Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Маршрутизация 4-ех подсетей (более 500-та машин)

Автор: Vedmich
Дата сообщения: 25.01.2010 17:01
Добрый день. Помогите организовать маршрутизацию между 4 локальными сетями с выходом в Интернет. Я постараюсь описать полную задачу и очень хотелось услышать предложения решения проблемы.
Есть сеть примерно 600-700 машин – это общежитие 5 этажей, проложил всю сеть с каждого этажа идет по одному кабелю вниз к центральному свитчу а с него уже на сервер мост перед модемом, этот сервер не наш а провайдера его использовать нет возможности. Есть другой сервер довольно слабая машина, но задач от нёё ставится не много, в нем стоит 5 сетевых карт, в первых четыре карты кабеля с этажей, а пятая в модем. Планируется сделать 4 подсети, на сервере с помощью DHCP выдавать IP тем людям которые принесли свою мак адреса грубо говоря которые оплатили подключение к сети.
Вопрос: помогите с маршрутизацией между подсетями на сервере и маршрутизацию на Интернет. И что лучше использовать для блокировки локального трафика – тем людям кто не оплатил за подключение к сети.
Автор: vlary
Дата сообщения: 25.01.2010 17:45

Цитата:
Планируется сделать 4 подсети, на сервере с помощью DHCP выдавать IP тем людям которые принесли свою мак адреса
Очень хилая защита, МАК-адреса элементарно прослушиваются снифером и подделываются.

Цитата:
помогите с маршрутизацией между подсетями на сервере и маршрутизацию на Интернет.
Поскольку все подсети будут воткнуты в одну машину, и у всех единственный путь по дефолту, никакой маршрутизации не нужно. Поскольку вряд ли провайдер выдал вам 600-700 "белых" адресов, то с выходом в Интернет речь о маршрутизации также не идет.
Вам будет необходим прокси-сервер, или НАТ, или оба сразу. Массу обсуждений и рабочих примеров вы найдете, внимательно пролистав этот раздел и прочитав близкие по тематике топики.
Цитата:
И что лучше использовать для блокировки локального трафика
Лучше всего выдернуть их эзернетовский шнур из гнезда коммутатора и вставить после того, как заплатят.
Со временем научитесь блокировать нужный порт на коммутаторе, не вынимая шнура.
Также можно использовать технологию PPPoE, с идентификацией на РАДИУС-сервере по логину и паролю.


Автор: Vedmich
Дата сообщения: 26.01.2010 09:06

Цитата:
Очень хилая защита, МАК-адреса элементарно прослушиваются снифером и подделываются.

Скажем так - таких умных не очень много и если будут единицы то и их совсем не много.
Относительного того что провайдер выдаст белые IP, скажем прямо это уже не моя задача, у провайдера есть как и прокси так и VPN с реальным IP и то как у них это реализовано к сожалению не имею понятия да и меня туда не пустят(

Цитата:
Лучше всего выдернуть их эзернетовский шнур из гнезда коммутатора и вставить после того, как заплатят.

В связи с тем что свитчи все тупые - не управляемые блокировать нужный порт как вы понимаете практически невозможно, а выдернуть шнур - дело в том все свитчи находятся в комнатах и возможность воткнуть обратно и не проконтролировать это - скажем прямо не возможно. Поэтому система в виде блокировки по маку + IP это лучшее что я смог придумать.
Так мне и не ответили на вопрос: есть 4 подсети
192.168.1.Х 255.255.255.0
192.168.2.Х 255.255.255.0
192.168.3.Х 255.255.255.0
192.168.4.Х 255.255.255.0
Нужно организовать между ними связь и + выход в интернет, который уже имеется.
Организовать все одну сеть не хочу потому что слишком много падений сети, и если сеть падает так падает у всех - я надеюсь что разграничив на подсети я решу это проблему и только блок будет выпадать а не вся сеть.
Автор: adjuster
Дата сообщения: 26.01.2010 09:53

Цитата:
проложил всю сеть с каждого этажа идет по одному кабелю вниз к центральному свитчу

это уже означает, что сетка на этаже будет бесплатна.



Цитата:
Так мне и не ответили на вопрос:

Дали тебе уже ответ:


Цитата:
Вам будет необходим прокси-сервер, или НАТ, или оба сразу.

Автор: vlary
Дата сообщения: 26.01.2010 10:49

Цитата:
Так мне и не ответили на вопрос: есть 4 подсети
Я, по-моему, ясно выразился
Цитата:
Поскольку все подсети будут воткнуты в одну машину, и у всех единственный путь по дефолту, никакой маршрутизации не нужно.


Автор: Vedmich
Дата сообщения: 26.01.2010 13:27
Вы меня немного не поняли с каждого этажа идет один кабель он в сервер а уже с сервера на модем! В сервере 5 сетевых карт, 5 подсетей.
Вы ухватились за те слова как сейчас это организовано а не то как это хочется сделать.
Автор: vlary
Дата сообщения: 26.01.2010 14:47

Цитата:
Вы ухватились за те слова как сейчас это организовано а не то как это хочется сделать.
А вы ничего и не писали про то, как вам хочется сделать. Телепаты в отпуске, поэтому все ответы базировались на том, как все это уже сделано. Хотеть не вредно, но нужно соизмерять желания с возможностями. А они, как я понимаю, у вас скромные. И в финансовом плане, и в остальном. А сделать из дерьма конфетку, не вкладывая никаких затрат, ни финансовых, ни умственных, практически невозможно.
Я вам писал насчет использования технологии PPPoE, вы это проигнорировали. А зря, возможно, это единственный вариант, который прокатит в вашем случае. Рекомендую для начала почитать Здесь и Здесь , а затем засучив рукава приступать к работе, которую за вас все равно никто делать не будет.
Автор: adjuster
Дата сообщения: 26.01.2010 14:52

Цитата:
Нужно организовать между ними связь и + выход в интернет, который уже имеется.

Вот это хочется?
Если - да, то ответ дан выше более 3 раз!!!!
Автор: Vedmich
Дата сообщения: 26.01.2010 16:04
Ребята спасибо за ответы, я конечно понимаю что многие из вас родились со встроенными знаниями - но во есть огромное количество желание разобраться и понять как все это сделать.

Хочется подробнее задать вопросы в продолжении:


Цитата:
Также можно использовать технологию PPPoE, с идентификацией на РАДИУС-сервере по логину и паролю.

Тоесть на сервак ставлю 2003-ю подымаю на ней VPN и каждому кто оплатил выдаю логин и пароль - такое решение довольно сложное поскольку каждому нужно выдать не одинаковые логины и пароли - или это оптимальное решение?
Не могли бы более подробно описать эту технологию, и если это конечно возможно существующую реализацию.

Мой вопрос практически аналогичен ранее подымаемой теме, но поскольку там нет ответа.
http://forum.ru-board.com/topic.cgi?forum=8&topic=27310
У меня ситуация следующая:
Win2k3 сервер, с DHCP раздающим на каждый этаж свои IP, 5-ю сетевухами:
1) 192.168.1.10/255.255.255.0 - смотрит в Инет - шлюз прова:192.168.1.1
2) 192.168.2.X/255.255.255.0 - LAN1 первый и второй этаж - шлюз у клиентов подсети (XP):192.168.2.1
3) 192.168.3.X/255.255.255.0 - LAN2 третий этаж - шлюз у клиентов подсети (XP):192.168.3.1
4) 192.168.4.X/255.255.255.0 - LAN3 четвертый этаж - шлюз у клиентов подсети (XP):192.168.4.1
5) 192.168.5.X/255.255.255.0 - LAN4 пятый этаж - шлюз у клиентов подсети (XP):192.168.5.1

Таким образом получается 4 подсети примерно по 150 человек в каждой. И каждому придется создавать VPN подключение? Или же можно организовать фильтрацию трафика на сервере - не пропускать трафик между подсетями если человек не оплатил и соответственно не пускать на модем(интернет).
Автор: vlary
Дата сообщения: 26.01.2010 16:21

Цитата:
Не могли бы более подробно описать эту технологию, и если это конечно возможно существующую реализацию.
А ссылки на статьи я кому посылал? Или их тоже не заметили?

Цитата:
каждому кто оплатил выдаю логин и пароль - такое решение довольно сложное
Проще только бесплатный доступ, ибо если вы будете выдавать одинаковый логин и пароль, он быстро станет всем известен.
Цитата:
я конечно понимаю что многие из вас родились со встроенными знаниями
Родились мы как все, но только не ленились эти знания постоянно добывать и пополнять, а не ждали, когда нам все разжуют и положат в рот.


Автор: resetsa
Дата сообщения: 26.01.2010 18:43
наверное логичнее на сервере поставить какой нибудь линукс и на каждый интерфейс назначит адрес из своей подсети
1) 192.168.1.2/255.255.255.252 - смотрит в Инет - шлюз прова:192.168.1.1
2) 192.168.2.1/255.255.255.0 - LAN1 первый и второй этаж - шлюз у клиентов подсети (XP):192.168.2.1
3) 192.168.3.1/255.255.255.0 - LAN2 третий этаж - шлюз у клиентов подсети (XP):192.168.3.1
4) 192.168.4.1/255.255.255.0 - LAN3 четвертый этаж - шлюз у клиентов подсети (XP):192.168.4.1
5) 192.168.5.1/255.255.255.0
и разрешить маршрутизацию между интерфейсами в ядре
+ настроить dhcpd
ЗЫ
В принипе про защиту согласен с преидущими ораторами )))
Автор: Vedmich
Дата сообщения: 26.01.2010 22:24
А реализовать тоже самое под виндой возможно?
Автор: Ruza
Дата сообщения: 26.01.2010 22:57
Vedmich

Цитата:
А реализовать тоже самое под виндой возможно?

Конечно можно, что мешает то?
Но исходя из написанного о том что машина под сервер "слабая" а желаний довольно много то win будет не лучшим выбором.

Чисто как совет - обрати внимание на софтовые роутеры на базе linux. Благо их довольно много описано в этом разделе форума.
Вот для начала:
http://forum.ru-board.com/topic.cgi?forum=8&topic=24052&start=200#lt
Автор: Vedmich
Дата сообщения: 27.01.2010 11:46
Спасибо Ruza буду читать. Но есть вопрос насколько мощная должна быть машина что бы реализовать такие задачи под виндой?
Автор: Ruza
Дата сообщения: 27.01.2010 14:48
Vedmich
Дело не в машине, а в хотелках...
Если просто впн+маршрутизация то много и не надо даже для винды (хотя ХЗ что имеется)
А вот потом понадобятся шейперы+www+mail и т.д. уже облом будет...
Автор: resetsa
Дата сообщения: 27.01.2010 18:47

Цитата:
Если просто впн

фигасе просто )))
а шифрование/дешифрование вообще ресурсов не жрет
Автор: virusx
Дата сообщения: 27.01.2010 19:44

Цитата:
а шифрование/дешифрование вообще ресурсов не жрет

а где тут шифрование?
Автор: Ruza
Дата сообщения: 27.01.2010 19:44
resetsa
Готов посмотреть выкладки и графики... Голословно это то же самое что на заборе фиги рисовать.

Как аргумент:

Цитата:
2.3 System requirements
Requirements on minimal hardware parameters of the host where WinRoute will be installed:
• CPU 1 GHz,
• 1 GB RAM,
• Two network interfaces (including dial-ups).
For Windows:
• 50 MB free disk space for installation of Kerio WinRoute Firewall.
• Disk space for statistics (see chapter 21) and logs (in accordance with traffic flow and
logging level — see chapter 22).
• to keep the installed product (especially its configuration files) as secure as possible,
it is recommended to use the NTFS file system.
Автор: Alexsandr777
Дата сообщения: 28.01.2010 10:13
А что так всё сложно? " usergate " в помощь... Он тебе и трафик посчитает, и учётки создаст. А чтоб сеть не падала собери нормальную машину. Хотя если в общаге свет отрубят то инета небудет у всех.
Автор: Vedmich
Дата сообщения: 28.01.2010 11:32
Насчет счета - проблем решения особо нету - вроде как имеется достаточно хороший бесперебойник - да и не так часто падает свет в общаге.
Ребят вы действительно считаете что привязка MAC+IP это совсем слабая защита? Ведь создание VPN подключения это достаточно усложняет задачу и как мне кажется действительно создаст довольно большую нагрузку на сервер - установка соединения, удержания его и + еще шифрования - хотя шифрование конечно можно отключить но тем не менее.
Автор: Ruza
Дата сообщения: 28.01.2010 15:23
Vedmich

Цитата:
что привязка MAC+IP это совсем слабая защита

Ну если общага кулинарного техникума или детского сада №15 то тогда вполне достаточно...
Автор: Vedmich
Дата сообщения: 28.01.2010 17:18
не общага все Машиностроительного факультета и Факультет информационных технологий и робототехники - есть люди более или менее соображающие.
Но как я понимаю тогда у меня будет примерно следующая технология работы:
DHCP сервер стоит, когда любой человек вставляет кабель получает IP, после он создает себе VPN подключение грубо говоря Фамилия и случайно сгеннерированые числа 7 штук(к примеру номер телефона) каждого пользователя я создаю на сервере прописываю ему соответствующие логин и пароль. При подключение к VPN они получают доступ ко всей сети с выходом в интернет - я правильно все понял?
Тогда вопрос - как будет организована маршрутизация при подключении клиентов, и выход в интернет? При подключении выдача еще одного IP? Я просто с VPN работал только для авторизации выхода в интернет, может ссылочка для просвещения.
Автор: Ruza
Дата сообщения: 29.01.2010 09:38
Vedmich

Цитата:
ри подключение к VPN они получают доступ ко всей сети с выходом в интернет - я правильно все понял?

При включении кабеля они получают IP и доступ к локалке, при подключении VPN получают второй IP и доступ к интернету...
Автор: Vedmich
Дата сообщения: 29.01.2010 11:28
Хорошо а если провайдер дает доступ через проксю и возможно через VPN, и у человека будет включена услуга VPN от провайдера, ему придется подключать еще одно подключение и у клиента грубо говоря будет аж 3 подключения висеть? Не будет ли при этом никаких глюков не будет?
Автор: Zenith1983
Дата сообщения: 29.01.2010 12:10

Цитата:
е будет ли при этом никаких глюков не будет?

Если с маршрутизацией не накосячите - то нет. Хоть 10 подключений одновременно...
Автор: Vedmich
Дата сообщения: 31.01.2010 00:49
Можно какую-нить толковую сылочку - что бы понятно было написано по маршрутизации как и что - а то чувствую точно намутим такого что все будет сидеть без интернета.
Автор: Ruza
Дата сообщения: 31.01.2010 18:24
Vedmich
Ты с ОС определись для начала, а потом будет тебе и линки и доки и маны...
Автор: Vedmich
Дата сообщения: 01.02.2010 13:28
Я не могу определится между vyatta и Mikrotik RouterOS - одна бесплатная но инфы почти 0, другая же вроде не возможно найти крякнутную но на форуме достаточно много информации и есть люди которые её пользуются - тоесть есть у кого спросить.
Автор: aak1980
Дата сообщения: 24.02.2010 14:06
Vedmich
мдя, с такими знаниями провайдингом хочешь заняться?
Автор: resetsa
Дата сообщения: 24.02.2010 20:25

Цитата:
Готов посмотреть выкладки и графики...

как пример - не совсем в тему но все же
IPSEC (3des,md5),winxp sp2, 2 клиента (P4/512) сеть- 100, SMB - 5-8 мБ/с
без IPSEC - 8 - 10 мБ/с

Страницы: 12

Предыдущая тема: Ошибка 0x8007000d на Windows Server 2008


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.