ru.networks

Здpавствуй, Maxim! MG> Ребят, подскажите такую делему. Есть сетка порядка 150 ПК + всякие MG> установки АСУТП. Речь о реорганизации сети, в сети есть куча отделов MG> (юристы, бухи, кадровики, производство и пр). Есть ли смысл делать MG> отдельные подсети и влан для кадого отдела? Тут скорее есть ли плюсы MG> в безопасности и минусы в быстродействии, учитываю что между вланами MG> маршрутизация нужна, хотябы до влана серверной группы. У когог какие MG> идеи? И да и нет, всё зависит от оборудования. Ты должен понимать, что при введении Vlan-ов ты должен будешь обеспечить маршрутизацию между ними, и не только. Т.е. ты усложнишь конфигурацию сети. Есть ли смысл при 150 компьютерах это делать, решать только тебе, я бы делал потому что, это обеспечит более простой траблшутинг, улутшит безопасность твоей сети. С уважением - Sergey

Привет, Maxim! 11 мар 19 20:06, Maxim Gribanov писал(а) к All: MG> Помогите решить нетривиальную задачу. А чем она нетривиальная? MG> Сеть разделена на vlan (порядка 25), на коммутаторах L3 (серия huawei MG> S5720) настроена машрутизация между VLAN (где надо). Hужно обеспечить MG> доступ в интернет с клиентских устройств. В качестве интернет шлюза MG> используется программный комплекс IdecoUTM. -Шлюз в интернет не может MG> быть шлюзом для VLAN. То есть : Если пакет пришел из сети vlan_x и MG> направляется в интернет, то отправлять его на шлюз IdecoUTM. Если MG> пакет пришел из сети vlan_x и направляется в другой вилан, то MG> отправлять сразу в другой вилан. MG> Реализуемо ли такое например через PBR. Подскажите можно ли такое MG> настроить? На S5720 прописать дефолт в Ideco. И всё. С наилучшими пожеланиями, Alexander.

Привет, Maxim! 16 янв 19 11:29, Maxim Gribanov писал(а) к All: MG> Просто мой ход мыслей правильный? Или wfr не нужен? VRF. Virtual routing and forwarding. MG> Просто на vlan сделать? Да. vrf я вижу только там, где надо использовать одни и те же IP. А потом тебе ВНЕЗАПНО понадобится ходить из vrf в vrf, ты начнёшь нагромождать Route Leaking и конфигурация только усложнится... Поскольку это твоя сеть и ты сразу всё задизайнишь так, что IP-адреса пересекаться не будут - всё нормально на VLAN и vlanif. MG> Какую маршрутизацию использовать между VLAN статическую, или например MG> ospf? В пределах одной коробки ospf? а месье знает толк... MG> Если нужет запрет между vlan использовать acl? да. MG> Дайте общие советы и мысли. Нормально всё, с S5700 работал, мне понравилось. Единственное, что у меня не получилось - заставить их сливать netflow из inter vlan. С наилучшими пожеланиями, Alexander.

Привет, Maxim! 22 май 19 08:05, Maxim Gribanov писал(а) к All: MG> Есть ли смысл делать отдельные подсети и влан для кадого отдела? Да. С наилучшими пожеланиями, Alexander.

Привет, Maxim! *** Ответ на сообщение из CarbonArea (Мыльце для меня). 24 янв 19 13:38, Maxim Gribanov писал(а) к Alexander Kruglikov: AK>> Сам логически подумай. Протокол OSPF распространяет информацию о AK>> доступных маршрутах между маршрутизаторами одной автономной системы. AK>> Куда он в пределах одной коробки будет что-то передавать? MG> Hикуда. Суть OSPF чтобы маршрутизаторы знали о доступности друг друга MG> и в случае чего перестраивали таблицу марщрутизации. Я в курсе =) Ты сам написал же "маршрутизатор_Ы_" MG> Hо это не мешает использовать OSPF внутри одной железки вместо MG> статики, работать все равно будет. В eNSP настраивал. Работает. Просто MG> вопрос в том правильно ли использовать именно статическую MG> маршрутизацию, есть ли минусы использования OSPF? Да ёшкин же дрын. У тебя есть коробка. У неё есть несколько интерфейсов. На этих интерфейсах есть некоторые сети. Для коробки они уже directly connected и коробка о них и так знает. В каком месте ты тут видишь OSPF? С наилучшими пожеланиями, Alexander.

Привет, Sergey! 23 май 19 18:40, Sergey Klimets писал(а) к Maxim Gribanov: MG>> Уже решено, делаю. Спасибо за совет ) SK> Удачи, не забудь убрать все компы из native vlan. SK> И настроить gvrp или vtp :-) SK> (Капитан очевидность приветствует тебя ) Насколько я помню предполагаемую схему - у Максима стек из Хуавеев, в который сразу будут включаться устройства, т.е. у него ядро и аццесс на одних железках. gvrp ему там не нужен =) (а vtp ему не завезли. Капитан очевидность и тут примазался) С наилучшими пожеланиями, Alexander.

Привет All! 18 окт 18 года (а было тогда 01:09) Anton Gorlov в своем письме к All писал: Кстати забыл отписаться - дело оказалось не в бобине... Хоть точка и была переведена в режим бриджа,но там ещё свой файрволл, который на WAN интерфейсе блокирует все RFC 1918 посдети из коробки. Видимо сделано по соображениям безопастности, что бы wifi клиенты друг друга не сканировали. Разблокировал в онном парочку IP - тот хост куда редирект делаю, и ещё несколько IP - всё ок. Вдруг кто ещё наступит. AG> заброшу и сюда данный вопрос..вдруг кто наступал. AG> Понадобилось тут изобразить Captive portal. Взял связку из nginx+ AG> iptables... но что-то не выходит каменный цветок, нужна помощь зала: AG> Завёл на стенде тестовую сеть, на шлюзе сделал (192.168.11.3 выдаётся AG> для wifi клиентов как def gw по dhcp) AG> -A PREROUTING ! -d 192.168.11.3/32 -i ens4 -p tcp -m tcp --dport 80 -j AG> DNAT --to-destination 192.168.11.3 AG> Далее в nginx заведено 2 виртуальных хоста: AG> === AG> server { AG> # # Listening on IP Address. AG> # # This is the website iptables redirects to AG> listen 80 default_server; AG> root /var/www/html/portal; AG> access_log /var/log/nginx/access1.log atop; AG> port_in_redirect off; AG> keepalive_timeout 0; AG> location / { AG> return 302 http://test.ppcom:82; AG> } AG> } AG> server { AG> listen 82; AG> server_name test.ppcom; AG> root /var/www/html/portal; AG> access_log /var/log/nginx/access2.log atop; AG> add_header Cache-Control no-cache; AG> # set the Expires header to 31 December 2037 23:59:59 GMT, and the AG> Cache-Control max-age to 10 years expires 0; AG> location / { AG> try_files $uri $uri/ /index.html; AG> } AG> } AG> === AG> Локальный DNS резолвит test.ppcom так же в 192.168.11.3. AG> Но не выходит каменный цветок. Но если портал повесить на 80 порт AG> сразу,куда заворачивает трафик iptables то на андроидах всё таки AG> рисуется страница от портала. Вопрос - что упускаю их вида,что не AG> отрабатывает вариант с редиректом из nginx на страницу портала? AG> Да..если 1 вхост повесить на 82 порт и сюда заворачивать AG> iptables-ами,а портал перевесить на 80 порт,то не работает с точно AG> такой же диагностикой. До 2 Vhost-а с порталом запросов вообще нет и AG> это видно в дампе трафика. AG> Причём в дампе я вижу, что nginx отдаёт AG> Hypertext Transfer Protocol AG> HTTP/1.1 302 Moved Temporarily\r\n AG> Server: nginx/1.14.0\r\n AG> Date: Sun, 14 Oct 2018 17:07:54 GMT\r\n AG> Content-Type: text/html\r\n AG> Content-Length: 161\r\n AG> Connection: close\r\n AG> Location: http://test.ppcom:82\r\n AG> \r\n AG> С уважением. Anton aka Stalker AG> Linux Registered User #386476 AG> [#*TEAM:*#] [#_Злой СисОп_#] [*Heavy Metal!*] [*_Усачи_*] AG> --- GoldED+/LNX 1.1.5-b20160322 AG> * Origin: A bove majore discit arare minor (2:5059/37) С уважением. Anton aka Stalker Linux Registered User #386476 [#*TEAM:*#] [#_Злой СисОп_#] [*Heavy Metal!*] [*_Усачи_*]

Привет, All! Помогите решить нетривиальную задачу. Сеть разделена на vlan (порядка 25), на коммутаторах L3 (серия huawei S5720) настроена машрутизация между VLAN (где надо). Hужно обеспечить доступ в интернет с клиентских устройств. В качестве интернет шлюза используется программный комплекс IdecoUTM. -Шлюз в интернет не может быть шлюзом для VLAN. То есть : Если пакет пришел из сети vlan_x и направляется в интернет, то отправлять его на шлюз IdecoUTM. Если пакет пришел из сети vlan_x и направляется в другой вилан, то отправлять сразу в другой вилан. Реализуемо ли такое например через PBR. Подскажите можно ли такое настроить? С наилучшими пожеланиями, Maxim.

Привет, Maxim! *** Ответ на сообщение из CarbonArea (Мыльце для меня). 23 янв 19 09:28, Maxim Gribanov писал(а) к Alexander Kruglikov: AK>> Да. vrf я вижу только там, где надо использовать одни и те же IP. AK>> А потом тебе ВHЕЗАПHО понадобится ходить из vrf в vrf, ты начнёшь AK>> нагромождать Route Leaking и конфигурация только усложнится... AK>> Поскольку это твоя сеть и ты сразу всё задизайнишь так, что IP-адреса AK>> пересекаться не будут - всё нормально на VLAN и vlanif. MG> Hу например серверной группе никогда не придется ходить в сеть общую, Эээээмг. А пользователи с ними не работают? MG> вот и думал чтоб не покупать отдельные коммутаторы использовать эти MG> же, а для разделения либо vlan либо vrf. Просто интересно стало имеет MG> ли второй вариант какие то преимущества.... В твоём случае - точно нет. MG>>> Какую маршрутизацию использовать между VLAN статическую, или MG>>> например ospf? AK>> В пределах одной коробки ospf? а месье знает толк... MG> Согласен, динамическая маршрутизация тут не нужно, ну а какая разница? MG> ospf настраивается быстрее, а в будущем может еще и добавятся какие то MG> маршрутизаторы. Hу хотя врятли. Тут скорее вопрос простоты MG> администрирования, да и на стколько быстро коммутаторы будут MG> передавать потоки на третьем уровне между vlan, имеет ли тут значения MG> какой тип маршрутизации? Какая, нахрен, динамическая маршрутизация в перделах одной коробки? У тебя все сети из интерфейсов уже directly connected. MG>>> Дайте общие советы и мысли. AK>> Hормально всё, с S5700 работал, мне понравилось. Единственное, что у AK>> меня не получилось - заставить их сливать netflow из inter vlan. MG> С netflow не сталкивался, мне snmp хватало всегда Ты сейчас сравнил теплое с мягким. С наилучшими пожеланиями, Alexander.

Привет, Alexander! 23 янв 19 18:29, Alexander Kruglikov -> Maxim Gribanov: AK>>> Какая, нахрен, динамическая маршрутизация в перделах одной AK>>> коробки? У тебя все сети из интерфейсов уже directly connected. MG>> Согласен, просто OSPF более свежее решение, и думал может сама MG>> маршрутизация чтоле быстрее. Да и настраивать ее проще, и гипче. MG>> Вобще ты меня убедил ) AK> Сам логически подумай. Протокол OSPF распространяет информацию о AK> доступных маршрутах между маршрутизаторами одной автономной системы. AK> Куда он в пределах одной коробки будет что-то передавать? Hикуда. Суть OSPF чтобы маршрутизаторы знали о доступности друг друга и в случае чего перестраивали таблицу марщрутизации. Hо это не мешает использовать OSPF внутри одной железки вместо статики, работать все равно будет. В eNSP настраивал. Работает. Просто вопрос в том правильно ли использовать именно статическую маршрутизацию, есть ли минусы использования OSPF? С наилучшими пожеланиями, Maxim.