Виталий Туровец wrote:
> Ну, я рекомендую edge router-on-a-stick + core L3 switch.
> Из личной практики, такое решение себя оправдывает.
Охотно верю, спасибо за совет. Если что-то пойдет наперекосяк, - пойду
этим путем.
Просто пока мне кажется, что высокие слова ("core", "edge") для сетки из
300 машин - излишнее усложнение концепции. Хотя не исключаю, что это
недостаток опыта.> 2012/2/21 Constantin Stefanov <[email protected]>: >> Виталий Туровец wrote: >>> Разница в твоем случае, что аппаратная железка и так будет делать свое >>> дело - принимать тонны броадкастов всяких, непосредственно роутить >>> сетки между собой. PC будет задйствован только в случае необходимости >>> в выходе в инет. >> В моей схеме он задействован на выходе в инет только для private >> адресов, где без nat никак, а public адреса ходят напрямую. >> >>> Да и вообще, если исходить из твоей логики, то FreeBSD тут не нужна :) >> Если б мой свитч умел NAT, то я бы обошелся. А так - увы, кто-то нужен. >> Ну можно linux поставить. >> >>> >>> 21 февраля 2012 г. 13:52 пользователь Constantin Stefanov >>> <[email protected]> написал: >>>> Виталий Туровец wrote: >>>>> Знаешь разницу между edge и core? (не путать с edgecore :) ) >>>> Точно не знаю. Но какая тут разница? Зачем навешивать на PC то, что >>>> спец. железка делает лучше? >>>> >>>>> 21 февраля 2012 г. 13:35 пользователь Constantin Stefanov >>>>> <[email protected]> написал: >>>>>> Виталий Туровец wrote: >>>>>>>> x.x.x - внутренняя public сеть (/24), x.x.y - стык с провайдером (/31). >>>>>>> /31 ? o_0 >>>>>> А что такого? С 9.0 это уже и FreeBSD научилась. >>>>>> >>>>>>> Если говорить примерно, и быстро, то адрес, который для ната выделен, >>>>>>> заводишь на freebsd, провайдерский линк по 802.1q прокидываешь на таз >>>>>>> (я думаю, L3 свичи еще не разучились L2 :)), LAN так же прокидываешь. >>>>>>> L3 GW IP для лана заводишь на свиче, делаешь соотвествующие роуты на >>>>>>> свиче и на фре. То есть смещаешь border gateway node на таз, переоходя >>>>>>> к схеме router-on-the-stick. Ну, а имея 2 интерфейса типа WAN/LAN, >>>>>>> думаю, несложно правилами файрвола определить, кого натить, а кого - >>>>>>> роутить :) >>>>>> Если переносить border gateway на PC, то вопросов нет, но тогда зачем >>>>>> L3-свитч. Мне-то хотелось сделать схему, при которой PC задействован >>>>>> только там, где он реально нужен - для NAT, а весь остальной трафик (от >>>>>> public-адресов и внутри LAN между public и private) ходит мимо PC, и не >>>>>> страдает, если в PC что-то ляжет, ну и нагрузку на PC не дает. >>>>>> >>>>>>> 21 февраля 2012 г. 12:36 пользователь Constantin Stefanov >>>>>>> <[email protected]> написал: >>>>>>>> Виталий Туровец wrote: >>>>>>>>> А можно как-то поподробнее, с применением cat /etc/rc.conf |grep >>>>>>>>> ifconfig | sed -e 's/my.real.subnet/x.x.x/g' >>>>>>>>> Ну и какой-нибудь cut из show run на свиче. >>>>>>>> Да не вопрос: >>>>>>>> >>>>>>> >>>>>>>> >>>>>>>> rc.conf >>>>>>>> ifconfig_em0="inet x.x.x.5/24 up" >>>>>>>> ifconfig_em0_alias0="inet x.x.x.16/32 up" >>>>>>>> >>>>>>>> .5 - родной адрес для тазика, .16 выделен для nat. >>>>>>>> >>>>>>>> На свитче vlan1 смотрит внутрь сети, vlan3 - в стык к провайдеру. >>>>>>>> >>>>>>>> sh run >>>>>>>> interface Vlan1 >>>>>>>> ip address 192.168.254.1 255.255.255.0 secondary >>>>>>>> ip address 192.168.255.1 255.255.255.0 secondary >>>>>>>> ip address x.x.x.1 255.255.255.0 >>>>>>>> no ip proxy-arp >>>>>>>> ip route-cache same-interface >>>>>>>> ip route-cache policy >>>>>>>> ip policy route-map GREY_TO_NAT >>>>>>>> ! >>>>>>>> interface Vlan3 >>>>>>>> ip address x.x.y.9 255.255.255.254 >>>>>>>> no ip proxy-arp >>>>>>>> ! >>>>>>>> ip route 0.0.0.0 0.0.0.0 x.x.y.8 >>>>>>>> ! >>>>>>>> ip access-list extended GREY_TO_GREY >>>>>>>> permit ip 192.168.254.0 0.0.1.255 192.168.254.0 0.0.1.255 >>>>>>>> ip access-list extended GREY_TO_ME >>>>>>>> permit ip 192.168.254.0 0.0.1.255 host x.x.y.9 >>>>>>>> ip access-list extended GREY_TO_WHITE >>>>>>>> permit ip 192.168.254.0 0.0.1.255 x.x.x.0 0.0.0.255 >>>>>>>> ip access-list extended GREY_TO_WORLD >>>>>>>> permit ip 192.168.254.0 0.0.1.255 any >>>>>>>> ! >>>>>>>> route-map GREY_TO_NAT permit 10 >>>>>>>> match ip address GREY_TO_WHITE GREY_TO_GREY GREY_TO_ME >>>>>>>> ! >>>>>>>> route-map GREY_TO_NAT permit 20 >>>>>>>> match ip address GREY_TO_WORLD >>>>>>>> set ip next-hop x.x.x.5 >>>>>>>> >>>>>>>> >>>>>>>> -- >>>>>>>> Константин Стефанов >>>>>>>> >>>>>>>> Эрос псевдоним взял Порнос >>>>>>> >>>>>>> >>>>>>> >>>>>> >>>>>> -- >>>>>> Константин Стефанов >>>>>> >>>>>> Она воздушна, типа, как поцелуй, а я воздушен, как десант >>>>> >>>>> >>>>> >>>> >>>> -- >>>> Константин Стефанов >>>> >>>> Как говорят хорошие танцоры, одно другому не мешает. >>> >>> >>> >> >> -- >> Константин Стефанов >> >> Настало время Бодуна - расплаты за грехи. > > > -- Константин Стефанов Но по мне всего отвратней, что водку делают из нефти
