форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Cisco маршрутизаторы)
Изначальное сообщение		[ Отслеживать ]

"Правильно построение сети. proxy-cisco2801-комутатор"	+/–
Сообщение от alkaid (ok) on 22-Фев-12, 14:27
Здравствуйте, помогите советов. Цель такая: построить сеть состоящую из прокси сервера, нескольких виланов и маршрутизатора, с возможностью шейпить трафик на виланах. Имеется сервер с User-Gate, маршрутизатор 2801, и пару свичей HP Procurve 2524. схема такая: Интренет => Сервер => 2801 => HP Curva => users На сервере ip Inside 10.10.0.1 На 2801    ip FA 0/0 10.10.0.2               FA 0/1 10.10.1.1 на этом интерфейсе создал пару виланов               FA 0/1.2 10.10.2.1 и так далее Ядром сети будет 2801. Нужно чтобы был доступ с сети 10.10.2.0 на шлюз прокси 10.10.0.1 У меня это пока не получается. Вот конфиг с 2801 version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname router ! boot-start-marker boot-end-marker ! no logging buffered ! no aaa new-model no ip cef! ! ip dhcp use vrf connected ip dhcp excluded-address 10.10.2.1 ! ip dhcp pool lan    network 10.10.2.0 255.255.255.0    domain-name lan.network    default-router 10.10.2.1! ! interface FastEthernet0/0 ip address 10.10.0.2 255.255.255.0 duplex auto speed auto no cdp enable ! interface FastEthernet0/1 ip address 10.10.1.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1.2 encapsulation dot1Q 2 ip address 10.10.2.1 255.255.255.0   rate-limit input 256000 8000 16000 conform-action continue exceed-action drop   rate-limit output 128000 8000 16000 conform-action continue exceed-action drop ! ip route 0.0.0.0 0.0.0.0 10.10.0.1 ! ip http server ip http authentication local ! access-list 1 permit 10.10.2.0 0.0.0.255 ! control-plane ! end На курве создал VLAN 2 поставил на порт в который идёт линк от 2801 taget из сети 10.10.2.0 пинги идут на 10.10.2.1 и 10.10.0.2  на 10.10.0.1 не идут. Может подскажите в чём ошибка? Спасибо заранее.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Правильно построение сети. proxy-cisco2801-комутатор"	+/–
Сообщение от AlexDv (??) on 22-Фев-12, 17:26
> Здравствуйте, помогите советов. > Цель такая: построить сеть состоящую из прокси сервера, нескольких виланов и маршрутизатора, > с возможностью шейпить трафик на виланах. > Имеется сервер с User-Gate, маршрутизатор 2801, и пару свичей HP Procurve 2524. > схема такая: > Интренет => Сервер => 2801 => HP Curva => users > На сервере ip Inside 10.10.0.1 > На 2801    ip FA 0/0 10.10.0.2 >             [skipped] > На курве создал VLAN 2 поставил на порт в который идёт линк > от 2801 taget > из сети 10.10.2.0 пинги идут на 10.10.2.1 и 10.10.0.2  на 10.10.0.1 > не идут. Может подскажите в чём ошибка? Спасибо заранее. А у 10.10.0.1 есть роут в сеть 10.10.2.0 ? Видимо нет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Правильно построение сети. proxy-cisco2801-комутатор"	+/–
	Сообщение от alkaid (ok) on 23-Фев-12, 12:13
	> А у 10.10.0.1 есть роут в сеть 10.10.2.0 ? Видимо нет. Добавил ip route 10.10.2.0 255.255.255.0 FastEthernet 0/01.2 Вроде бы работает, но на Убунту, и доступ в интернет от прокси сервера получает.А вот на Винде(XP,Seven) нифига, даже не пингуется.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Правильно построение сети. proxy-cisco2801-комутатор"	+/–
	Сообщение от Dima (??) on 23-Фев-12, 13:30
	>> А у 10.10.0.1 есть роут в сеть 10.10.2.0 ? Видимо нет. > Добавил ip route 10.10.2.0 255.255.255.0 FastEthernet 0/01.2 > Вроде бы работает, но на Убунту, и доступ в интернет от прокси > сервера получает.А вот на Винде(XP,Seven) нифига, даже не пингуется. Зачем делать огород из лишних хопов. хочется использовать прокси ? делайте это через WSSP на циске, а ее ставьте как центральный рутер в инет. настраивайте НАТ и сетевой экран на циске. Д.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Правильно построение сети. proxy-cisco2801-комутатор"	+/–
	Сообщение от alkaid (ok) on 23-Фев-12, 14:13
	> Зачем делать огород из лишних хопов. > хочется использовать прокси ? > делайте это через WSSP на циске, а ее ставьте как центральный рутер > в инет. > настраивайте НАТ и сетевой экран на циске. > Д. В том то и дело что нужен прокси, с дружественным интерфейсом (статистика, ограничения и т.д.) Вот и думаю как правильно построить сеть. Исходя из этих запросов. WSSP - что это? гугл не помог (((
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Правильно построение сети. proxy-cisco2801-комутатор"	+/–
	Сообщение от Dima (??) on 23-Фев-12, 14:25
	>> Зачем делать огород из лишних хопов. >> хочется использовать прокси ? >> делайте это через WSSP на циске, а ее ставьте как центральный рутер >> в инет. >> настраивайте НАТ и сетевой экран на циске. >> Д. > В том то и дело что нужен прокси, с дружественным интерфейсом (статистика, > ограничения и т.д.) Вот и думаю как правильно построить сеть. Исходя > из этих запросов. > WSSP - что это? гугл не помог ((( сори, в вел заблуждение, это опечатка. Технология называется WCCP, она позволяет трафик WEB перекидывать на прокси сервера, коих может быть много. далее уже работает ваша статистика и ограничения трафика на проксе сервере (SQUID). Основной трафик, проходящий через роутер в хорошо собирается через NetFlow на какой-нибудь коллектор. Д.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Правильно построение сети. proxy-cisco2801-комутатор"	+/–
	Сообщение от alkaid (ok) on 23-Фев-12, 15:02
	> сори, в вел заблуждение, это опечатка. > Технология называется WCCP, она позволяет трафик WEB перекидывать на прокси сервера, коих > может быть много. > далее уже работает ваша статистика и ограничения трафика на проксе сервере (SQUID). > Основной трафик, проходящий через роутер в хорошо собирается через NetFlow на какой-нибудь коллектор. > Д. ааа, про это я читал. Но прокся на линуксе. А моя схема вообще никакая? или всё таки есть надежда, грамотно построить сеть?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "Правильно построение сети. proxy-cisco2801-комутатор"	+/–
	Сообщение от Dima (??) on 23-Фев-12, 19:44
	>> сори, в вел заблуждение, это опечатка. >> Технология называется WCCP, она позволяет трафик WEB перекидывать на прокси сервера, коих >> может быть много. >> далее уже работает ваша статистика и ограничения трафика на проксе сервере (SQUID). >> Основной трафик, проходящий через роутер в хорошо собирается через NetFlow на какой-нибудь коллектор. >> Д. > ааа, про это я читал. Но прокся на линуксе. > А моя схема вообще никакая? или всё таки есть надежда, грамотно построить > сеть? с моей точки зрения она бесталковая. имея хорошую железку в качестве рутера, с кучей фич на борту ИОСа, и не пользоваться этим добром :) можно тут что-то из полезного почитать про организацию связки SQUID-Cisco-WCCP http://forum.lissyara.su/viewtopic.php?f=48&t=5208 в любом случае ваша схема тоже имеет жизнь, так что дерзайте, настраивайте читайте главное не останавливаться. Д.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	7. "Правильно построение сети. proxy-cisco2801-комутатор"	+/–
	Сообщение от AlexDv (??) on 23-Фев-12, 19:24
	>> А у 10.10.0.1 есть роут в сеть 10.10.2.0 ? Видимо нет. > Добавил ip route 10.10.2.0 255.255.255.0 FastEthernet 0/01.2 На Циске? Уберите, а добавьте на хосте 10.10.0.1 > Вроде бы работает, но на Убунту, и доступ в интернет от прокси > сервера получает.А вот на Винде(XP,Seven) нифига, даже не пингуется.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	9. "Правильно построение сети. proxy-cisco2801-комутатор"	+/–
	Сообщение от alkaid (ok) on 24-Фев-12, 08:52
	>>> А у 10.10.0.1 есть роут в сеть 10.10.2.0 ? Видимо нет. >> Добавил ip route 10.10.2.0 255.255.255.0 FastEthernet 0/1.2 > На Циске? > Уберите, а добавьте на хосте 10.10.0.1 Убрал, на хосте (Win2008) добавил route add 10.10.2.0 255.255.255.0 10.10.0.2 -p В голове уже каша. борюсь дальше.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	10. "Правильно построение сети. proxy-cisco2801-комутатор"	+/–
	Сообщение от alkaid (ok) on 24-Фев-12, 09:31
	>>>> А у 10.10.0.1 есть роут в сеть 10.10.2.0 ? Видимо нет. >>> Добавил ip route 10.10.2.0 255.255.255.0 FastEthernet 0/1.2 >> На Циске? >> Уберите, а добавьте на хосте 10.10.0.1 > Убрал, на хосте (Win2008) добавил route add 10.10.2.0 255.255.255.0 10.10.0.2 -p > В голове уже каша. борюсь дальше. Да пока имею следующие результаты. на видовом хосте 10.10.2.2 работает, но недолго.От него, сеть 10.10.2.0, пинг идут на 10.10.2.1 т.е до циски стабильно. Пинг до 10.10.0.2 и 10.10.0.1 сначала идёт, как только интерфейс перезапуcтишь перестают. Из циски пинг на 10.10.2.2 тоже перстаёт идти. На убунту 10.10.2.2 пока вроде работает всё. доступ в интернет от прокси получает.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	14. "Правильно построение сети. proxy-cisco2801-комутатор"	+/–
	Сообщение от AlexDv (??) on 24-Фев-12, 11:53
	>[оверквотинг удален] >>> На Циске? >>> Уберите, а добавьте на хосте 10.10.0.1 >> Убрал, на хосте (Win2008) добавил route add 10.10.2.0 255.255.255.0 10.10.0.2 -p >> В голове уже каша. борюсь дальше. Да пока имею следующие результаты. > на видовом хосте 10.10.2.2 работает, но недолго.От него, сеть 10.10.2.0, пинг идут > на 10.10.2.1 т.е до циски стабильно. > Пинг до 10.10.0.2 и 10.10.0.1 сначала идёт, как только интерфейс перезапуcтишь перестают. > Из циски пинг на 10.10.2.2 тоже перстаёт идти. > На убунту 10.10.2.2 пока вроде работает всё. доступ в интернет от прокси > получает. Отключите все лишние функции и проверьте сначала маршрутизацию, а потом уже остальное.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "Правильно построение сети. proxy-cisco2801-комутатор"	+/–
Сообщение от kopic (ok) on 24-Фев-12, 09:40
Ох и огород нагородили. Делайте вот так:                   сервер                     ^                     | Интренет => 2801 => HP Curva => users В этой схеме сервер имеет выход в интернет а юзеры через него. Либо как вариант вот так:                                             сервер                                               ^<=access=>                                               | Интренет => 2801 <=trunk=> HP Curva <=access=> users
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	12. "Правильно построение сети. proxy-cisco2801-комутатор"	+/–
	Сообщение от alkaid (ok) on 24-Фев-12, 10:09
	> Ох и огород нагородили. Делайте вот так: >            сервер >              ^ >              | > Интренет => 2801 => HP Curva => users > В этой схеме сервер имеет выход в интернет а юзеры через него. Если два человека считают что моя схема огород, то значит я огородник. Хорошо, схема номер один, работает так? Пакет от юзера идёт на курву в свой вилан, от неё на свой подинтерфейс 2801. далее ,циска пакет перенаправляет на внутренний интерфейс сервера, на севрере проходит авторизация и пакет юзера, через нат, идёт на внешний интерфейс сервера. От севрера на циску, и наконец в циске на внешку в инет. Правильно
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "Правильно построение сети. proxy-cisco2801-комутатор"	+/–
	Сообщение от kopic (ok) on 24-Фев-12, 11:36
	Не совсем. На прокси сервере тоже 1 интерфейса хватит (как на рабочей станции). И коли цыска 2801 - то на ней в базе всего 2 интерфейса и подходит только схема 2. Трафик будет идти так: 1) от юзера на курву потом на роутер. 2) от роутера на прокси сервер. 3) от прокси сервера снова на роутерю 4) НАТ на роутере 5) Выход в инет. Обратно в обратном порядке. с WCCP правильно сказали, ибо тут совсем все просто будет. 1) пакет от юзера идет на роутер, потом роутер сам смотрит на прокси, делает нат и отправляет в инет.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	15. "Правильно построение сети. proxy-cisco2801-комутатор"	+/–
	Сообщение от alkaid (ok) on 24-Фев-12, 12:45
	>[оверквотинг удален] > Трафик будет идти так: > 1) от юзера на курву потом на роутер. > 2) от роутера на прокси сервер. > 3) от прокси сервера снова на роутерю > 4) НАТ на роутере > 5) Выход в инет. > Обратно в обратном порядке. > с WCCP правильно сказали, ибо тут совсем все просто будет. > 1) пакет от юзера идет на роутер, потом роутер сам смотрит на > прокси, делает нат и отправляет в инет. WCCP работает только с SQWID, а у меня юзергейт лицензия. Так что нужно как то вокруг него своять сеть.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	16. "Правильно построение сети. proxy-cisco2801-комутатор"	+/–
	Сообщение от alkaid (ok) on 24-Фев-12, 14:53
	Просто мне от 28 циски нужно ограничение полосы по вилану и маршрутизация всех до кучи на сервер. По идеи хороший коммутатор 3 уровня нужен а не 28. так ведь?
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	18. "Правильно построение сети. proxy-cisco2801-комутатор"	+/–
	Сообщение от kopic (ok) on 28-Фев-12, 10:48
	Хороший мутатор третьего уровня встанет очень дорого вам. Сколько всего пользователей и полоса пропускания в тырнет?
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	19. "Правильно построение сети. proxy-cisco2801-комутатор"	+/–
	Сообщение от alkaid (ok) on 29-Фев-12, 07:58
	> Хороший мутатор третьего уровня встанет очень дорого вам. > Сколько всего пользователей и полоса пропускания в тырнет? Пользователей сейчас примерно 50, но цифра постоянно меняется. Канал 4 м/б
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	17. "Правильно построение сети. proxy-cisco2801-комутатор"	+/–
	Сообщение от Dima (??) on 24-Фев-12, 20:09
	>[оверквотинг удален] >> 2) от роутера на прокси сервер. >> 3) от прокси сервера снова на роутерю >> 4) НАТ на роутере >> 5) Выход в инет. >> Обратно в обратном порядке. >> с WCCP правильно сказали, ибо тут совсем все просто будет. >> 1) пакет от юзера идет на роутер, потом роутер сам смотрит на >> прокси, делает нат и отправляет в инет. > WCCP работает только с SQWID, а у меня юзергейт лицензия. Так что > нужно как то вокруг него своять сеть. может таки SQUID поставите + SAMS (хотя его деятельность свернули, но вполне можно использовать) для статистики и блокировки превышения? ну куда проще схема будет. отжимать пользователей по доступному контенту через тот же SQUIDGUARD Д.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

20. "Правильно построение сети. proxy-cisco2801-комутатор"	+/–
Сообщение от alkaid (ok) on 29-Фев-12, 08:00
Разобрался я почему отваливался инет. Оказалось всё просто, на курве айпишник вилану присвоил такой же как и на подинтерфейсе циски. Дня три тестирую свою огородную схему. Пока работает. Но вот ограничения установленные на проксе не работают. В частности запрет на посещение определённых ресурсов. Знаю что дело в циске.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема