Страница 1 из 1
Поменять шлюз на свитч
Добавлено: 2011-04-27 15:24:56
Гость
Добрый день.
Есть сервер фрибсд который выполняет роль файервол(ipfw)+nat+squid+postfix и к тому же является шлюзом для всей сети.
На сегодняшний день, такая ситуация:
Код: Выделить всё
Internet ----------> rl0 --- FreeBSD --- rl1 --------> Switch(L3) -------> Local Area Network (192.168.1.0/24)
gateway
88.44.22.11 192.168.1.1
Ставиться задача сделать шлюзом для всей сети
Switch(L3)
Как на схему:
Код: Выделить всё
Internet -------> Switch(L3) -------> Local Area Network
192.168.1.1
|
|
FreeBSD
192.168.1.2
То есть получается:
1. Для работы почты надо будет поменять в почтовых клиенах юзеров ип адреса smtp/pop серверов.
2. Прокси опять же будет работать если пропивать его в браузере.
3. NAT по ходу надо будет поднять на циске.
Вопрос:
А как быть с файерволом ipfw?
Ведь если шлюз будет циска, то она и будет рутировать?
З.Ы. Если я упустил какие то моменты в своей задумке, буду рад любым советам.
Заранее благодарен.
Re: Поменять шлюз на свитч
Добавлено: 2011-04-27 16:50:33
baton4eg
а какую роль у вас играет фаервол ipfw? только натит?
Такой гибкости как на freebsd, от шлюза не добъётесь! Вроде как на циске тяжело нат работает, да и не гибкий, как например pf-nat.
Какая задача преследуеться то ? Простаивает циска? какая модель циски? Ваша первая схема, мне лично нравиться! можно смело трафик диагностировать на freebsd, посмотреть детально трафик от юзера, что ходит, посмотреть нат соединения и т.п. На циске такого нельзя.
Re: Поменять шлюз на свитч
Добавлено: 2011-04-28 9:48:02
Гость
baton4eg писал(а):а какую роль у вас играет фаервол ipfw? только натит?
Такой гибкости как на freebsd, от шлюза не добъётесь! Вроде как на циске тяжело нат работает, да и не гибкий, как например pf-nat.
Какая задача преследуеться то ? Простаивает циска? какая модель циски? Ваша первая схема, мне лично нравиться! можно смело трафик диагностировать на freebsd, посмотреть детально трафик от юзера, что ходит, посмотреть нат соединения и т.п. На циске такого нельзя.
1. Файервол не только натит, но и разрешает определенным юзерам иметь доступ на разные порты.
2. Преследуеться следующая цель: свитч будет разбивать сеть на 2 влана на базе ип адресов, (не на базе порта свитча).
Чтоб было яснее, попробую нарисовать схему:
Код: Выделить всё
Internet ---------->Switch(L3) --------> -------> Local Area Network (192.168.1.0/24)
| |
| FreeBSD
|
|
Management Lan
10.0.0.0/8
То есть ип адреса 192.168.1.2-14 это компьютеры которые должны иметь доступ в корпоративную сеть + Internet.
А 192.168.1.15-19 это компьютеры которые должны иметь доступ и в влан мэнэджмента (10.0.0.0/8)и в корпоративную сеть (192.168.1.0/24), но при этом имея одну сетевую карту.
То есть нужна рутация на базе вланов.
3. Cisco 3550
4. И мне нравится больше первый вариант, так как фрибсд действительно помогает контролировать очень много вещей.
И идеально было бы сделать наверное так:
Код: Выделить всё
Internet ----------> rl0 --- FreeBSD --- rl1 --------> Switch(L3) -------> Local Area Network (192.168.1.0/24)
gateway
88.44.22.11 192.168.1.1
|
|
Management Lan
10.0.0.0/8
З.Ы. Фрибсд не умеет рутировать вланы на базе ип?
Пошел искать в гугыл, но все таки хотелось бы услышать кого то кто реально с этим сталкивался.
Re: Поменять шлюз на свитч
Добавлено: 2011-04-28 10:25:56
baton4eg
Получается циска у вас будет задествована как L2-коммутатор, всё остальное будет на фряхе:
Можно через 3 сетевые сделать всё, а можно и через 2 (используя VLAN)
Рассмотрим с 2-мя сетевыми:
Создаёте 2 вилан на циске, vlan 2 - management; vlan 3 - local
На freebsd создаёте 2 вилан:
Код: Выделить всё
ifconfig_rl0="inet 88.44.22.12 netmask 255.255.255.252"
ifconfig_rl1="UP"
cloned_interfaces="vlan2 vlan3"
ifconfig_vlan2="inet 10.0.0.1 netmask 255.0.0.0"
ifconfig_vlan3="inet 192.168.1.1 netmask 255.255.255.0"
gateway_enable="YES"
defaultrouter="88.44.22.11"
Осталось создать правила для ipfw, указать доверенные хосты и недруги, одним allow через vlan2, другим deny
Шлюз по умлочанию будет у все 192.168.1.1
Пакет придёт на фряху, посмотрит в таблице маршрутизации и перенаправит например в vlan 2, если обращался например к 10.0.0.2, т.е от фряхе по вилану 2 идём до циски, а циска знает что vlan 2 это в порту 4 к примеру.
Не то ?
Re: Поменять шлюз на свитч
Добавлено: 2011-04-28 11:40:44
Гость
baton4eg писал(а):Получается циска у вас будет задествована как L2-коммутатор, всё остальное будет на фряхе:
Можно через 3 сетевые сделать всё, а можно и через 2 (используя VLAN)
Рассмотрим с 2-мя сетевыми:
То есть одна сетевая для внешки и 2 сетевые в локалку (для виланов)?
baton4eg писал(а):
Создаёте 2 вилан на циске, vlan 2 - management; vlan 3 - local
На freebsd создаёте 2 вилан:
Код: Выделить всё
ifconfig_rl0="inet 88.44.22.12 netmask 255.255.255.252"
ifconfig_rl1="UP"
cloned_interfaces="vlan2 vlan3"
ifconfig_vlan2="inet 10.0.0.1 netmask 255.0.0.0"
ifconfig_vlan3="inet 192.168.1.1 netmask 255.255.255.0"
gateway_enable="YES"
defaultrouter="88.44.22.11"
Осталось создать правила для ipfw, указать доверенные хосты и недруги, одним allow через vlan2, другим deny
Шлюз по умлочанию будет у все 192.168.1.1
Пакет придёт на фряху, посмотрит в таблице маршрутизации и перенаправит например в vlan 2, если обращался например к 10.0.0.2, т.е от фряхе по вилану 2 идём до циски, а циска знает что vlan 2 это в порту 4 к примеру.
Не то ?
Вы знаете, по ходу это и может быть решением моей задачи
Я до сих пор не был знаком с вланами на фрибсд, но иду капать глубже в данном напрвлении
Что касается ipfw планирую так:
Код: Выделить всё
mgmt_support="192.168.1.14,192.168.1.15,192.168.1.17,192.168.1.18,192.168.1.19"
mgmt_lan="10.0.0.0/8"
ipfw add 100 allow all from $mgmt_support to $mgmt_lan via vlan2 keep-state #for management
ipfw add 200 allow all from $mgmt to any via vlan3 keep-state #for Local Area Network
У меня файервол закрытого типа, то есть то что не указываю, не пропускает.
А дальше если компьютер 192.168.1.14 хочет обращаться к компьютеру 10.0.0.2, то:
1. Файервол определят в правило 100 что компьютер состоит в группе mgmt и так же что destination является подсеть 10.0.0.0/8, значит он отправляет пакет на интерфейс vlan2.
А дальше не понял как
от фряхе по вилану 2 идём до циски?
Хочется в корни разобраться.
Вам
baton4eg огромное спасибо
Re: Поменять шлюз на свитч
Добавлено: 2011-04-28 12:15:24
baton4eg
На циске вам нужно создать (допустим порт 1-freebsd;2-lan_users;3-management) :
Код: Выделить всё
conf t
vlan 2
exit
vlan 3
exit
interface fa0/1 //тут соединяемся с freebsd машинкой
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2,3
switchport mode trunk
exit
interface fa0/2 //Тут например юзеры 192.168.1.0/24
switchport access vlan 3
switchport mode access
exit
interface fa0/3 //Тут юзеры management
switchport access vlan 2
switchport mode access
Re: Поменять шлюз на свитч
Добавлено: 2011-04-29 8:32:00
Гость
baton4eg огромное Вам спасибо
Re: Поменять шлюз на свитч
Добавлено: 2011-04-29 9:42:59
chipp
Классный пост!
Не знал что бсд такое умеет.
Только вот тоже не понял, для этого нужно 3 сетевухи?
1. одна в мир - которая будет работать в транк.
2. вторая для вилана 2 и которая пойдет на свитч в interface fa0/2
3. и третья для вилана 3 которая пойдет на свитч в interface fa0/3?
По ходу нет, а то вдруг мне понадобиться 10 виланов, не ставить же 10 сетевых
А в случае если то что я описал выше оказывается я не так понял, значит используется 2 сетевухи:
1. одна в мир - которая будет работать в транк.
2. вторая в локалку - хотя если она одна, по идее тоже должна быть в транк.
На рутерах мне понятно как происходит InterVlan Routing там можно настроить Routing on a stick, а вот на бсд как после попадания пакета на вилан 2 после прохождение файервол не понимаю.
Короче я чего то не догоняю.
Кто знает, объясните пожалуйста детально принцип работы системы в случае когда комп обращается:
1. в локалку
2. в сеть менеджмента
И уточните пожалуйста сколько сетевых карт надо для выше описанного варианта: 2 или 3?
Заранее благодарен всем кто откликнится.
Re: Поменять шлюз на свитч
Добавлено: 2011-04-29 9:54:49
baton4eg
я выше писал, что 2 сетевые, одна в мир, другая в циску (За счёт вилан тегированных, будет 2 виртуальные сети, через одну физическую сетевую карту.
На бзд каждый vlan имеет ip, соответственно запись в таблице маршрутизации.
Re: Поменять шлюз на свитч
Добавлено: 2011-04-29 11:28:26
chipp
baton4eg писал(а):я выше писал, что 2 сетевые, одна в мир, другая в циску (За счёт вилан тегированных, будет 2 виртуальные сети, через одну физическую сетевую карту.
На бзд каждый vlan имеет ip, соответственно запись в таблице маршрутизации.
Re: Поменять шлюз на свитч
Добавлено: 2011-04-29 11:29:38
chipp
Спасибо.