https://www.opennet.ru/openforum/vsluhforumID6/20876.html Вечер добрый всем. Имеется такой вопрос. Есть Cisco 1841 на нем два порта WAN и LAN. Поставлена задача настроить сие чудо как брандмауер и в сети установить его между сервером(маршрутизатором) и всей сетью. Сервер на базе FreeBSD, поднято два ната и имееться два канала инета. Один для ВИПов второй для всех смертных. Распределение кому куда ведеться на сервере связкой natd+ipfw по IP и MAC адрессам. Необходимо настроить Cisco так что бы всегда на исходящем трафике адрессация не менялась. Тоесть если идет запрос из сетки, например с 192.168.0.11, то и на выходе должны иметь запрос с етого адресса, что бы сервер по адрессам мог понять куда запрос посылать. Есть ли какие-то возможные решение на данной Cisco и какими путями. Скажи сразу с Cisco знаком не очень, и плюс там всего два порта, дополнительный модуль докупатся не будет, иначе завел бы туда два канала и там маршрутизацию сделал бы.<br><br>Заранее благодарен за помощь.<br> https://www.opennet.ru/openforum/vsluhforumID6/20876.html#12 Thu, 15 Apr 2010 05:42:54 GMT &gt;&gt;&gt;И настроить маршрутизацию кому куда? <br>&gt;&gt;<br>&gt;&gt;в твоей задаче только один вариант, куда роутить - фрюша. Что должна <br>&gt;&gt;киса тут решать? <br>&gt;<br>&gt;Киса должна передавать на фрюшу запросы таким образом что бы тот запрос <br>&gt;который она получила, с тем же адресом и отдала(тоесть без подмены <br>&gt;адресов). <br>&gt;+ иметь возможность писать правила на кисе. <br><br>смотри выше<br>это называется не "передавать запрос", это называется "маршрутизация"<br> https://www.opennet.ru/openforum/vsluhforumID6/20876.html#11 Thu, 15 Apr 2010 04:46:01 GMT &gt;ЮзерВип(0.230-240) ----0.240----- киска(0.2) ----0.240----- Фрюша(0.1) ------- 100/10 мбит <br>&gt;Юзер(0.20-220) ----0.50----- киска(0.2) ----0.50----- фрюша(0.1) ------- 3/3 мбит <br><br>ересь какая-то<br>ты вообще понимаешь как работает маршрутизация?<br>роутер никаких IP адресов и так не подменяет.<br>незачем тебе кисой что либо делить вообще.<br>просто сделай ip inspect с обычным роутингом и ВСЕ.<br><br>Пользователи(10.0.0.2 - .254) - (10.0.0.1)Киса(10.255.255.1)-(10.255.255.2)Фрюша(2 инета)<br> https://www.opennet.ru/openforum/vsluhforumID6/20876.html#10 Wed, 14 Apr 2010 13:01:46 GMT &gt;[оверквотинг удален]<br>&gt;&gt;1ВЛАН = 0.20-220 <br>&gt;&gt;2ВЛАН = 0.230-240 <br>&gt;&gt;И настроить маршрутизацию кому куда? <br>&gt;&gt;<br>&gt;&gt;Мне нужно более грамотно использовать киску. <br>&gt;<br>&gt;это будет не "более грамотно", это будет "писец полный" <br>&gt;<br>&gt;что ты этим вообще хочешь добиться? <br>&gt;схему чтоли изобрази... <br><br>ЮзерВип(0.230-240) ----0.240----- киска(0.2) ----0.240----- Фрюша(0.1) ------- 100/10 мбит<br>Юзер(0.20-220) ----0.50----- киска(0.2) ----0.50----- фрюша(0.1) ------- 3/3 мбит<br><br>Фрюша понимает айпиадреса и дает соответствующий канал. ^^^<br><br>Но на киске пишутся правила.<br>Поймете или нет, не знаю))))<br> https://www.opennet.ru/openforum/vsluhforumID6/20876.html#9 Wed, 14 Apr 2010 12:55:26 GMT &gt;&gt;что ты этим вообще хочешь добиться? <br>&gt;&gt;схему чтоли изобрази... <br>&gt;<br>&gt;Если ты хочешь отделить ВИП пользователей виланами, тогда выдели им отдельную сеть, <br>&gt;не зачем резать как попало существующую. <br><br>Они должны иметь доступ в общую сеть с возможность пользоватся принтерами итд.<br> https://www.opennet.ru/openforum/vsluhforumID6/20876.html#8 Wed, 14 Apr 2010 12:53:36 GMT &gt;&gt;И настроить маршрутизацию кому куда? <br>&gt;<br>&gt;в твоей задаче только один вариант, куда роутить - фрюша. Что должна <br>&gt;киса тут решать? <br><br>Киса должна передавать на фрюшу запросы таким образом что бы тот запрос который она получила, с тем же адресом и отдала(тоесть без подмены адресов).<br>+ иметь возможность писать правила на кисе.<br> https://www.opennet.ru/openforum/vsluhforumID6/20876.html#7 Wed, 14 Apr 2010 12:39:31 GMT &gt;И настроить маршрутизацию кому куда? <br><br>в твоей задаче только один вариант, куда роутить - фрюша. Что должна киса тут решать?<br> https://www.opennet.ru/openforum/vsluhforumID6/20876.html#6 Wed, 14 Apr 2010 12:38:36 GMT &gt;что ты этим вообще хочешь добиться? <br>&gt;схему чтоли изобрази... <br><br>Если ты хочешь отделить ВИП пользователей виланами, тогда выдели им отдельную сеть, не зачем резать как попало существующую.<br> https://www.opennet.ru/openforum/vsluhforumID6/20876.html#5 Wed, 14 Apr 2010 12:35:44 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;ну и настрой его обычным маршрутизатором, в чем проблема? Маршрутизатор адреса в <br>&gt;Теперь вопрос следующий я могу создать 2 ВЛАНА в одном диапазоне адресов??? <br>&gt;<br>&gt;Например: <br>&gt;1ВЛАН = 0.20-220 <br>&gt;2ВЛАН = 0.230-240 <br>&gt;И настроить маршрутизацию кому куда? <br>&gt;<br>&gt;Мне нужно более грамотно использовать киску. <br><br>это будет не "более грамотно", это будет "писец полный"<br><br>что ты этим вообще хочешь добиться?<br>схему чтоли изобрази...<br> https://www.opennet.ru/openforum/vsluhforumID6/20876.html#4 Wed, 14 Apr 2010 12:24:42 GMT &gt;&gt;Тоесть если идет запрос из сетки, например с 192.168.0.11, то и <br>&gt;<br>&gt;ну и настрой его обычным маршрутизатором, в чем проблема? Маршрутизатор адреса в <br>&gt;IP пакетах не меняет. Единственно, что МАК адреса будут не известны <br>&gt;фрюше, так зажать связку мака и IP можно на кисе, хотя <br>&gt;в целом практика определения пользователя по IP/MAC изначально порочна и легко <br>&gt;обходится злоумышленником. <br>&gt;<br>&gt;для связки фрюши с кисой отдельную подсетку назначь из свободных приватных диапазонов, <br>&gt;хоть /30 размерностью. <br><br>Что скажешь на счет этого!?<br><br>Теперь вопрос следующий я могу создать 2 ВЛАНА в одном диапазоне адресов???<br>Например: <br>1ВЛАН = 0.20-220<br>2ВЛАН = 0.230-240<br>И настроить маршрутизацию кому куда?<br><br>Мне нужно более грамотно использовать киску.<br>