Доброго времени суток.
Коллеги, такая ситуация:
Есть DFL и настроенный шейпер, всё выходили через 1 внешний IP в и-нет, и всё работало нормально.
Появилась задача - выдать некоторым внутренним так сказать "структурам" тоже по внешнему адресу для определённых нужд ( кто-то фтп поднял кто-то свой веб сервер ит.п)., соотв. выдал из пула провайдера внешние адреса, раздал их по VLAN (изнчально был настроен) т.е и мои дфл тоже был воткнут wan портом в не тегированный порт коммутатора ( на дфл виланы не создавал).

Собственно проблема - шейпер теперь мягко говоря бесполезен когда по этим выданным адресам начинают гонять трафик т.к канал один на весь пул соотсвенно а через дфл эти внешние адреса никак по понятным причинам не ходят.

Какие у кого есть идеи вообще по решению данной ситуации , т.е как мне реструктурировать сеть и завернуть весь пул через дфл чтобы потом ещё и шейпер нормально заработал ?

заранее спасибо.

Заведите ваши VLANы через DFL, делайте прозрачный режим или просто подсеть отделите и будет у вас все шейпиться

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо конечно, звучит просто ...и я так же себе это примерно представлял, но пока в плане практического применения в голове чепуха =)

Вы предлагаете "все" виланы завернуть в дфл или только тот который отвечает за Инет?, без прозрачного режима я так понимаю никак не обойтись ? (он мне всегда не нравился и я его пропускал при детальном чтении мануала...).

p/s и что вы имели в виду под "отделите подсеть" ?

Отделить подсеть - значит из вашего предоставленного провайдером пула адресов выделить меньший (думаю, в соответствии с CIDR) и повесить его на дополнительный интерфейс (например тот же VLAN), который уже пойдет к клиентам. Надо будет включить Proxy ARP для этого интерфейса, ну и единственный минус - для DFL потребуется один дополнительный адрес. Если критично не тратить еще один, то только transparent mode.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

т.е им нужно будет у себя только изменить шлюз , на этот новый адрес...хм, а для шейпера просто lan и wan2 порты объеденить в группу и на них перераздать правила значит?

А с прозрачным режимом тоже вопрос , в мануале сказано нельзя в этой конфигурации NetdefendOS исполизовать НАТ - как тогда инет то раздавать с приватных айпишников...пул-то не на 300 адресов что бы каждому белый выдать... что то я ваше тугой ..в отпуск пора..)))))

Нельзя NAT между двумя интерфейсами в прозрачном режиме, с другими можно.

Вы хотите WAN2 пустить к клиентам? Не проще ли затеггировать клиентские порты на тот же LAN? А на DFL - просто добавьте VLAN over LAN, будет другой логический интерфейс.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

так и подумал , спасибо!


на DFL vlan вообще не делал и видимо не смогу из за ограничений по лицензиям ( 16виланов на DFL800), а у меня их изначально почти столько было, плюс неотвратимо появляются новые ...потому и дфл включен ланом в не тегированый порт.


получается лучший вариант с транспарентом..+клиентам ничего у себя перенастраивать по идеи не придется?

Вам достаточно сделать один VLAN и заизолировать клиентские порты друг от друга (или не изолировать, ваше право). Или у вас сделано сейчас как-то иначе?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

что-то я себя тугим чувствую =), всегда думал что я себе более не менее всё это представляю =)

и так: есть провод от провайдера, воткнут в не тегированый порт (vlan_wan) L3 свича (ядро сети), в него же воткнуты 2 патчкорда из DFL соотв. в нетегированые порты vlan_wan и vlan_X. Есть ещё vlan_сети Y, Z ит.п, для каждой из них шлюз соотв. ядро сети сам l3 свич, в ядре есть маршрут в 0.0.0.0 который смотрит на lan_ip DFL.
таким образом они все и выходят в инет.
вроде всё подробно расписал.

изолировать ничего ненадо, надо просто в шейпер который в данный момент обрабатывает только через lan порт с десяток сетей, както завернуть и пул внешних адресов., которые пока в обход ДФл гоняют трафик.
Пул внешних адресов раскидан по сети через vlan.
Vlan'ов больше 16ти. DFL-800.

У вас на каждом клиентском VLAN какие шлюзы указаны? Один (провайдерский) или какие-то индивидуальные?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

клиенсткие виланы это допустим: 192.168.10.0\24 , 192.168.20.0\24 ит.п, на l3 свиче есть вирутальный интерфес для каждого из таких виланов, он же и шлюз для них (192.168.10.1 и 192.168.20.1 соотвественно). - обычная схема с l3 в центре и l2 свичами на этажах...

vlan_wan - тот который для инета, для него изначально не создавали интерфейс на ядре , для него просто работает 802.1q в сети - т.е там где нужен был прямой IP , на нужный порт коммутатора делался не тегированый vlan_wan , клиент у себя настраивает внешний ип, шлюз провайдера и втыкает пачкорд в этот порт. ( кому-то просто выдан конец с оптикой и они сами у себя рулят своей железкой , с моей стороны на ядре естессно просто тегированый порт, как они там у себя взяли vlan_wan - тегом или нет мне неважно).

Клиентские вланы с серыми адресами - это все понятно, их можно заNATить, как у вас и было. А вот клиентов с белыми адресами достаточно запихать в один VLAN, только разве порты клиентские заизолировать друг от друга, разве нет? Для DFL это будет один VLAN.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

ок, давайте только более предметно:
создаю vlan_wan на DFL, к какому интерфейсу его привязываю, с каким ip адресом, и что я делаю с wan портом ?

Либо делаете transparent mode на этом VLAN и WAN, тогда адрес не надо. Либо - делаете на VLAN меньшую сеть (из провайдерского пула) и один адрес выделяете под DFL со стороны VLAN - он будет шлюзом для клиентов.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

оке понятно,с транспарентом подумаю...ибо вычитал что при нём шейпер работае только на Layer3 со всеми вытекающими , что вообще печаль =(..а тобы этот вариант был самым удобным т.к менять шлюз клиентам не придется.

Спасибо ещё раз за разъяснения....*ушёл писать заявление на отпуск после такой тупки =)*