On Tue, Feb 21, 2012 at 02:29:09PM +0400, Constantin Stefanov wrote: > Slawa Olhovchenkov wrote: > > On Tue, Feb 21, 2012 at 11:36:43AM +0400, Constantin Stefanov wrote: > > > >> Виталий Туровец wrote: > >>> То ли лыжи не едут, то ли я... Ну ты понел(с). > >>> Что тебе мешает разбить твою private /23 на две /24 (one per vlan), > >>> создать оные сущности на гатавее с фрей и сделать что-типа > >>> nat on $worldif from x.x.1.0/24 to any -> public_ip > >>> Может, я ошибся, с работы внимательно осмотрю тред)) > >> Я пока не понимаю, как их по vlan побить. Они в одном физическом > >> проводе, это не изменить. > > > > а как ответы на отнатенные пакеты отправлять на тазик, если публичный > > адрес единственный и на L3 свиче -- разобрался? > Там единственный адрес, который из сети стыка с провайдером. А так есть > еще сетка публичных адресов, и один из них выделен для nat, так что > здесь вопросов нет. > Так что я не могу поставить тазик "параллельно" со свитчом. А выделить > адрес под нат - не вопрос.
разумеется можешь, в один vlan публичный адрес, причем на линке можно иметь приватные адреса, второй vlan -- LAN. а можно для дополнительного контроля и второй valn отдельный, тоже с приватными адресами (что бы мимо PBR на свиче никто не попал). и пакет замечательно пойдет из LAN на свич, по PBR в vlan2, NAT, уйдет по vlan1 и к провайдеру. в обратную сторону -- в обратном порядке.
