https://opennet.ru/openforum/vsluhforumID6/23557.html Здравствуйте, помогите советов.<br>Цель такая: построить сеть состоящую из прокси сервера, нескольких виланов и маршрутизатора, с возможностью шейпить трафик на виланах.<br><br>Имеется сервер с User-Gate, маршрутизатор 2801, и пару свичей HP Procurve 2524.<br><br>схема такая:<br><br>Интренет =&gt; Сервер =&gt; 2801 =&gt; HP Curva =&gt; users<br><br>На сервере ip Inside 10.10.0.1 <br>На 2801 ip FA 0/0 10.10.0.2<br> FA 0/1 10.10.1.1 на этом интерфейсе создал пару виланов <br> FA 0/1.2 10.10.2.1 и так далее<br><br>Ядром сети будет 2801. Нужно чтобы был доступ с сети 10.10.2.0 на шлюз прокси 10.10.0.1 У меня это пока не получается.<br><br>Вот конфиг с 2801<br>version 12.4<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>no service password-encryption<br>!<br>hostname router<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>no logging buffered<br>!<br>no aaa new-model<br>no ip cef!<br>!<br>ip dhcp use vrf connected<br>ip dhcp excluded-address 10.10.2.1<br>!<br>ip dhcp pool lan<br> network 10.10.2.0 255.255.255.0<br> domain-name https://opennet.ru/openforum/vsluhforumID6/23557.html#20 Wed, 29 Feb 2012 04:00:50 GMT Разобрался я почему отваливался инет. Оказалось всё просто, на курве айпишник вилану присвоил такой же как и на подинтерфейсе циски.<br>Дня три тестирую свою огородную схему. Пока работает. Но вот ограничения установленные на проксе не работают. В частности запрет на посещение определённых ресурсов. Знаю что дело в циске.<br> https://opennet.ru/openforum/vsluhforumID6/23557.html#19 Wed, 29 Feb 2012 03:58:07 GMT &gt; Хороший мутатор третьего уровня встанет очень дорого вам.<br>&gt; Сколько всего пользователей и полоса пропускания в тырнет?<br><br>Пользователей сейчас примерно 50, но цифра постоянно меняется. Канал 4 м/б<br> https://opennet.ru/openforum/vsluhforumID6/23557.html#18 Tue, 28 Feb 2012 06:48:01 GMT Хороший мутатор третьего уровня встанет очень дорого вам.<br>Сколько всего пользователей и полоса пропускания в тырнет?<br> https://opennet.ru/openforum/vsluhforumID6/23557.html#17 Fri, 24 Feb 2012 16:09:05 GMT &gt;[оверквотинг удален]<br>&gt;&gt; 2) от роутера на прокси сервер.<br>&gt;&gt; 3) от прокси сервера снова на роутерю <br>&gt;&gt; 4) НАТ на роутере <br>&gt;&gt; 5) Выход в инет.<br>&gt;&gt; Обратно в обратном порядке.<br>&gt;&gt; с WCCP правильно сказали, ибо тут совсем все просто будет.<br>&gt;&gt; 1) пакет от юзера идет на роутер, потом роутер сам смотрит на <br>&gt;&gt; прокси, делает нат и отправляет в инет.<br>&gt; WCCP работает только с SQWID, а у меня юзергейт лицензия. Так что <br>&gt; нужно как то вокруг него своять сеть.<br><br>может таки SQUID поставите + SAMS (хотя его деятельность свернули, но вполне можно использовать) для статистики и блокировки превышения?<br>ну куда проще схема будет.<br><br>отжимать пользователей по доступному контенту через тот же SQUIDGUARD<br><br><br><br>Д.<br><br> https://opennet.ru/openforum/vsluhforumID6/23557.html#16 Fri, 24 Feb 2012 10:53:27 GMT Просто мне от 28 циски нужно ограничение полосы по вилану и маршрутизация всех до кучи на сервер. По идеи хороший коммутатор 3 уровня нужен а не 28. так ведь? <br><br><br> https://opennet.ru/openforum/vsluhforumID6/23557.html#15 Fri, 24 Feb 2012 08:45:23 GMT &gt;[оверквотинг удален]<br>&gt; Трафик будет идти так: <br>&gt; 1) от юзера на курву потом на роутер.<br>&gt; 2) от роутера на прокси сервер.<br>&gt; 3) от прокси сервера снова на роутерю <br>&gt; 4) НАТ на роутере <br>&gt; 5) Выход в инет.<br>&gt; Обратно в обратном порядке.<br>&gt; с WCCP правильно сказали, ибо тут совсем все просто будет.<br>&gt; 1) пакет от юзера идет на роутер, потом роутер сам смотрит на <br>&gt; прокси, делает нат и отправляет в инет.<br><br>WCCP работает только с SQWID, а у меня юзергейт лицензия. Так что нужно как то вокруг него своять сеть.<br><br> https://opennet.ru/openforum/vsluhforumID6/23557.html#14 Fri, 24 Feb 2012 07:53:14 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; На Циске?<br>&gt;&gt;&gt; Уберите, а добавьте на хосте 10.10.0.1 <br>&gt;&gt; Убрал, на хосте (Win2008) добавил route add 10.10.2.0 255.255.255.0 10.10.0.2 -p <br>&gt;&gt; В голове уже каша. борюсь дальше. Да пока имею следующие результаты.<br>&gt; на видовом хосте 10.10.2.2 работает, но недолго.От него, сеть 10.10.2.0, пинг идут <br>&gt; на 10.10.2.1 т.е до циски стабильно.<br>&gt; Пинг до 10.10.0.2 и 10.10.0.1 сначала идёт, как только интерфейс перезапуcтишь перестают. <br>&gt; Из циски пинг на 10.10.2.2 тоже перстаёт идти.<br>&gt; На убунту 10.10.2.2 пока вроде работает всё. доступ в интернет от прокси <br>&gt; получает.<br><br>Отключите все лишние функции и проверьте сначала маршрутизацию, а потом уже остальное.<br><br><br> https://opennet.ru/openforum/vsluhforumID6/23557.html#13 Fri, 24 Feb 2012 07:36:56 GMT Не совсем.<br>На прокси сервере тоже 1 интерфейса хватит (как на рабочей станции).<br><br>И коли цыска 2801 - то на ней в базе всего 2 интерфейса и подходит только схема 2.<br>Трафик будет идти так:<br>1) от юзера на курву потом на роутер.<br>2) от роутера на прокси сервер.<br>3) от прокси сервера снова на роутерю<br>4) НАТ на роутере<br>5) Выход в инет.<br><br>Обратно в обратном порядке.<br>с WCCP правильно сказали, ибо тут совсем все просто будет.<br>1) пакет от юзера идет на роутер, потом роутер сам смотрит на прокси, делает нат и отправляет в инет.<br> https://opennet.ru/openforum/vsluhforumID6/23557.html#12 Fri, 24 Feb 2012 06:09:09 GMT &gt; Ох и огород нагородили. Делайте вот так: <br>&gt; сервер <br>&gt; ^ <br>&gt; &#124; <br>&gt; Интренет =&gt; 2801 =&gt; HP Curva =&gt; users <br>&gt; В этой схеме сервер имеет выход в интернет а юзеры через него. <br><br>Если два человека считают что моя схема огород, то значит я огородник. <br><br>Хорошо, схема номер один, работает так? Пакет от юзера идёт на курву в свой вилан, от неё на свой подинтерфейс 2801. далее ,циска пакет перенаправляет на внутренний интерфейс сервера, на севрере проходит авторизация и пакет юзера, через нат, идёт на внешний интерфейс сервера. От севрера на циску, и наконец в циске на внешку в инет. Правильно<br>