Ну, я рекомендую edge router-on-a-stick + core L3 switch. Из личной практики, такое решение себя оправдывает.
2012/2/21 Constantin Stefanov <[email protected]>: > Виталий Туровец wrote: >> Разница в твоем случае, что аппаратная железка и так будет делать свое >> дело - принимать тонны броадкастов всяких, непосредственно роутить >> сетки между собой. PC будет задйствован только в случае необходимости >> в выходе в инет. > В моей схеме он задействован на выходе в инет только для private > адресов, где без nat никак, а public адреса ходят напрямую. > >> Да и вообще, если исходить из твоей логики, то FreeBSD тут не нужна :) > Если б мой свитч умел NAT, то я бы обошелся. А так - увы, кто-то нужен. > Ну можно linux поставить. > >> >> 21 февраля 2012 г. 13:52 пользователь Constantin Stefanov >> <[email protected]> написал: >>> Виталий Туровец wrote: >>>> Знаешь разницу между edge и core? (не путать с edgecore :) ) >>> Точно не знаю. Но какая тут разница? Зачем навешивать на PC то, что >>> спец. железка делает лучше? >>> >>>> 21 февраля 2012 г. 13:35 пользователь Constantin Stefanov >>>> <[email protected]> написал: >>>>> Виталий Туровец wrote: >>>>>>> x.x.x - внутренняя public сеть (/24), x.x.y - стык с провайдером (/31). >>>>>> /31 ? o_0 >>>>> А что такого? С 9.0 это уже и FreeBSD научилась. >>>>> >>>>>> Если говорить примерно, и быстро, то адрес, который для ната выделен, >>>>>> заводишь на freebsd, провайдерский линк по 802.1q прокидываешь на таз >>>>>> (я думаю, L3 свичи еще не разучились L2 :)), LAN так же прокидываешь. >>>>>> L3 GW IP для лана заводишь на свиче, делаешь соотвествующие роуты на >>>>>> свиче и на фре. То есть смещаешь border gateway node на таз, переоходя >>>>>> к схеме router-on-the-stick. Ну, а имея 2 интерфейса типа WAN/LAN, >>>>>> думаю, несложно правилами файрвола определить, кого натить, а кого - >>>>>> роутить :) >>>>> Если переносить border gateway на PC, то вопросов нет, но тогда зачем >>>>> L3-свитч. Мне-то хотелось сделать схему, при которой PC задействован >>>>> только там, где он реально нужен - для NAT, а весь остальной трафик (от >>>>> public-адресов и внутри LAN между public и private) ходит мимо PC, и не >>>>> страдает, если в PC что-то ляжет, ну и нагрузку на PC не дает. >>>>> >>>>>> 21 февраля 2012 г. 12:36 пользователь Constantin Stefanov >>>>>> <[email protected]> написал: >>>>>>> Виталий Туровец wrote: >>>>>>>> А можно как-то поподробнее, с применением cat /etc/rc.conf |grep >>>>>>>> ifconfig | sed -e 's/my.real.subnet/x.x.x/g' >>>>>>>> Ну и какой-нибудь cut из show run на свиче. >>>>>>> Да не вопрос: >>>>>>> >>>>>> >>>>>>> >>>>>>> rc.conf >>>>>>> ifconfig_em0="inet x.x.x.5/24 up" >>>>>>> ifconfig_em0_alias0="inet x.x.x.16/32 up" >>>>>>> >>>>>>> .5 - родной адрес для тазика, .16 выделен для nat. >>>>>>> >>>>>>> На свитче vlan1 смотрит внутрь сети, vlan3 - в стык к провайдеру. >>>>>>> >>>>>>> sh run >>>>>>> interface Vlan1 >>>>>>> ip address 192.168.254.1 255.255.255.0 secondary >>>>>>> ip address 192.168.255.1 255.255.255.0 secondary >>>>>>> ip address x.x.x.1 255.255.255.0 >>>>>>> no ip proxy-arp >>>>>>> ip route-cache same-interface >>>>>>> ip route-cache policy >>>>>>> ip policy route-map GREY_TO_NAT >>>>>>> ! >>>>>>> interface Vlan3 >>>>>>> ip address x.x.y.9 255.255.255.254 >>>>>>> no ip proxy-arp >>>>>>> ! >>>>>>> ip route 0.0.0.0 0.0.0.0 x.x.y.8 >>>>>>> ! >>>>>>> ip access-list extended GREY_TO_GREY >>>>>>> permit ip 192.168.254.0 0.0.1.255 192.168.254.0 0.0.1.255 >>>>>>> ip access-list extended GREY_TO_ME >>>>>>> permit ip 192.168.254.0 0.0.1.255 host x.x.y.9 >>>>>>> ip access-list extended GREY_TO_WHITE >>>>>>> permit ip 192.168.254.0 0.0.1.255 x.x.x.0 0.0.0.255 >>>>>>> ip access-list extended GREY_TO_WORLD >>>>>>> permit ip 192.168.254.0 0.0.1.255 any >>>>>>> ! >>>>>>> route-map GREY_TO_NAT permit 10 >>>>>>> match ip address GREY_TO_WHITE GREY_TO_GREY GREY_TO_ME >>>>>>> ! >>>>>>> route-map GREY_TO_NAT permit 20 >>>>>>> match ip address GREY_TO_WORLD >>>>>>> set ip next-hop x.x.x.5 >>>>>>> >>>>>>> >>>>>>> -- >>>>>>> Константин Стефанов >>>>>>> >>>>>>> Эрос псевдоним взял Порнос >>>>>> >>>>>> >>>>>> >>>>> >>>>> -- >>>>> Константин Стефанов >>>>> >>>>> Она воздушна, типа, как поцелуй, а я воздушен, как десант >>>> >>>> >>>> >>> >>> -- >>> Константин Стефанов >>> >>> Как говорят хорошие танцоры, одно другому не мешает. >> >> >> > > -- > Константин Стефанов > > Настало время Бодуна - расплаты за грехи. -- ~~~ WBR, Vitaliy Turovets Systems Administrator Corebug.Net +38(093)265-70-55 CORE16-RIPE
