Страница печати | Закрыть окно

Прошу помощи с настройкой NAT

Распечатать форум: Форум компании Смарт-Софт
Категория: Другие
Название форума: Общие вопросы по Сетям
Описание форума: Обсуждение различных решений для построения сетей.
URL: http://forum.smart-soft.ru/forum_posts.asp?TID=23303
Дата печати: 19-Фев-19 в 01:43
Версия ПО: Web Wiz Forums 10.14 - http://www.webwizforums.com


Тема: Прошу помощи с настройкой NAT
Автор: denisko
Тема: Прошу помощи с настройкой NAT
Дата отправки: 19-Дек-13 в 00:12
На локальном интерфейсе пара подсетей 172.16.1.0/24 и 172.16.2.0/24. Также выдано провайдером пара "белых" IP-шников (допустим 1.1.1.1 и 2.2.2.2).
Имеется: Сервер с двумя свободными Ethernet портами под Windows Server 2008 R2 и дополнительно маршрутизатор Cisco 1941 в базовой комплектации.
Задача: Натить с 1.1.1.1 в подсеть 172.16.1.0/24, а с IP 2.2.2.2 в подсеть 172.16.2.0/24. Трафик должен ходить через Traffic Inspector.




Ответов:
Автор: Dmitriy_A
Дата отправки: 19-Дек-13 в 08:20
В ТИ Вы можете сделать это посредством Advanced Routing. Включается в конфигураторе, в настройке служб.
Далее создаете 2 правила на разрешение:для каждой из внутренних сетей выбираете роутинг на соответствующий внешний интерфейс.


-------------
Техническая поддержка
Тел. (495)77-55-991, (4966)15-49-21
E-mail: support(coбака)smart-soft.ru


Автор: denisko
Дата отправки: 19-Дек-13 в 09:18
Благодарю за ответ, но два свободных интерфейса имеется всего. Т.е. на одном интерфейсе 2 IP-шника локальных - 172.16.1.254 и 172.16.2.254 (на клиентских машинах указаны в качестве шлюза), а на другом 2 внешних (конечно же с одним и тем же шлюзом и ДНС).


Автор: Dmitriy_A
Дата отправки: 19-Дек-13 в 09:28
Тогда у Вас так не получится. Нужно, чтобы было 2 физических внешних интерфейса, так как NAT работает не с IP адресами, а с интерфейсами.
Если будет 2 внешних физических, а на одном внутреннем 2 IP адреса, то свою схему реализовать сможете.
Включите Advenced Routing и или правилами пользователей, или в настройках пользователей на вкладках роутинг выберете внешние интерфейсы.


-------------
Техническая поддержка
Тел. (495)77-55-991, (4966)15-49-21
E-mail: support(coбака)smart-soft.ru


Автор: DmitryPC
Дата отправки: 19-Дек-13 в 10:21
на машине с ти настройте простой роутинг(через ОДИН интерфейс на циску). натом и рулением кому от имени какого адреса ходить в инет пусть занимается циска(добавить один стат маршрут на сети пользователей через внешний интерфейс машины с ти).
ps. и пару белых ипшников вам выдать не могли... только подсеть из 6 или больше адресов. а если пара то маска /30 с двумя адресами широковещательными одним адресом для вашего сетевого интерфейса и одним адресом который вы должны использовать в качестве шлюза для этого самого интерфейса, т.е. фактически вам выдали ОДИН сетевой адрес. - если у вас подключение к прову обычное IPoE, а не всякие впн\пппое варианты. all imho.


Автор: denisko
Дата отправки: 19-Дек-13 в 10:47
[QUOTE=DmitryPC]и пару белых ипшников вам выдать не могли...[/QUOTE
Вы проницательны. ИП-шников на самом деле больше. Для простоты указал, что 2. Smile


Автор: DmitryPC
Дата отправки: 19-Дек-13 в 10:54

в таком случае ставьте задачу более корректно. и рулите натом лучше на https://www.google.ru/search?ie=UTF-8&hl=ru&q=Cisco%201941%20dnat" rel="nofollow - циске .



Автор: denisko
Дата отправки: 23-Дек-13 в 23:06
Благодарю за ответы.
Подняли НАТ на Циске. На сервере с TI была включена маршрутизация пакетов как указано сдесь (http://support.microsoft.com/kb/315236/ru).
Сервер с TI и Циску соединили сеткой 172.17.255.0/30 (172.17.255.1 - Циска и 172.17.255.2 - TI). Всё прекрасно транслируется с нужного адреса в нужный.
Но теперь появилась другая проблема - трафик, проходящий через прокси TI Циска видит с адреса 172.17.255.2, а не с адреса клиента, соответственно транслируется не на тот внешний ИП.
Может ли прокси TI отдавать Циске адрес клиента?


Автор: DmitryPC
Дата отправки: 24-Дек-13 в 08:24
Исходное сообщение denisko denisko :

Благодарю за ответы.
Подняли НАТ на Циске. На сервере с TI была включена маршрутизация пакетов как указано сдесь (http://support.microsoft.com/kb/315236/ru).
Сервер с TI и Циску соединили сеткой 172.17.255.0/30 (172.17.255.1 - Циска и 172.17.255.2 - TI). Всё прекрасно транслируется с нужного адреса в нужный.
Но теперь появилась другая проблема - трафик, проходящий через прокси TI Циска видит с адреса 172.17.255.2, а не с адреса клиента, соответственно транслируется не на тот внешний ИП.
Может ли прокси TI отдавать Циске адрес клиента?
нет не может. этого не может сделать, вроде как , ни один прокси... не использовали бы Вы проксирование(перенаправление на прокси и блокировку мимо прокси средствами ти) и клиент будет светится в инете под нужным адресом(если он конечно замаплен на циске и она видит серый адрес клиента).


Автор: denisko
Дата отправки: 24-Дек-13 в 11:39
Исходное сообщение DmitryPC DmitryPC :


не использовали бы Вы проксирование(перенаправление на прокси и блокировку мимо прокси средствами ти) и клиент будет светится в инете под нужным адресом(если он конечно замаплен на циске и она видит серый адрес клиента).

Тогда все самые интересные "плюшечки",  будут не доступны. Насколько я понимаю доступен будет только сетевой экран TI.

Я вижу, что TI в настройках пользователя/группы на вкладке "Роутинг" умеет перенаправлять трафик на указанный внешний интерфейс. Вот бы он ещё умел кроме интерфейса указывать IP на этом интерфейсе (в случае, когда на интерфейсе несколько адресов), тогда проблема решалась бы довольно просто.

Ищу решение. Confused


Автор: DmitryPC
Дата отправки: 24-Дек-13 в 11:53
любой софт-прокси работает только от имени основного интерфейса. нат транслирует любые адреса прописанные в пуле. если натом рулит циска(или любой другой вменяемый маршрутизатор) - лучше не проксировать, если натом рулит машина с ти(imho - плохое решение администратора) и имеет несколько внешних каналов, то сможете перенаправлять при помощи упомянутой вкладки на разные внешние интерфейсы, и все-равно, трафик проксированных пользователей(даже если им назначен белый адрес из пула выданного провом) будет идти во вне именно от имени адреса этого самого внешнего интерфейса.
можно сделать чистую маршрутизацию - без использования серых адресов у пользователей, но и в этом случае(если пользователь работает через софт-прокси) получите аналогичный результат.


Автор: denisko
Дата отправки: 24-Дек-13 в 16:38
С провайдером договорились ограничиться одним внешним ИП с повышением скорости.
Теперь другая проблема: при включённом TI скорость (по speedtest.net до другого местного провайдера)  43.48Mbps входящая и 40.56Mbps исходящая, пинг 1Мс. Все правила фильтрации при этом для чистоты эксперимента запрещены.
При остановленной службе TI (галка "Блокировать внешнюю сеть при остановке службы программы" снята) скорость до того же провайдера поднимается до: 241.11Mbps входящая и 257.73Mbps исходящая, пинг 1Мс.

Таблица маршрутизации на всякий:
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       мнтерфейс  Метрика
          0.0.0.0          0.0.0.0     172.17.255.1     172.17.255.2      6
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
       172.17.0.0    255.255.255.0         On-link      172.17.0.254    261
     172.17.0.254  255.255.255.255         On-link      172.17.0.254    261
     172.17.0.255  255.255.255.255         On-link      172.17.0.254    261
       172.17.1.0    255.255.255.0         On-link      172.17.0.254    261
     172.17.1.254  255.255.255.255         On-link      172.17.0.254    261
     172.17.1.255  255.255.255.255         On-link      172.17.0.254    261
       172.17.2.0    255.255.255.0         On-link      172.17.0.254    261
     172.17.2.254  255.255.255.255         On-link      172.17.0.254    261
     172.17.2.255  255.255.255.255         On-link      172.17.0.254    261
       172.17.3.0    255.255.255.0         On-link      172.17.0.254    261
     172.17.3.254  255.255.255.255         On-link      172.17.0.254    261
     172.17.3.255  255.255.255.255         On-link      172.17.0.254    261
       172.17.4.0    255.255.255.0         On-link      172.17.0.254    261
     172.17.4.254  255.255.255.255         On-link      172.17.0.254    261
     172.17.4.255  255.255.255.255         On-link      172.17.0.254    261
       172.17.5.0    255.255.255.0         On-link      172.17.0.254    261
     172.17.5.254  255.255.255.255         On-link      172.17.0.254    261
     172.17.5.255  255.255.255.255         On-link      172.17.0.254    261
       172.17.6.0    255.255.255.0         On-link      172.17.0.254    261
     172.17.6.254  255.255.255.255         On-link      172.17.0.254    261
     172.17.6.255  255.255.255.255         On-link      172.17.0.254    261
       172.17.7.0    255.255.255.0         On-link      172.17.0.254    261
     172.17.7.254  255.255.255.255         On-link      172.17.0.254    261
     172.17.7.255  255.255.255.255         On-link      172.17.0.254    261
       172.17.8.0    255.255.255.0         On-link      172.17.0.254    261
     172.17.8.254  255.255.255.255         On-link      172.17.0.254    261
     172.17.8.255  255.255.255.255         On-link      172.17.0.254    261
       172.17.9.0    255.255.255.0         On-link      172.17.0.254    261
     172.17.9.254  255.255.255.255         On-link      172.17.0.254    261
     172.17.9.255  255.255.255.255         On-link      172.17.0.254    261
      172.17.10.0    255.255.255.0         On-link      172.17.0.254    261
    172.17.10.254  255.255.255.255         On-link      172.17.0.254    261
    172.17.10.255  255.255.255.255         On-link      172.17.0.254    261
      172.17.11.0    255.255.255.0         On-link      172.17.0.254    261
    172.17.11.254  255.255.255.255         On-link      172.17.0.254    261
    172.17.11.255  255.255.255.255         On-link      172.17.0.254    261
      172.17.12.0    255.255.255.0         On-link      172.17.0.254    261
    172.17.12.254  255.255.255.255         On-link      172.17.0.254    261
    172.17.12.255  255.255.255.255         On-link      172.17.0.254    261
      172.17.13.0    255.255.255.0         On-link      172.17.0.254    261
    172.17.13.254  255.255.255.255         On-link      172.17.0.254    261
    172.17.13.255  255.255.255.255         On-link      172.17.0.254    261
      172.17.14.0    255.255.255.0         On-link      172.17.0.254    261
    172.17.14.254  255.255.255.255         On-link      172.17.0.254    261
    172.17.14.255  255.255.255.255         On-link      172.17.0.254    261
      172.17.15.0    255.255.255.0         On-link      172.17.0.254    261
    172.17.15.254  255.255.255.255         On-link      172.17.0.254    261
    172.17.15.255  255.255.255.255         On-link      172.17.0.254    261
      172.17.16.0    255.255.255.0         On-link      172.17.0.254    261
    172.17.16.254  255.255.255.255         On-link      172.17.0.254    261
    172.17.16.255  255.255.255.255         On-link      172.17.0.254    261
      172.17.17.0    255.255.255.0         On-link      172.17.0.254    261
    172.17.17.254  255.255.255.255         On-link      172.17.0.254    261
    172.17.17.255  255.255.255.255         On-link      172.17.0.254    261
      172.17.18.0    255.255.255.0         On-link      172.17.0.254    261
    172.17.18.254  255.255.255.255         On-link      172.17.0.254    261
    172.17.18.255  255.255.255.255         On-link      172.17.0.254    261
      172.17.19.0    255.255.255.0         On-link      172.17.0.254    261
    172.17.19.254  255.255.255.255         On-link      172.17.0.254    261
    172.17.19.255  255.255.255.255         On-link      172.17.0.254    261
      172.17.20.0    255.255.255.0         On-link      172.17.0.254    261
    172.17.20.254  255.255.255.255         On-link      172.17.0.254    261
    172.17.20.255  255.255.255.255         On-link      172.17.0.254    261
      172.17.21.0    255.255.255.0         On-link      172.17.0.254    261
    172.17.21.254  255.255.255.255         On-link      172.17.0.254    261
    172.17.21.255  255.255.255.255         On-link      172.17.0.254    261
      172.17.22.0    255.255.255.0         On-link      172.17.0.254    261
    172.17.22.254  255.255.255.255         On-link      172.17.0.254    261
    172.17.22.255  255.255.255.255         On-link      172.17.0.254    261
      172.17.23.0    255.255.255.0         On-link      172.17.0.254    261
    172.17.23.254  255.255.255.255         On-link      172.17.0.254    261
    172.17.23.255  255.255.255.255         On-link      172.17.0.254    261
      172.17.24.0    255.255.255.0         On-link      172.17.0.254    261
    172.17.24.254  255.255.255.255         On-link      172.17.0.254    261
    172.17.24.255  255.255.255.255         On-link      172.17.0.254    261
      172.17.25.0    255.255.255.0         On-link      172.17.0.254    261
    172.17.25.254  255.255.255.255         On-link      172.17.0.254    261
    172.17.25.255  255.255.255.255         On-link      172.17.0.254    261
     172.17.255.0  255.255.255.252         On-link      172.17.255.2    261
     172.17.255.2  255.255.255.255         On-link      172.17.255.2    261
     172.17.255.3  255.255.255.255         On-link      172.17.255.2    261
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      172.17.0.254    261
        224.0.0.0        240.0.0.0         On-link      172.17.255.2    261
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      172.17.0.254    261
  255.255.255.255  255.255.255.255         On-link      172.17.255.2    261
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0     172.17.255.1       1
===========================================================================



Автор: denisko
Дата отправки: 24-Дек-13 в 16:51
Версия TI: 3.0.1.815
Ревизия драйвера: 194


Автор: DmitryPC
Дата отправки: 24-Дек-13 в 17:00
вопрос то в чем? в низкой производительности драйвера ти? этот вопрос лучше задавать  суппорту напрямую(по телефону или почту, т.к. форум как "не спешен" так и "не обязателен". imho.).. на форуме много тем относительно изменения скорости потока, и объяснений тоже не мало - поиском воспользуйтесь.


Автор: denisko
Дата отправки: 25-Дек-13 в 23:28
Ещё раз благодарю. Все вопросы решены. Проблема со скоростью решилась переездом на 2 x Xeon E5-2620.



Страница печати | Закрыть окно