проблема с маршрутизацией, потери пакетов
-
@Konstanti said in проблема с маршрутизацией, потери пакетов:
Родилась одна идея , к каким хостам из 20.0/23 нужен доступ из 50.0/24 и 70.0/24 ?
Ну это в основном сервера: 1C, SQL сервера, 2 домена, файловые сервера, СКУД. почтовый сервер, NAS, телефония. Порядка 15 серверов.
К обычным хостам из 20.0/23 доступ не нужен. -
@legsedel
Вообще-то , я имел в виду IP адреса ....
p.s. появилась еще одна идея .... -
@Konstanti said in проблема с маршрутизацией, потери пакетов:
Вообще-то , я имел в виду IP адреса ....
p.s. появилась еще одна идея ....192.168.20.2, 192.168.21.3, 192.168.20.128, 192.168.21.1, 192.168.20.20, 192.168.20.236, 192.168.20.6, 192.168.20.51, 192.168.21.4, 192.168.20.54, 192.168.21.200, 192.168.21.2
-
@legsedel
понятно
1 идея была в том , чтобы все сервера перенести в адресное пространство 192.168.21.0/24
и настроить l3 коммутатор так , чтобы он знал только о сети 192.168.20.0/24 (а pf знает о сети 192.168.20.0/23)
в этом случае, при доступе к ресурсам сети 192.168.21.0/24 -> L3 коммутатор шлет весь трафик на pf ( а тот уже дальше)идея 2
L3 коммутатор <-> PF соединить выделенной отдельной сетью ( например , 192.168.30.0/24 )
тогда l3 коммутатор ничего не будет знать о сети 192.168.20.0/23 и будет все пакеты слать на pF , а тот уже , в свою очередь , дальше переправлять трафик , куда надо -
@Konstanti said in проблема с маршрутизацией, потери пакетов:
1 идея была в том , чтобы все сервера перенести в адресное пространство 192.168.21.0/24
и настроить l3 коммутатор так , чтобы он знал только о сети 192.168.20.0/24 (а pf знает о сети 192.168.20.0/23)
в этом случае, при доступе к ресурсам сети 192.168.21.0/24 -> L3 коммутатор шлет весь трафик на pf ( а тот уже дальше)Этот вариант не подходит.
@Konstanti said in проблема с маршрутизацией, потери пакетов:
идея 2
L3 коммутатор <-> PF соединить выделенной отдельной сетью ( например , 192.168.30.0/24 )
тогда l3 коммутатор ничего не будет знать о сети 192.168.20.0/23 и будет все пакеты слать на pF , а тот уже , в свою очередь , дальше переправлять трафик , куда надоэто еще одну сетевую карту надо задействовать на PF?
А может использовать динамическую маршрутизацию?
-
@legsedel Vlan ( транковый порт)
Vlan 100 (L3-L2)
Транк L2-PF ( 100 + vlan на сеть 20.0/23) -
@Konstanti said in проблема с маршрутизацией, потери пакетов:
Vlan ( транковый порт)
Vlan 100 (L3-L2)
Транк L2-PF ( 100 + vlan на сеть 20.0/23)Саб интерфейс городить....мдя, как-то все через одно место получается
-
@legsedel
у вас в сети 2 маршрутизатора , Вам надо разделить трафик ....
PF - это файрвол с контролем состояний
Для решения проблем с асимметричной маршрутизация ( tcp) надо отключать контроль флагов в правилах
я так понимаю , что еще нужен контроль доступа на серверах ( поэтому НАТ неприменим )
Подумайте еще над вариантом , чтобы шлюз по умолчанию для кого-то в сети 20.0/23 был 20.1 -
@Konstanti said in проблема с маршрутизацией, потери пакетов:
Подумайте еще на вариантом , что шлюз по умолчанию для кого-то в сети 20.0/23 был 20.1
Проверил, пакеты ходят без потерь! Хороший вариант. Спасибо вам! Только теперь надо всем в 20.0/23 перевыдавать сетевые настройки через dhcp и указывать шлюз 20.1
Весь траффик будет идти через L3 коммутатор, а вот потянет ли он такую нагрузку? Вот интересно, какая пропускная способность маршрутизации на L3 коммутаторе (mes2348b), гигабит или больше?Эх...надеялся на чудесные возможности Pfsense, до последнего думал, что все-таки на нем что-то надо настраивать и не трогать сеть....
-
@legsedel
не может быть простых решений в сетях с несколькими шлюзами
По поводу пропускной способности .... сложно сказать , все проверяется только экспериментальным путем
а так , не за что ... обращайтесь