![]() |
Предлагаю поломать голову над следующей задачей:
Дано: Сеть, 50 раб. станций с w2k (ip: 192.168.14.x), на 2х серверах с w2k server sp3 подняты AD с итегрированным DNS. Еще на одной машине установлена w2k server и две сетевые карты. Есть еще маршрутизатор Cisco 3600 series, который одним интерфейсом смотрит в локалку (192.168.14.33) а другим - в инет. Cisco подключен к свитчу наравне с остальными устройствами сети. Таким образом, все пользователи локалки имеют доступ к инету после прописки шлюзом Cisco (192.168.14.33). И все бы ничего, но меня это не устраивает. Надоть файерволл поставить. НО! Конфигурирование Cisco - это самое логичное решение, и оно здесь не подходит по бюрократическим причинам. То есть лезть в нее я не имею право. Зато я имею право подключить ее к сетевой карте той самой машины с 2-мя карточками и как-то наладить между ними раутинг. Возможно ли это и как такой финт ушами провернуть? Можно подробно :-) |
BOXP
Проблем я не вижу. Втыкаешь Циску в сервак с двумя сетевухами, настриваешь маршрутизацию м\у этими сетевухами, атким образом чтоб правила маршрутизации проходили и через ФайерВолл. Прописываешь на все машины шлюзом вторую сетевуху сервера ( та что смотрит у тебя в локалку). Плюсы такого варианты очевидны 0) Ты сможешь ставить прокси сервер, программно ограничивать трафик, считать его и т.д. Про настройку роутинга читай Хелп по Винде, файеер и прокси по выбору. |
Да есть проблема, есть.
Смотри - две карты компа и Cisco в одной подсети. Делаем tracert: пакет перенаправляется на шлюз (сетевая карта в локалке), тот должен перенаправить на следующий шлюз. А что прописано шлюзом? Если вторая карта (которая смотрит на второй шлюз), то нифига не происходит. Если адрес компа-шлюза (то есть первого маршрутизатора, то это адрес этой самой карты, то есть зацикливается...). Короче, поставил маршрутизатор w2k server и туплю теперь... |
BOXP
В моём понимание всё должно быть так: Весь трафик с сети поступает на сетевуху сервера смотрящую в локалку, с неё весь трафик идёт на сетевуху смотрящую на Циску. Циска обрабатывает полученный трафик и то что надо шлёт в Инет... Так то у тебя еще либо Маскардинг либо НАТ подняты на Циске )) |
Bugs
Ну даже если и поднят НАТ что это даст то??? НАТ ведь поднимется на нужные интерфейсы (на исходящий) и на работу внутри сети это не должно влиять. Все должно работать. |
Никогда раньше маршрутизацию не нестраивал, потому мозги просто дымятся.
Bugs пишет: "Проблем я не вижу. Втыкаешь Циску в сервак с двумя сетевухами, настриваешь маршрутизацию м\у этими сетевухами, атким образом чтоб правила маршрутизации проходили и через ФайерВолл. Прописываешь на все машины шлюзом вторую сетевуху сервера ( та что смотрит у тебя в локалку). " А можно подробнее? То есть что прописывать на 2 сетевых интерфейсах сервера и какие именно маршруты должны быть прописаны во вкладке "IP-маршрутизация"? Будет громкий "сенкс"... |
Zx
Настраиваешь таким образом (я с Виндой не работал, только с Юниксом). Eth1 - сетевуха смотярщая с сервака в локалку Eth2- сетевуха смотярщая с сервака на Циску 1) На всех машинах прописываешь в качестве шлюза Eth1 2) На серваке настриваешь маршрутизацию таким образом, что весь трафик тупо передаётся на Eth2 (т.е. Eth2 стоит шлюзом у Eth1) 3) У Eth2 шлюзом ставишь Циску З.Ы. Чтоб пользователи не могли прописать Циску в качестве шлюза, целесообразно прописать на порт Циски и на Eth2 адреса другой подсети например 10.0.0.0 В принципе ты можешь обойтись даже одной сетевухой на сервере (на Линуксе по крайне мере можно назаначть на одну сетевуху любое кол- во ИП адресов и привил маршрутизации к ним ). Меня не было по этому и не отвечал, щас постараюсь отвечать оперативно |
Да, я именно так и делал. И работает оно только так. Вот только:
"Чтоб пользователи не могли прописать Циску в качестве шлюза, целесообразно прописать на порт Циски и на Eth2 адреса другой подсети например 10.0.0.0 " А где это у циски прописать, я ведь в нее залезть не могу. Хотя, если подскажешь, как в IOS 12.1 изменить ip cisco, а также список dns и ntp - буду вери признателен. А то бумажек масса, и английский, хотя и знаю, а докопаться трудно - и боюсь чего-нить изгадить - не моя ведь вещь, надо все делать быстро и незаметно... :-) Еще кстати: а реально на то, что получилось надставить ISA Server и какие особенности у подобного прожекта? |
BOXP
На Циске стоят пароли, их надо знать. Давай уточним топологию сети )) В Циску включен только Eth2? Если так то ни каких проблем нет ))) Весь трафик и так пойдёт через сервак ))) |
Проверил пароль "cisco" - как ни странно - подошло :-)
Пока киска включена в свитч на общих основаниях. Eth2 - тоже. Как я полнимаю, Eth2 можно включить непосредственно в киску, используя хитрый патчкорд - я такой уже сделал на всякий... Подключаю киску прямо в Eth2 - не работает... Чего-то не хватает... |
BOXP
Нет для включения Циски в комп нужен как раз простой патч- корд, такой же как для подключения компов к активке. |
Время: 08:25. |
Время: 08:25.
© OSzone.net 2001-