> x.x.x - внутренняя public сеть (/24), x.x.y - стык с провайдером (/31). /31 ? o_0 Если говорить примерно, и быстро, то адрес, который для ната выделен, заводишь на freebsd, провайдерский линк по 802.1q прокидываешь на таз (я думаю, L3 свичи еще не разучились L2 :)), LAN так же прокидываешь. L3 GW IP для лана заводишь на свиче, делаешь соотвествующие роуты на свиче и на фре. То есть смещаешь border gateway node на таз, переоходя к схеме router-on-the-stick. Ну, а имея 2 интерфейса типа WAN/LAN, думаю, несложно правилами файрвола определить, кого натить, а кого - роутить :)
21 февраля 2012 г. 12:36 пользователь Constantin Stefanov <[email protected]> написал: > Виталий Туровец wrote: >> А можно как-то поподробнее, с применением cat /etc/rc.conf |grep >> ifconfig | sed -e 's/my.real.subnet/x.x.x/g' >> Ну и какой-нибудь cut из show run на свиче. > Да не вопрос: > > > rc.conf > ifconfig_em0="inet x.x.x.5/24 up" > ifconfig_em0_alias0="inet x.x.x.16/32 up" > > .5 - родной адрес для тазика, .16 выделен для nat. > > На свитче vlan1 смотрит внутрь сети, vlan3 - в стык к провайдеру. > > sh run > interface Vlan1 > ip address 192.168.254.1 255.255.255.0 secondary > ip address 192.168.255.1 255.255.255.0 secondary > ip address x.x.x.1 255.255.255.0 > no ip proxy-arp > ip route-cache same-interface > ip route-cache policy > ip policy route-map GREY_TO_NAT > ! > interface Vlan3 > ip address x.x.y.9 255.255.255.254 > no ip proxy-arp > ! > ip route 0.0.0.0 0.0.0.0 x.x.y.8 > ! > ip access-list extended GREY_TO_GREY > permit ip 192.168.254.0 0.0.1.255 192.168.254.0 0.0.1.255 > ip access-list extended GREY_TO_ME > permit ip 192.168.254.0 0.0.1.255 host x.x.y.9 > ip access-list extended GREY_TO_WHITE > permit ip 192.168.254.0 0.0.1.255 x.x.x.0 0.0.0.255 > ip access-list extended GREY_TO_WORLD > permit ip 192.168.254.0 0.0.1.255 any > ! > route-map GREY_TO_NAT permit 10 > match ip address GREY_TO_WHITE GREY_TO_GREY GREY_TO_ME > ! > route-map GREY_TO_NAT permit 20 > match ip address GREY_TO_WORLD > set ip next-hop x.x.x.5 > > > -- > Константин Стефанов > > Эрос псевдоним взял Порнос -- ~~~ WBR, Vitaliy Turovets Systems Administrator Corebug.Net +38(093)265-70-55 CORE16-RIPE
