Отдельные шлюзы на одной машине.
Ребят, помогите решить следующий вопрос.
На данный момент есть входной шлюз, на оном крутится 2003 сервер с Траффик Инспектором, считает клиентов, идентифицируются по ip/mac-адресу, выданному каждому клиенту. За этим шлюзом стоят ОТДЕЛЬНЫЕ маленькие роутеры (обычные, SOHO-класса) и они уже по DHCP раздают каждому клиенту сетевые настройки. О существовании друг друга они не подозревают и сетями между собой не пересекаются, Траффик Инспектор считает трафик каждого роутера выданный клиенту и все счастливы. Но есть несколько моментов, которые все портят.Во первых низкая надежность этих самых роутеров, во-вторых трудно контролировать и управлять всем этим хозяйством, ведь по сути количество роутеров равно кол-ву клиентов и если к примеру кто-то съезжает/перезжает переносить/перенастраивать долго и муторно.
Так вот, как мне избавиться от россыпи этих роутеров и сделать его в виде одной железки. То бишь сервер с биллингом не трогать, а вот избавиться от россыпи этих роутеров и запихнуть их в одно логическое устройство и управлять уже им. Закавыка в том, что эти виртуальные роутеры не должны пересекаться друг с другом, трафик и сети клиентов должны быть разделены.
Я бы и не обращался, но не знаю даже как нагуглить решение данной ситуёвины. Да, сервер с биллингом и клиентские роутеры располагаются в разных зданиях. Здания соединены между собой оптикой. Первое что приходит в голову - это ставить linux, в нем поднимать к примеру XEN и там уже плодить мини-роутеры, разделять трафик по разным v-lan-ам и пробрасывать его к серверу с биллингом. Черт его знает насколько это правильно и будет ли работать вообще.
В общем, такие вот пироги. Буду рад Вашей помощи, хотя бы намекните куда копать-то, а дальше я уже сам.
- Для комментирования войдите или зарегистрируйтесь
Policy Based Routing в LARTC
Policy Based Routing в LARTC почитай
Нейтральность - высшее достижение сознания!
оахренть. слов нет - я всегда
оахренть. слов нет - я всегда мечтал увидеть такую архитектуру и пару малчиков при нём.
По теме - купи нормальный свитч и выкинь все эти недоделки во главе с нетрафиик недоинспектором.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
.
Интеграторы, специализирующиеся на платформе альтернативной ОС почти что подряд.
Ахренеть :)
Нога высказался критически об альтернативной ОС.
В фортунки!
:wq
--
Live free or die
Насчет архитектуры полностью
Насчет архитектуры полностью согласен - сам когда увидел - офигел. Даже не думал, что такое бывает. Коммуникационый шкаф с вываливающимися оттуда trendnet-ами - то ещё зрелище >__< Но как бы то ни было, мне это досталось в наследство и отказаться от этого не получается :( Да, клиентов немного на самом деле - от силы 30 человек, маленькие фирмочки с кол-вом сотрудников 2-4 человека. Зря меня в интеграторы приписали :) Долго объяснять, но по сути данная ботва с моей работой непосредственно и не связана и денег мне за это не платят, только гемор лишний. Однако с генеральным спорить трудно. Этот франкенштейн в принципе и так работает, но хотелось бы более красивого, что ли, решения.
Так вот, по делу. Меня народ или недопонял или я криво объяснил. Трафик инспектор выкинуть не могу - честно куплен, как и винда на которой он установлен. Первый сервак натит интернеты в локалку, в этой локалке те самые роутеры, с выделенными им локальными ip, которые прописаны в трафик инспекторе (считаются как клиенты).Эти роутеры опять натят и раздают айпишники уже непосредственно на клиентские компы. По сути получается двойной NAT. Мало того, кроме как исходящего трафика, есть и входящие пробросы (например сервер RDP в сети клиента) с внешним выделенным ip. Так вот, как бы мне все эти маленькие "железные" роутеры поместить сделать в виде логических и собрать в одном месте.
Для начала отдели мух от
Для начала отдели мух от котлет - убери двойной NAT и поставь пограничным маршрутизатором машину с Linux внутри. Далее - почитай LARTC и сформируй в голове(а лучше - на бумаге) то, что ты хочешь. Перечитывай LARTC до тех пор пока не поймешь как это сделать или что это сделать невозможно(в этом случае - возврат на пункт назад и новая схема)
Нейтральность - высшее достижение сознания!
По идее - несколько разных
По идее - несколько разных сетей может обеспечить нормальный свич с вланами. В идеале набитый sfp модулями, дабы избавиться от кучи медиаконвертеров. На стороне клиента (поскольку у клиента может быть несколько машин) должен быть свич. Коль скоро клиент добирается до вас по оптике нужен в идеале свич с оптическим входом (sfp или встроенный), либо свич и медиа конвертер, что менее надежно. Магистральный свич ессно должен обеспечивать приемлемую пропускную способность. Все это в куче потянет под миллион деревом. Полагаю, что ваш работодатель будет сильно озабочен бюджетом и у него возникнет вполне нормальный вопрос - что лично он с этого поимеет. Уверен, что ваша тяга к правильным и красивым решениям будет неверно оценена. Ни один работодатель не даст денег на то чтоб вам было несколько проще исполнять ваши обязанности, при том что до вашего появления никто с него этот миллион не требовал.
Не знаю что так удивило slepnoga в вашей архитектуре. ИМХО вполне нормальное решение на дешевых шелезяках и бесплатных сисадминах. Встречается достаточно часто. Ну а то, что часто падает - на то вы и сисадмин, шоб подымать. То,что эти обязанности не ваши - миф, избавиться от них вы можете только избавившись от данного места работы. Я тоже много чего умею. Могу копать, чинить электрику, делать ремонты помещений,готовить и мыть полы. Однако у меня достаточно опыта чтоб тупить, и не заниматься этим на работе бесплатно.
Спасибо, Вы сразу въехали в
Спасибо, Вы сразу въехали в мою ситуацию, благодарствую :) Смотрите, оптоволокно давно проложено между зданиями (делали изначально при постройке зданий), медиконверторы стоят (100 Мбит, но хватает). Сейчас используются две линии, одна под нашу локалку, вторая идет как раз для клиентов. Все это уже налажено и работает, задача просто избавиться от лишнего хлама. По большому счёту и так можно оставить, но вот самому интересно решить эту ситуёвину. Купить свитч с поддержкой VLAN тоже нетрудно (и в принципе он уже есть, лежит на полке). Затык сейчас в том, чтобы избавиться от этих дешевых роутеров, кучкой наваленных в коммутационном шкафу. Есть же наверняка программное решение заменить железный функционал на программный. Неужто придётся ставить гипервизор, ну скажем XEN, а в нём уже для каждого клиента поднимать ну тот же линь в минимальной конфигурации, нужно немного то по сути - NAT и достаточно редко со стороны интернетов проброс на внутренний сервер клиента. Купить бюджетное железо под виртуалку (XEN), думаю не будет проблемой, главное - правильно аргументировать ночальство :)
Насчет гипервизора и переносом туда всех девайсов я правильно предположил или нет? А то мне советовали решить данную проблему маршрутизацией, но я так и не вкурил как она тут меня выручит. Хотя, спору нет, дока весьма нужная и полезная.
Зачем ХЕN городить? все на
Зачем ХЕN городить? все на одной железке можно сделать, тем более что есть свич умный.
Если нужна помощь пишите в личку помогу чем смогу.
http://ru.wikipedia.org/wiki/
http://ru.wikipedia.org/wiki/VLAN. Это даст вам несколько независимых широковещательных доменов, по одному на каждого клиента. Затем все это заводится в один маршрутизатор. Если нет клиентов, сидящих одновременно в двух зданиях и желающих одну сеть,можно выкинуть к чертям мудрый коммутатор и заводить клиентскую оптику напрямую в роутер (проблемы с портами). Короче любое решение денег стоит, а их надо считать. Ксен (ИМХО) вам никак не поможет. Для начала объяснтие себе как вы в этот ксен тридцать концов заведете. Ежели уж решили выкинуть аппаратную чать, то следует выкинуть и методы работы, ею продиктованные. Архитектуру сетки лучше, для начала, прорисовать и потестить в gns3.