер в хорошо собирается через NetFlow на какой-нибудь коллектор.
              > Д.

              ааа, про это я читал. Но прокся на линуксе.
              А моя схема вообще никакая? или всё таки есть надежда, грамотно построить сеть?

              Ответить | Сообщить модератору
              • Правильно построение сети. proxy-cisco2801-комутатор, !*! Dima, 19:44 , 23-Фев-12 (8)
                >> сори, в вел заблуждение, это опечатка.
                >> Технология называется WCCP, она позволяет трафик WEB перекидывать на прокси сервера, коих
                >> может быть много.
                >> далее уже работает ваша статистика и ограничения трафика на проксе сервере (SQUID).
                >> Основной трафик, проходящий через роутер в хорошо собирается через NetFlow на какой-нибудь коллектор.
                >> Д.
                > ааа, про это я читал. Но прокся на линуксе.
                > А моя схема вообще никакая? или всё таки есть надежда, грамотно построить
                > сеть?

                с моей точки зрения она бесталковая.
                имея хорошую железку в качестве рутера, с кучей фич на борту ИОСа, и не пользоваться этим добром :)

                можно тут что-то из полезного почитать про организацию связки SQUID-Cisco-WCCP
                http://forum.lissyara.su/viewtopic.php?f=48&t=5208


                в любом случае ваша схема тоже имеет жизнь, так что дерзайте, настраивайте читайте главное не останавливаться.

                Д.

                Ответить | Сообщить модератору
      • Правильно построение сети. proxy-cisco2801-комутатор, !*! AlexDv, 19:24 , 23-Фев-12 (7)
        >> А у 10.10.0.1 есть роут в сеть 10.10.2.0 ? Видимо нет.
        > Добавил ip route 10.10.2.0 255.255.255.0 FastEthernet 0/01.2

        На Циске?
        Уберите, а добавьте на хосте 10.10.0.1

        > Вроде бы работает, но на Убунту, и доступ в интернет от прокси
        > сервера получает.А вот на Винде(XP,Seven) нифига, даже не пингуется.

        Ответить | Сообщить модератору
        • Правильно построение сети. proxy-cisco2801-комутатор, !*! alkaid, 08:52 , 24-Фев-12 (9)
          >>> А у 10.10.0.1 есть роут в сеть 10.10.2.0 ? Видимо нет.
          >> Добавил ip route 10.10.2.0 255.255.255.0 FastEthernet 0/1.2
          > На Циске?
          > Уберите, а добавьте на хосте 10.10.0.1

          Убрал, на хосте (Win2008) добавил route add 10.10.2.0 255.255.255.0 10.10.0.2 -p

          В голове уже каша. борюсь дальше.


          Ответить | Сообщить модератору
          • Правильно построение сети. proxy-cisco2801-комутатор, !*! alkaid, 09:31 , 24-Фев-12 (10)
            >>>> А у 10.10.0.1 есть роут в сеть 10.10.2.0 ? Видимо нет.
            >>> Добавил ip route 10.10.2.0 255.255.255.0 FastEthernet 0/1.2
            >> На Циске?
            >> Уберите, а добавьте на хосте 10.10.0.1
            > Убрал, на хосте (Win2008) добавил route add 10.10.2.0 255.255.255.0 10.10.0.2 -p
            > В голове уже каша. борюсь дальше. Да пока имею следующие результаты.

            на видовом хосте 10.10.2.2 работает, но недолго.От него, сеть 10.10.2.0, пинг идут на 10.10.2.1 т.е до циски стабильно.
            Пинг до 10.10.0.2 и 10.10.0.1 сначала идёт, как только интерфейс перезапуcтишь перестают.
            Из циски пинг на 10.10.2.2 тоже перстаёт идти.

            На убунту 10.10.2.2 пока вроде работает всё. доступ в интернет от прокси получает.  


            Ответить | Сообщить модератору
            • Правильно построение сети. proxy-cisco2801-комутатор, !*! AlexDv, 11:53 , 24-Фев-12 (14)
              >[оверквотинг удален]
              >>> На Циске?
              >>> Уберите, а добавьте на хосте 10.10.0.1
              >> Убрал, на хосте (Win2008) добавил route add 10.10.2.0 255.255.255.0 10.10.0.2 -p
              >> В голове уже каша. борюсь дальше. Да пока имею следующие результаты.
              > на видовом хосте 10.10.2.2 работает, но недолго.От него, сеть 10.10.2.0, пинг идут
              > на 10.10.2.1 т.е до циски стабильно.
              > Пинг до 10.10.0.2 и 10.10.0.1 сначала идёт, как только интерфейс перезапуcтишь перестают.
              > Из циски пинг на 10.10.2.2 тоже перстаёт идти.
              > На убунту 10.10.2.2 пока вроде работает всё. доступ в интернет от прокси
              > получает.

              Отключите все лишние функции и проверьте сначала маршрутизацию, а потом уже остальное.


              Ответить | Сообщить модератору
  • Правильно построение сети. proxy-cisco2801-комутатор, !*! kopic, 09:40 , 24-Фев-12 (11)
    Ох и огород нагородили. Делайте вот так:


                      сервер
                        ^
                        |
    Интренет => 2801 => HP Curva => users

    В этой схеме сервер имеет выход в интернет а юзеры через него.
    Либо как вариант вот так:


                                                сервер
                                                  ^<=access=>
                                                  |
    Интренет => 2801 <=trunk=> HP Curva <=access=> users

    Ответить | Сообщить модератору
    • Правильно построение сети. proxy-cisco2801-комутатор, !*! alkaid, 10:09 , 24-Фев-12 (12)
      > Ох и огород нагородили. Делайте вот так:
      >            сервер
      >              ^
      >              |
      > Интренет => 2801 => HP Curva => users
      > В этой схеме сервер имеет выход в интернет а юзеры через него.

      Если два человека считают что моя схема огород, то значит я огородник.

      Хорошо, схема номер один, работает так? Пакет от юзера идёт на курву в свой вилан, от неё на свой подинтерфейс 2801. далее ,циска пакет перенаправляет на внутренний интерфейс сервера, на севрере проходит авторизация и пакет юзера, через нат, идёт на внешний интерфейс сервера. От севрера на циску, и наконец в циске на внешку в инет. Правильно

      Ответить | Сообщить модератору
      • Правильно построение сети. proxy-cisco2801-комутатор, !*! kopic, 11:36 , 24-Фев-12 (13)
        Не совсем.
        На прокси сервере тоже 1 интерфейса хватит (как на рабочей станции).

        И коли цыска 2801 - то на ней в базе всего 2 интерфейса и подходит только схема 2.
        Трафик будет идти так:
        1) от юзера на курву потом на роутер.
        2) от роутера на прокси сервер.
        3) от прокси сервера снова на роутерю
        4) НАТ на роутере
        5) Выход в инет.

        Обратно в обратном порядке.
        с WCCP правильно сказали, ибо тут совсем все просто будет.
        1) пакет от юзера идет на роутер, потом роутер сам смотрит на прокси, делает нат и отправляет в инет.

        Ответить | Сообщить модератору
        • Правильно построение сети. proxy-cisco2801-комутатор, !*! alkaid, 12:45 , 24-Фев-12 (15)
          >[оверквотинг удален]
          > Трафик будет идти так:
          > 1) от юзера на курву потом на роутер.
          > 2) от роутера на прокси сервер.
          > 3) от прокси сервера снова на роутерю
          > 4) НАТ на роутере
          > 5) Выход в инет.
          > Обратно в обратном порядке.
          > с WCCP правильно сказали, ибо тут совсем все просто будет.
          > 1) пакет от юзера идет на роутер, потом роутер сам смотрит на
          > прокси, делает нат и отправляет в инет.

          WCCP работает только с SQWID, а у меня юзергейт лицензия. Так что нужно как то вокруг него своять сеть.

          Ответить | Сообщить модератору
  • Правильно построение сети. proxy-cisco2801-комутатор, !*! alkaid, 08:00 , 29-Фев-12 (20)
    Разобрался я почему отваливался инет. Оказалось всё просто, на курве айпишник вилану присвоил такой же как и на подинтерфейсе циски.
    Дня три тестирую свою огородную схему. Пока работает. Но вот ограничения установленные на проксе не работают. В частности запрет на посещение определённых ресурсов. Знаю что дело в циске.
    Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру