Всем здравствуйте.
Прошу не бить и не отпинывать. Поиском пользовался, но ответа так и не нашел... Так что прошу сначало все дочитать до конца. Откликнувшимся заранее спасибо.
Ситуация следующая:
Существует достаточно крупная фирма, состоящая из головного офиса и нескольких подразделениями.
Допустим в головном офисе используется сетка 192.168.0.0/24
В подразделениях сетки 192.168.1.0/24, 192.168.2.0/24 и т.п.
Соединение с головным офисом осуществляется аппаратными устройствами, представляющими из себя подобие шлюза (далее буду называть его "железка"):
Например, на данной "железке", который соединяет с одно из подразделений (например с сеткой 192.168.1.0/24) с головным офисом, один сетевой интерфейс смотрит в сетку провайдера, и имеет условный ip 192.168.0.254/24, второй сетевой интерфейс смотрит в сторону локальной сети подразделения и имеет условный ip 192.168.1.1/24.
В подразделении есть ведомый контролер домена с условным ip 192.168.1.10/24. На машинках клиентов устанавливаются ip из подсетки 192.168.1.0/24, шлюзом указывается 192.168.1.1, а DNS'ом 192.168.1.10.
В принципе все работает. Юзеры логиняться, пользуются инетом, работают в шарах, которые распологаются как в сетке 192.168.1.1/24, так и в сетке 192.168.0.1/24. Пользуются сетевыми программами, работают в единой базе данных.
НО!
Подразделение и головной офис находятся на значительном территориальном удалении. Для связи с Головным офисом используется очень "жирный" выделенный провайдером канал. Руководство подразделения хочет делить "содержание" этого самого "жирного" канала между отделами подразделения.
В принципе и здесь все можно было бы сделать, если бы в качестве шлюза стояла обычная машинка. Для Linux существует много считалок трафика (например связка fprobe и flow-tools). Но!:
- Сотрудники Головного офиса не согласятся заменить "мегожелезяку" на машинку-шлюз, потому как та "железяка" выполняет еще роль шифровальщика трафика.
- Можно было бы поставить считалку между этой "железякой" и локалкой подразделения, но для этого (я по крайней мере так вижу) придется изменить адресацию сетки в подразделении, что тоже недопустимо, или адрес "железяки" (смотрящей в локалку подразделения), что тоже не согласятся делать сотрудники Головного офиса.
Отсюда возникает вопрос:
Можно ли поставить между "железкой" и локалкой подразделения некий "Шлюз", но при этом не изменять адресацию сетки подразделения и не изменять адрес на "железке"?
Как бы ответ напрашивается сам собой, что вроде бы можно, но я не совсем внятно представляю себе механизм настройки такого "Шлюза".
Допустим что можно:
Поставим "Шлюз" с двумя сетевыми картами между "железкой" и сеткой подразделения, где сетевой интерфейс eth0 будет смотреть в сторону головного офиса, а eth1 в сторону локальной сети подразделения. Мы получим следующую схему подключения:
Головной Офис | <----> | "Железка" | <----> | eth0 | -- | eth1 | <----> | Подразделение |
192.168.0.0/24 | <----> | <-192.168.0.254/24 | 192.168.1.1/24-> |
| <----> | | | | <----> | 192.168.1.0/24 |
Собственно если так поставим, то как раз и грызет сомнение:
?- Какие адреса задать интерфейсам нашего "Шлюза"? По логике интерфейс, который смотрит в локалку подразделения (eth1) должен иметь адрес 192.168.1.1/24. Тогда и только тогда, пакеты предназначеные Головному офису пойду на данный интерфейс, и в дальнейшем должны быть проброшены на интерфейс eth0 и далее на "Железку". ip на интерфейсе eth0 в принципе может быть любой из подсетки 192.168.1.1/24 (ну кроме тех что уже не используются), например 192.168.1.2.
?- Возникает другой вопрос (наверное глупый с моей стороны, но все же): Каким образом наш "Шлюз" поймет, что пакет нужно отдавать дальше? Какие следует сделать дальнейшие настройки?
?- Как пакеты буду проходить из Головного офиса? Ну пришел на "железку" пакет из подсетки 192.168.0.0/24 адресату 192.168.1.172/24. Но в сторону "железки" смотрит только eth0 с ip-192.168.1.2/24. Как пакет пройдет дальше?
Быть может существует механизм пробрасывать пакеты с одного интерфейса на другой, без оглядки на то, какие подсетки подключены в данные интерфейсы. Пришел пакет на eth0, его перебосило на eth1 и он пошел дальше. И в обратную сторону аналагично. А на "Шлюзе" ведуться логи, от какого "клиента" локалки подразделения ушел пакет, к какому "клиенту" пакет пришел. А дальше дело техники, обработать логи и вывести диаграмы - это уже не сложно.
Пожалуйста, прошу помощи в данном вопросе. Надеюсь что кто нибудь поможет. Заранее спасибо!
P.S. Прошу на орфографию внимания не обращать. Как говориться: "Сорри, спешил..."