Интернет-шлюз Squid и Cisco 3560

[dimasik22]

Здравствуйте! Ребята, подскажите как быть, в общем есть 4 подсети которые маршрутизирует cisco catalyst 3560 PoE8, соответственно является шлюзом для всех клиентов всех подсетей, далее, появилась необходимость раздать интернет одной из подсетей, для этого был поднят интернет-шлюз на базе Ubuntu+Squid, но вот проблема, как этот шлюз ввести в сеть?
Спасибо.

[fisher74]

С каких это пор каталисты маршрутизируют и являются шлюзами?

[dimasik22]

А как же?
У меня работает так, есть 4 подсети, на cisco 3560 подняты 4 порта с vlan соответствующих подсетей.
На клиентах выставляю шлюз подсети.. и всё... вижу все подсети, могу из каждой работать...
Может я то то не понял, поясните?

[Гарри Кашпировский]

Хе-хе, всегда каталисты имели базовую маршрутизацию.
Другое дело, что в качестве маршрутизатора не совсем верно его использовать, ну да ладно.
Вариантов тут два кмк:
1. Всеж-таки использовать 3560 по прямому назначению. А как маршрутизатор использовать US.
2. В сети, где расположен US, шлюзом указать его и записать остальные маршруты на подсети через 3560 (DHCP в помощь)
Вот как-то так получается.
PS Ждём каментов ниже, может кто еще более правильный вариант подскажет.

[dimasik22]

Здравствуйте! Спасибо за ответы!
DHCP использовать не могу, по определенным причинам.
Ребят, всё же моя cisco 3560 будет именно маршрутизатором четырех моих подсетей, так всё же нужно, но вот как воткнуть этот интернет шлюз... блин.. помогите?

[_rod_]

Это л3-коммутатор (Layer 3 модель ИСО гуглите) поэтому роутить он может.
По вопросу - прокси (и вообще все сервера) хороший тон дизайна сети говорит, что надо помещать в отдельную сеть(влан). У вас получится что-то типа дмз. Серверы доступны изнутри по одной точке - 3560 - легко закрыть при надобности ACL'ами... Помещать серверы с рабочими станциями в одной сети - не гуд.
Сделайте на 3560 пятую влан и его же шлюзом (default gateway) для сеточки серверов где-то размером /27-/28 и туда свой проксик - и будет вам счастье

[dimasik22]

Сделайте на 3560 пятую влан и его же шлюзом (default gateway) для сеточки серверов где-то размером /27-/28 и туда свой проксик - и будет вам счастье

Спасибо за ответ! Будьте добры, можно по подробнее описать, что делать?
С cisco ыпервые сталкиваюсь, по мануалу настроил 4 vlan'а, пятый думаю по аналогии смогу, а вот остальное ьл есть это - "его же шлюзом (default gateway) для сеточки серверов где-то размером /27-/28 и туда свой проксик".

[_rod_]

В циске
switch(config)#vlan 5
switch(config-vlan)#name DMZ
switch(config-vlan)#end
switch#copy run start
#Создается влан 5 с именем DMZ и все сохраняем


сеть /27 значит что маска у сети будет 255,255,255,224. Шлюзом (дг) опять же хороший тон говорит, что надо делать первый разрешенный адрес сети. Например, сеть у нас 192,168,0,0/27 - разрешенные адреса для конкретно этой сети с 192,168,0,1 по 192,168,0,30 включительно. Т.е. шлюз 192,168,0,1.
На циске на интерфейс влана серверов вешаем адрес 192,168,0,1
switch(config)#int vlan 5
switch(config-if)#ip address 192.168.0.1 255.255.255.24

После этого проксик воткнуть в порт где switchport access vlan 5 и адрес на сетевуху Ubuntu, которая смотрит в лан, например 192,168,0,2 255,255,255,224 и ваш прокси будет видеть дг. все хосты которые в влане 5 будут пинговать шлюз...
3560 все роутит и все рабочие станции во всех других вланах видят прокси. Кому не надо видеть закрываем листами либо на 3560 либо на прокси. Имхо рубить надо на 3560 (ближе к источнику ненужного трафика), но если 3560 и так нагружен, то можно и на прокси

[dimasik22]

Вот спасибо, уххх блинн, класс, всё ночь буду сидеть "переваривать", в понедельник-вторник начну строить!
Думаю еще вопросов куча будет, это всё так интересно!
Спасибо.
Пользователь решил продолжить мысль 02 Октября 2011, 18:32:33:Да кстати, Вы писали "3560 все роутит и все рабочие станции во всех других вланах видят прокси", а как сделать чтобы ни всё вланы видели прокси, а только нужные, вернее только одна влан?
Спасибо.

[_rod_]

Нуууу.... тут так быстро и не скажешь... курите ACL ака список доступа...
повесить акл на интерфейс влана могу только сказать...

[dimasik22]

Нуууу.... тут так быстро и не скажешь... курите ACL ака список доступа...
повесить акл на интерфейс влана могу только сказать...

Нужно будет повесить акл на интерфейс 5 влана, да?
Скажите пожалуйста, мне интересно решение именно на базе циски.

[_rod_]

да на 5 влан циски... ну тут еще надо учитывать направление трафика - входящий во влан или исходящий из влана (in\out). Может вам удобней\понятней будет вместо одного акл на 5-ом влане, 4 акла на других вланах сделать....

[dimasik22]

да на 5 влан циски... ну тут еще надо учитывать направление трафика - входящий во влан или исходящий из влана (in\out). Может вам удобней\понятней будет вместо одного акл на 5-ом влане, 4 акла на других вланах сделать....

Если Вас не затруднит, напишите, оба варианта, на одном 5-ом влане, и решение с добавлением 4 акла на других вланах, для общего развития и более детального понимания.
Спасибо.

[_rod_]

От прошивки коммутатора (IOS) зависит к какому направлению трафика можно применить акл - in/out/both... Напишу только пример для одного 5-ого влана, а там уже по аналогии разбирайтесь.
Дано, например:
прокси - 192,168,0,2 раздает инет по порту tcp/3128
хост админа - 192,168,1,36
Сети раб. станций (разделены разными вланами и доступны друг другу через 3560)
192,168,1,0/24 (255,255,255,0)
192,168,2,0/24
192,168,3,0/24
192,168,4,0/24
Инет нужно дать сети 3.
#на циске создаем акл(будем для сразу для обоих направлений - both)
switch(config)#ip access-list extended DMZ
switch(config-ext-nacl)#permit ip host 192.168.1.36 any
switch(config-ext-nacl)#permit ip any host 192.168.1.36
switch(config-ext-nacl)#permit tcp 192.168.3.0 0.0.0.255 host 192.168.0.2 eq 3128
switch(config-ext-nacl)#permit tcp host 192.168.0.2 192.168.3.0 0.0.0.255 eq 3128

Аклы циски по умолчанию заканчиваются всезапрещающей строкой deny ip any any, так что в акл пишите все что может проходить. Маски в аклах пишутся инверсные. Прогу для юзаю вот эту http://lantricks.com/lancalculator/

Теперь применить данный акл к интерфейсу надо:
switch(config)#int vlan 5
switch(config-if)#ip access-group DMZ both

Все...

[dimasik22]

В циске
switch(config)#vlan 5
switch(config-vlan)#name DMZ
switch(config-vlan)#end
switch#copy run start
#Создается влан 5 с именем DMZ и все сохраняем


сеть /27 значит что маска у сети будет 255,255,255,224. Шлюзом (дг) опять же хороший тон говорит, что надо делать первый разрешенный адрес сети. Например, сеть у нас 192,168,0,0/27 - разрешенные адреса для конкретно этой сети с 192,168,0,1 по 192,168,0,30 включительно. Т.е. шлюз 192,168,0,1.
На циске на интерфейс влана серверов вешаем адрес 192,168,0,1
switch(config)#int vlan 5
switch(config-if)#ip address 192.168.0.1 255.255.255.24

После этого проксик воткнуть в порт где switchport access vlan 5 и адрес на сетевуху Ubuntu, которая смотрит в лан, например 192,168,0,2 255,255,255,224 и ваш прокси будет видеть дг. все хосты которые в влане 5 будут пинговать шлюз...
3560 все роутит и все рабочие станции во всех других вланах видят прокси. Кому не надо видеть закрываем листами либо на 3560 либо на прокси. Имхо рубить надо на 3560 (ближе к источнику ненужного трафика), но если 3560 и так нагружен, то можно и на прокси

Здравствуйте! В общем добрался до своих сетей, начал настраивать как здесь написано.... но не получается, VLAN5 не пингуется даже внутри своей сети... подскажите может что-то еще упустил?
Пользователь решил продолжить мысль 27 Октября 2011, 22:37:54:Ребята, подскажите еще, как создать vlan, когда дано ipvpn подключение со следующими данными:
ip: 10.0.0.5
mask: 252.0.0.0
gw: 10.0.0.1
Пользователь решил продолжить мысль 28 Октября 2011, 09:46:48:Ребята.... HELP!!!!