The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Связка циски и роутера"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Связка циски и роутера"  
Сообщение от Antti email on 30-Ноя-07, 17:02 
Простите если не туда пишу, но мне показалось, что эта та ветка...
Постанова следующая: есть клиентская сеть 192.168.58.0/24. Есть коммутатор с VLAN. Есть роутер на фряхе 6.2 с двумя сетевухами, умеющими VLAN. Есть циска провайдера с VLAN. На коммутаторе поднят VLAN9, на роутере с внутр. стороны тоже поднят VLAN9 с интерфейсом 192.168.58.9 и этот адрес прописан у всех клиентов сети 192.168.58.0 как шлюз по умолчанию. Далее на циске нарезаны 2 VLAN'а - VLAN100 и VLAN101 со след. подсетками - 10.0.30.0./30 и 10.0.40.0/30. На роутере с внешн. стороны также нарезаны два VLAN'а 100 и 101 с и-фейсами 10.0.30.2 и 10.0.40.2, на циске интерфейсы соответственно 10.0.30.1 и 10.0.40.1. Ну вроде все расписал, а теперь задача: требуется выпустить сеть 192.168.58.0/24 в инет через циску прова. С роутера и в ту и в другую сторону все видится и пингуется, а вот с клиента только 192.168.58.9 и дальше нифига....
пробовал и так...

Код: Выделить всё
${FwCMD} add divert natd log ip from 192.168.58.0/24 to any
${FwCMD} add fwd 10.0.40.1 log ip from 10.0.40.2 to any
${FwCMD} add divert natd log ip from any to 10.0.40.2


и так....

Код: Выделить всё
${FwCMD} add fwd 10.0.40.1 log ip from 192.168.58.0/24 to any


без толку....помогите разрулить, голову сломал...

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Связка циски и роутера"  
Сообщение от universite email(ok) on 01-Дек-07, 05:58 

Все неправильно.
Покажите на FreeBSD:
uname -a
netstat -rn
ifconfig -a
netstat -m

Какой IP или влан провайдера должен принимать сеть 192.168.58.0/24?

И что за модель киски стоит у прова?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Связка циски и роутера"  
Сообщение от Antti email on 01-Дек-07, 11:41 
>
>Все неправильно.

Я так и думал....Буду очень благодарен за помощь...

>Покажите на FreeBSD:
>uname -a
>netstat -rn
>ifconfig -a
>netstat -m

router# uname -a
FreeBSD router.nsystems.local 6.2-RELEASE FreeBSD 6.2-RELEASE #1: Thu Nov 22 11:57:30 MSK 2007     antti@router.nsystems.local:/usr/obj/usr/src/sys/ANTTI  i386

router# netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.0.40       UGS         0       45  vlan2
10.0.30/30         link#9             UC          0        0 vlan10
10.0.40/30         link#8             UC          0        0 vlan10
10.0.40.1          00:1c:f6:86:4f:f9  UHLW        1        6 vlan10   1025
10.0.40.2          00:1b:11:16:1e:cb  UHLW        1       12    lo0
10.10.10/24        link#3             UC          0        0    sk1
127.0.0.1          127.0.0.1          UH          0       44    lo0
192.168.0          link#6             UC          0        0  vlan2
192.168.0.1        00:19:5b:f5:5c:c1  UHLW        1        0  vlan2
192.168.0.15       00:0e:a6:c4:0c:fa  UHLW        1       60  vlan2   1194
192.168.0.40       00:0f:3d:34:89:87  UHLW        2        0  vlan2    970
192.168.50         link#5             UC          0        0  vlan1
192.168.50.10      00:17:9a:bf:95:f2  UHLW        1     2292  vlan1   1095
192.168.58         link#7             UC          0        0  vlan9
192.168.100        link#2             UC          0        0    sk0

router# ifconfig -a
vr0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> mtu 1500
        ether 00:18:f3:0b:1a:84
        media: Ethernet autoselect (none)
        status: no carrier
sk0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=b<RXCSUM,TXCSUM,VLAN_MTU>
        inet 192.168.100.100 netmask 0xffffff00 broadcast 192.168.100.255
        ether 00:1b:11:16:22:d7
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
sk1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=b<RXCSUM,TXCSUM,VLAN_MTU>
        inet 10.10.10.20 netmask 0xffffff00 broadcast 10.10.10.255
        ether 00:1b:11:16:1e:cb
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet 127.0.0.1 netmask 0xff000000
vlan1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 192.168.50.9 netmask 0xffffff00 broadcast 192.168.50.255
        ether 00:1b:11:16:22:d7
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
        vlan: 1 parent interface: sk0
vlan2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 192.168.0.6 netmask 0xffffff00 broadcast 192.168.0.255
        ether 00:1b:11:16:22:d7
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
        vlan: 2 parent interface: sk0
vlan9: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 192.168.58.9 netmask 0xffffff00 broadcast 192.168.58.255
        ether 00:1b:11:16:22:d7
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
        vlan: 9 parent interface: sk0
vlan100: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 10.0.40.2 netmask 0xfffffffc broadcast 10.0.40.3
        ether 00:1b:11:16:1e:cb
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
        vlan: 100 parent interface: sk1
vlan101: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 10.0.30.2 netmask 0xfffffffc broadcast 10.0.30.3
        ether 00:1b:11:16:1e:cb
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
        vlan: 101 parent interface: sk1

router# netstat -m
514/266/780 mbufs in use (current/cache/total)
512/134/646/15168 mbuf clusters in use (current/cache/total/max)
512/128 mbuf+clusters out of packet secondary zone in use (current/cache)
0/0/0/0 4k (page size) jumbo clusters in use (current/cache/total/max)
0/0/0/0 9k jumbo clusters in use (current/cache/total/max)
0/0/0/0 16k jumbo clusters in use (current/cache/total/max)
1152K/334K/1487K bytes allocated to network (current/cache/total)
0/0/0 requests for mbufs denied (mbufs/clusters/mbuf+clusters)
0/0/0 requests for jumbo clusters denied (4k/9k/16k)
0/5/4048 sfbufs in use (current/peak/max)
0 requests for sfbufs denied
0 requests for sfbufs delayed
0 requests for I/O initiated by sendfile
0 calls to protocol drain routines

>Какой IP или влан провайдера должен принимать сеть 192.168.58.0/24?

10.0.40.1 или VLAN100


>И что за модель киски стоит у прова?

Cisco 2821.

interface GigabitEthernet0/1.100
description "Test VLAN-100"
encapsulation dot1Q 100
ip address 10.0.40.1 255.255.255.252

interface GigabitEthernet0/1.101
description "Test VLAN-101"
encapsulation dot1Q 101
ip address 10.0.30.1 255.255.255.252


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Связка циски и роутера"  
Сообщение от universite email(ok) on 01-Дек-07, 13:13 

Делаем NAT для сети 192.168.58.0/24 и заворачиваем ее у себя на ip 10.0.40.2.
Потом меняем дефолтный шлюз  на 10.0.40.1:
route change default 10.0.40.1 или описываем шлюз в /etc/rc.conf


В качестве тюнинга ядра - советую увеличить MAXUSERS до 512.
Добавить в ядро NETGRAPH и делаем ng_nat.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Связка циски и роутера"  
Сообщение от Antti email on 01-Дек-07, 14:17 
>
>Делаем NAT для сети 192.168.58.0/24 и заворачиваем ее у себя на ip
>10.0.40.2.
>Потом меняем дефолтный шлюз  на 10.0.40.1:
>route change default 10.0.40.1 или описываем шлюз в /etc/rc.conf
>

Это сейчас попробую, но дело в том, что я не стал усложнять описание, выводить таким образом надо гораздо больше подсетей - от 51 до 58, каждую в соотв. VLAN прова и дефолтный шлюз тут IMHO не подходит... потому и делал через fwd...

>В качестве тюнинга ядра - советую увеличить MAXUSERS до 512.
>Добавить в ядро NETGRAPH и делаем ng_nat.

а тут по подробнее чуть - для чего это ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Связка циски и роутера"  
Сообщение от Аноним on 01-Дек-07, 14:41 
>[оверквотинг удален]
>
>Это сейчас попробую, но дело в том, что я не стал усложнять
>описание, выводить таким образом надо гораздо больше подсетей - от 51
>до 58, каждую в соотв. VLAN прова и дефолтный шлюз тут
>IMHO не подходит... потому и делал через fwd...
>
>>В качестве тюнинга ядра - советую увеличить MAXUSERS до 512.
>>Добавить в ядро NETGRAPH и делаем ng_nat.
>
>а тут по подробнее чуть - для чего это ?

меня сильно злит, когда люди пишут про п00нт00олоны в этом форуме ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Связка циски и роутера"  
Сообщение от Antti email on 01-Дек-07, 16:24 
>>[оверквотинг удален]
>меня сильно злит, когда люди пишут про п00нт00олоны в этом форуме ...
>

Не надо злиться, скажи куда написать...И желательно без жаргонизмов, ни фига не понятно, от чего ты злишься....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Связка циски и роутера"  
Сообщение от universite email(ok) on 02-Дек-07, 00:28 
>меня сильно злит, когда люди пишут про п00нт00олоны в этом форуме ...
>

Васек, иди http://lleo.aha.ru/na/ , вытри сопли и продолжай копаться в своей песочнице!


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Связка циски и роутера"  
Сообщение от universite email(ok) on 02-Дек-07, 00:35 
>[оверквотинг удален]
>>Делаем NAT для сети 192.168.58.0/24 и заворачиваем ее у себя на ip
>>10.0.40.2.
>>Потом меняем дефолтный шлюз  на 10.0.40.1:
>>route change default 10.0.40.1 или описываем шлюз в /etc/rc.conf
>>
>
>Это сейчас попробую, но дело в том, что я не стал усложнять
>описание, выводить таким образом надо гораздо больше подсетей - от 51
>до 58, каждую в соотв. VLAN прова и дефолтный шлюз тут
>IMHO не подходит... потому и делал через fwd...

Рез у нас несколько шлюзов, тогда убираем IP с интерфейсов вланов и делаем bridging этих Вланов.
А провайдера просим на киске менять с 10.0.40.1 на 192.168.58.9.

Давайте вы все-таки подробно опишите техническую задачу.
Сколько сетей вам надо пробросить к провайдеру?
Они потом будут натиться для инета?
Или через провайдера просто объединяем несколько локалок?
IP сети точно серые? или ради безопасности вы не показываете реальники?
Нельзя ли клиентам по dhcp назначать сетевые настройки, чтоб легче было менять IP и шлюзы.


>>В качестве тюнинга ядра - советую увеличить MAXUSERS до 512.
>>Добавить в ядро NETGRAPH и делаем ng_nat.
>
>а тут по подробнее чуть - для чего это ?

Для повышении производительности, но пока мы не решили основной проблемы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Связка циски и роутера"  
Сообщение от Antti email on 02-Дек-07, 12:05 
>>[оверквотинг удален]
>Рез у нас несколько шлюзов, тогда убираем IP с интерфейсов вланов и
>делаем bridging этих Вланов.
>А провайдера просим на киске менять с 10.0.40.1 на 192.168.58.9.

Вот так можно попробовать, но не уверен в прове...Может и не согласиться...

>Давайте вы все-таки подробно опишите техническую задачу.
>Сколько сетей вам надо пробросить к провайдеру?

В данный момент надо кинуть 10 шт, как только получится, добавится еще 15... Большое здание бизнес-центра, каждая контора в своей подсетке...

>Они потом будут натиться для инета?

Да, натить надо, мне или прову, смотря какие адреса выдаст пров - серые или белые...

>Или через провайдера просто объединяем несколько локалок?

не-не...

>IP сети точно серые? или ради безопасности вы не показываете реальники?

Все IP реально серые, такие как указаны, просто для пробы нарезали пока 2 вилана...

>Нельзя ли клиентам по dhcp назначать сетевые настройки, чтоб легче было менять
>IP и шлюзы.

Так и делается собственно...Все компы подключены к 5ти коммутаторам dlink 3852 и через dhcp relay все получают адреса с одного сервака...

>>>В качестве тюнинга ядра - советую увеличить MAXUSERS до 512.
>>>Добавить в ядро NETGRAPH и делаем ng_nat.
>>
>>а тут по подробнее чуть - для чего это ?
>
>Для повышении производительности, но пока мы не решили основной проблемы.

хорошо, позднее...

вообщем нужно вывести все подсети к прову для раздачи инета, пров может либо оставить так, как уже нарезано и потом просто добавить виланов, либо дальше надо пробовать разговаривать, чтобы дали белые адреса, тогда самим придется натить... Хотелось бы роутер использовать в кач-ве пограничного шлюза с файером для более гибкого управления, потому что у контор часто возникают разл. пожелания к ограничению/фильтрации трафика и чтобы не дергать прова по каждому пустяку, ну и т.д. С другой стороны если пров даст белые адреса, ему не нужно будет ставить в циску доп.плату(или что там втыкают) для DMZ. Вообщем как тут лучше и красивее все это дело сделать...??

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Связка циски и роутера"  
Сообщение от universite email(ok) on 02-Дек-07, 12:44 

>вообщем нужно вывести все подсети к прову для раздачи инета, пров может
>либо оставить так, как уже нарезано и потом просто добавить виланов,
>либо дальше надо пробовать разговаривать, чтобы дали белые адреса, тогда самим
>придется натить... Хотелось бы роутер использовать в кач-ве пограничного шлюза с
>файером для более гибкого управления, потому что у контор часто возникают
>разл. пожелания к ограничению/фильтрации трафика и чтобы не дергать прова по
>каждому пустяку, ну и т.д. С другой стороны если пров даст
>белые адреса, ему не нужно будет ставить в циску доп.плату(или что
>там втыкают) для DMZ. Вообщем как тут лучше и красивее все
>это дело сделать...??

Провайдер должен вам организовать соединение типа точка-точка на белых IP.
IP1 - это шлюз провайдера, он его у себя держит.
IP2 - этот ip цепляем на FreeBSD
Потом провайдер выделает блок белых адресов и прописывает у себя роут:
ip route net_block net_mask IP2

Теперь вы можете этот блоком самостоятельно распоряжаться - либо побить на несколько частей, либо оставить как есть.
Теперь у вас будет возможность самостоятельно раздавать эти IP клиентам по pppoe или через VPN.

И не надо арендовать провайдерскую киску и теперь можно весь траффик контролировать, играться с шейперами и лимитами.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Связка циски и роутера"  
Сообщение от universite email(ok) on 02-Дек-07, 00:48 
>Код: Выделить всё
>${FwCMD} add divert natd log ip from 192.168.58.0/24 to any
>${FwCMD} add fwd 10.0.40.1 log ip from 10.0.40.2 to any
>${FwCMD} add divert natd log ip from any to 10.0.40.2
>
>
>и так....
>
>Код: Выделить всё
>${FwCMD} add fwd 10.0.40.1 log ip from 192.168.58.0/24 to any

Форвардингом не удасться принимать пакеты от провайдера.
Скорее всего придется делать PBR (Policy Based Routing) с помощью pf
http://www.lissyara.su/?id=1276

А возможно ли использовать дополнительный функционал 2821? route, nat...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Связка циски и роутера"  
Сообщение от Antti email on 02-Дек-07, 12:15 
>Форвардингом не удасться принимать пакеты от провайдера.

так вот же статья - http://ipfw.ism.kiev.ua/pbr.html - это не просто форвардинг, это как раз PBR или я не допонял чего то? Но вот как раз по статье и не работает...
А вот глупый вопрос: а нат умеет из серого в серый адрес натить или нет ? Или ему все равно ? Может в этом проблема ?

>Скорее всего придется делать PBR (Policy Based Routing) с помощью pf
>http://www.lissyara.su/?id=1276

Да, это видел, но хотел до конца понять, почему с ipfw не получается...

>А возможно ли использовать дополнительный функционал 2821? route, nat...

возможно, натится уже щас да и роутится тоже...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Связка циски и роутера"  
Сообщение от universite email(ok) on 02-Дек-07, 12:39 
>>Форвардингом не удасться принимать пакеты от провайдера.
>
>так вот же статья - http://ipfw.ism.kiev.ua/pbr.html - это не просто форвардинг, это
>как раз PBR или я не допонял чего то? Но вот
>как раз по статье и не работает...
>А вот глупый вопрос: а нат умеет из серого в серый адрес
>натить или нет ? Или ему все равно ? Может в
>этом проблема ?

NAT'ть можно все равно какие адреса.

>
>>Скорее всего придется делать PBR (Policy Based Routing) с помощью pf
>>http://www.lissyara.su/?id=1276
>
>Да, это видел, но хотел до конца понять, почему с ipfw не
>получается...

Иногда требуется с конкретного интерфейса отвечать, а FrrBSВ посылает пакеты с дефолтного шлюза.


>>А возможно ли использовать дополнительный функционал 2821? route, nat...
>
>возможно, натится уже щас да и роутится тоже...

Имхо, до на киске добавить:

ip route 192.168.58.9 255.255.255.0 192.168.58.9

И так описать все ваши подсетки


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Связка циски и роутера"  
Сообщение от Antti email on 02-Дек-07, 12:47 
>Имхо, до на киске добавить:
>ip route 192.168.58.9 255.255.255.0 192.168.58.9
>И так описать все ваши подсетки

Я правильно понял Вас - поднимаю на роутере PF и прошу прова прописать на киске
то, что выше, да ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Связка циски и роутера"  
Сообщение от universite email(ok) on 02-Дек-07, 13:05 
>>Имхо, до на киске добавить:
>>ip route 192.168.58.9 255.255.255.0 192.168.58.9
>>И так описать все ваши подсетки
>
>Я правильно понял Вас - поднимаю на роутере PF и прошу прова
>прописать на киске
>то, что выше, да ?

Нет, pf тут не при чем.
Просто, когда внутри несколько серых сетей, желательно описать все роуты к ним.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Связка циски и роутера"  
Сообщение от Antti on 11-Дек-07, 01:54 
Продолжение...Пров выдал белые подсети (82.xx.xx.24/29), я поставил PF и все равно какая то засада...
вот pf.conf:
nat on vlan100 inet from 192.168.58.0/24 to any -> vlan100
pass out route-to (vlan100 82.xx.xx.25) inet from 82.xx.xx.26 to any
pass log all

и в результате не работает...:-( Если default маршрут прописать defaultrouter="82.xx.xx.26" клиент 192.168.58.53 прекрасно ходит в инет, т.е. нат работает и все хорошо, как только default ставлю другой и с клиента пускаю -  

Трассировка маршрута к ya.ru [213.180.204.8]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  192.168.58.9
  2  192.168.58.9  сообщает: Заданный узел недоступен.

Трассировка завершена.

По правилу route-to в статистике ни одного пакета не проходит...
В какую сторону мне копать ?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру