форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение		[ Отслеживать ]

"Дизайн сети (где сделать ДМЗ)"	+/–
Сообщение от Саша (??) on 12-Мрт-15, 17:29
Здравствуйте. Прошу подсказать как(где) лучше сделать DMZ в сети или ткнуть в мануал(место) где можно почитать. Что есть сейчас: два офиса в них стэки 3750, соединены между собой двумя L2 каналами с маршрутизацией на OSPF. В одном офисе к стеку прицеплена 2851 для выхода в инет. Она натит наружу и внутрь. У 2851 интерфейсы: - который смотрит на 3750 - в инет1 - в инет2 - DMZ компы сидящие в DMZ имеют приватные адреса и для доступа к их сервисам снаружи работают команды вида ip nat inside source static tcp 172.31.1.х 80 у.у.у.у 80 extendable планировал избавиться от проблем в случае падения 2851: установить второй маршрутизатор во втором офисе и переместить туда одного инет провайдера. после этого каждый маршрутизатор будет в OSPF объявлять маршрут по умолчанию со своей метрикой (расстоянием). И в случае падения маршрутизатора или прова выход в инет не пропадет для обоих офисов. Но что делать с ДМЗ, которая прицеплена к одному маршрутизатору? В случае его падения ДМЗ сервисы отвалятся, а некоторые из них критичные. Заранее спасибо.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Дизайн сети (где сделать ДМЗ)"	+/–
Сообщение от anonymous (??) on 12-Мрт-15, 21:32
Если пофантазировать, то например так. Интерфейсы серваков с интерфейсами роутеров в одном влане, поменять нат в дмз на ip nat source outside. Чтобы при падении местного роутера юзеры начали натиться через адрес другого.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Дизайн сети (где сделать ДМЗ)"	+/–
	Сообщение от Саша (??) on 13-Мрт-15, 10:16
	> Если пофантазировать, то например так. > Интерфейсы серваков с интерфейсами роутеров в одном влане, поменять нат в дмз > на ip nat source outside. Чтобы при падении местного роутера юзеры > начали натиться через адрес другого. Не очень понятно. Рутеры будут находится в разных сайтах и соединены третьим уровнем. Просто так рутеры в один влан не завести. Была мысль сделать влан для ДМЗ на одном из стеков. И тогда рутеры будут пробрасывать коннекты снаружи в этот влан. Но возникает вопрос с фаерволом. Стэки являются помесью distribution и core уровня. Я считал что аксесс листы на них не вешаются. Да и на каталистах не все получается как на маршрутизаторах. у меня например не получилось использовать object-group. А тут придется in аксесс лист на ДМЗ интерфейсе переносить с рутера на коммутатор. И это кажется неправильным.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Дизайн сети (где сделать ДМЗ)"	+/–
	Сообщение от anonymous (??) on 13-Мрт-15, 13:42
	> Не очень понятно. Рутеры будут находится в разных сайтах и соединены третьим > уровнем. Т.е. канал L2, но его завели в роутеры, или провайдер не даёт возможность пропуска своих вланов? Я не про то, что коммутаторы должны участвовать в третьем уровне общего влана, в котором должны быть интерфейсы роутеров и серваки. Я про то, что раз вам нужно натить при обращении к сервакам в дмз, то лучше переделать на ip nat source outside, чтобы при отказе одного из роутеров обращения к сервакам начали попадать со второго роутера.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема