https://www.opennet.ru/openforum/vsluhforumID1/94836.html Всем доброго времени.<br><br>Вот пытаюсь решить проблему, но что-то в голову ничего не приходит.<br><br>Имеем локальную сеть компании из двух сотен компов и эНННого количества серверов и всякого железа типа принтеров, копиров и подобного.<br>возмем для рассмотрения 3 сервера:<br>1. Шлюз - 192.168.0.1<br>2. Фалопомойка - 192.168.0.2<br>3. сервер баз данных - 192.168.0.3<br><br>Имеем подсеть 192.168.0.0/24<br><br>Появилась задача, раскидать все отделы по разным подсетям с нарезанием ограничения по скорости для каждого из подотделов. Ну со скоростью я худо бедно разберусь, точнее разобрался, нужно будет допиливать, а вот с маршутизацией никак не могу.<br><br>Начал на примере действующей сети, решил добавить сначала одну подсеть и выгнать в нее самый критичный отдел.<br>создал алиас на шлюзе:<br>em1: flags=8843&lt;UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt; metric 0 mtu 1500<br>options=4219b&lt;RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC,VLAN_HWTSO&gt;<br>ether 00:25:90:7e:ac:84<br>inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.25 https://www.opennet.ru/openforum/vsluhforumID1/94836.html#10 Tue, 16 Jul 2013 05:31:34 GMT &gt; 3. Про VLAN-ы малость не понял. Вместо алиасов поднимать VLAN на интерфейсе? <br>&gt; Дайте пожалуйста побольше теории и если можно то пример для более <br>&gt; легкого понимания.<br><br>1. на внутренней сетёвке основного роутера убрать все подсети.<br>2. на этой сетёвке поднять на каждый отдел по vlan-у<br>3. прописать на каждом vlan-е нужные подсети (может не по одной на отдел (vlan))<br>4. на свиче, с которого расходятся кабели в отделы, на нужных портах поднять нужные vlan-ы.<br><br>Ну и доруливать фаерволы в соответствии с новой схемой.<br>В общих чертах примерно так.<br> https://www.opennet.ru/openforum/vsluhforumID1/94836.html#9 Tue, 16 Jul 2013 05:16:50 GMT &gt; 3. Про VLAN-ы малость не понял. Вместо алиасов поднимать VLAN на интерфейсе? <br>&gt; Дайте пожалуйста побольше теории и если можно то пример для более <br>&gt; легкого понимания.<br><br>Вы знаете, есть такой сайт хороший.... http://google.ru называется.<br>Если он вам не сильно нравится, то есть и другие. Подсказать?<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/94836.html#8 Tue, 16 Jul 2013 04:52:03 GMT Всем огромное спасибо за помощь и советы.<br>Сам дурак...<br>Брандмауэр оказался включеным на винде, все входящие рубил.<br> <br>Сейчас еще с самбой тупанул. Забыл что в конфиге прописываются разрешенные подсети....<br>Сейчас все норм.<br> https://www.opennet.ru/openforum/vsluhforumID1/94836.html#7 Tue, 16 Jul 2013 04:37:46 GMT &gt;&gt; Возникает проблема с главное подсетью 192.168.0.0/24. В ней стоит сервак в файлом <br>&gt;&gt; к которому нужно организовать доступ. Как ни странно, а вот с <br>&gt;&gt; этой рабочей станции, с IP: 172.16.201.2 моя шара пингуется без проблем, <br>&gt;&gt; а вот с шары моя эта машинка нет.<br>&gt; На шаре нет маршрута до сети 172.16.201.0/24....<br><br>Я пробовал на шаре прописал route add 172.16.201.0/24 192.168.0.1<br>Но итог нудевой. К тому же, по дефолту, все что не прописано руками, все идет по дефолту, т.е. через 192.168.0.1<br> https://www.opennet.ru/openforum/vsluhforumID1/94836.html#6 Tue, 16 Jul 2013 04:08:10 GMT &gt; Возникает проблема с главное подсетью 192.168.0.0/24. В ней стоит сервак в файлом <br>&gt; к которому нужно организовать доступ. Как ни странно, а вот с <br>&gt; этой рабочей станции, с IP: 172.16.201.2 моя шара пингуется без проблем, <br>&gt; а вот с шары моя эта машинка нет.<br><br> На шаре нет маршрута до сети 172.16.201.0/24....<br> https://www.opennet.ru/openforum/vsluhforumID1/94836.html#5 Tue, 16 Jul 2013 02:35:58 GMT Забавно. Всем спасибо за советы.<br>Но вот только я малость не понял.<br>1. Я открыл на шлюзе фаервол, т.е. ipfw add 1 allow ip from any to any<br>Пинг как шел с виндовой машины на фрюшную с шарой так и идет, а вот с шары на виндовую машину нет. Странно подумал я.<br>2. Я в принципе понимаю, что натит тут как бы и не надо, что вообще трафик между подсетями должен летать и без того, но однако не ходит:( Пробовал ipfw add 1 allow ip from any to any via em1 результат тот же.<br>3. Про VLAN-ы малость не понял. Вместо алиасов поднимать VLAN на интерфейсе? Дайте пожалуйста побольше теории и если можно то пример для более легкого понимания.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/94836.html#4 Mon, 15 Jul 2013 13:04:54 GMT &gt;&gt; Про vlan тут ответили.... хм. не знаю к чему это.<br>&gt; Без vlan разделение на подсети особого смысла не имеет. Можно точно также <br>&gt; нарисовать правила нарезки трафика на набор отдельных IP как на общую <br>&gt; группу.<br>&gt; Набивать же кучей сетевых карт сервер-маршрутизатор и ставить изолированный коммутатор <br>&gt; на отдел - это как-то уже слишком устаревшая технология.<br><br>Ну это понятно, но этот совет скорее в развитие. Человеку для начала надо уяснить основы, а сходу советовать городить огород с vlan-ами - :)<br><br>... и кстате, изолирующий коммутатор, в таком разе, надо ставить не на отдел а на всех и все отделы втыкать в разные изолирующие порты коммутатора. т.е. обойтись одним коммутатором. Но с vlan-ами конечно красивее :)<br><br>&gt;&gt; Думаю что натить между внутренними подсетями ничего не надо. 192.168.0.1 уже знает <br>&gt;&gt; где находятся другие внутренние подсети (просто потому что на нём прописаны <br>&gt;&gt; все внутренние подсети).<br>&gt;&gt; на всех машинах надо прописать шлюзом адрес из той же подсети, но <br>&gt;&gt; который прописан на https://www.opennet.ru/openforum/vsluhforumID1/94836.html#3 Mon, 15 Jul 2013 12:40:03 GMT &gt; Про vlan тут ответили.... хм. не знаю к чему это.<br><br>Без vlan разделение на подсети особого смысла не имеет. Можно точно также нарисовать правила нарезки трафика на набор отдельных IP как на общую группу.<br>Набивать же кучей сетевых карт сервер-маршрутизатор и ставить изолированный коммутатор на отдел - это как-то уже слишком устаревшая технология.<br><br>&gt; Думаю что натить между внутренними подсетями ничего не надо. 192.168.0.1 уже знает <br>&gt; где находятся другие внутренние подсети (просто потому что на нём прописаны <br>&gt; все внутренние подсети).<br>&gt; на всех машинах надо прописать шлюзом адрес из той же подсети, но <br>&gt; который прописан на основном роутере.<br>&gt; Если пинг с одной машины на другую идёт - значит маршрутизация работает, <br>&gt; остальное смотрите в фаерволах.<br>&gt; Для пробы уберите все ограничения по внутренним подсетям и интерфейсам.<br><br>про все остальное - полностью согласен.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/94836.html#2 Mon, 15 Jul 2013 12:31:07 GMT Думаю что натить между внутренними подсетями ничего не надо. 192.168.0.1 уже знает где находятся другие внутренние подсети (просто потому что на нём прописаны все внутренние подсети).<br>Про vlan тут ответили.... хм. не знаю к чему это.<br>на всех машинах надо прописать шлюзом адрес из той же подсети, но который прописан на основном роутере.<br>Если пинг с одной машины на другую идёт - значит маршрутизация работает, остальное смотрите в фаерволах.<br>Для пробы уберите все ограничения по внутренним подсетям и интерфейсам.<br>