Jump to content

Recommended Posts

Доброго времени суток.

Имеется топология, приведенная на рисунке. У сети 1 адресация 172.20.0.0/16. У сети 2 адресация 192.168.0.0/16.

Маршрутизатор, через который осуществляется доступ в Интернет, имеет белый статический IP. Интерфейс координатора eth0 является внутренним, eth1 - внешним (ip-адрес 172.20.36.99). В сети 1 на некоторых компьютерах установлен Vipnet Client. В сети 2 все компьютеры без VipNet Сlient. Удаленный клиент имеет динамический внешний IP.

Возникла необходимость получить доступ с удаленного ноутбука, на котором установлен VipNet Client, к компьютерам из внутренней сети (Сеть 2 - см. рис).

Вопросы:

1) Если в ЦУСе для координатора я пропишу полутуннели на необходимые IP-адреса в Сети 2 и добавлю разрешающие правила в firewall на HW1000, то компьютеры с установленным VipNet Client и прописанными в firewall IP-адресами получат доступ к компьютерам из сети 2. Эта тема работает для Client-ов из сети 1 (если добавить маршрут route add -p 192.168.0.0 mask 255.255.0.0 172.20.36.99).

А что делать для удаленных клиентов, которые подключаются через интернет по виртуальным IP-адресам? Тоже маршрут прописывать, но только уже по виртуальным адресам? Если да, то какое тогда разрешающее правило должно быть в iplir firewall?

2) Если интерфейс eth2 сделать внутренним и к нему подключить один сервер, то нужно ли будет приобретать дополнительно лицензии на туннели между компьютерами, подключенными к eth0 и eth2, eth1 и eth2? Или можно обойтись обычными правилами в файерволле на HW1000?

3) Если организовывать межсетевое взаимодействие между двумя координаторами, и необходимо будет компьютерам без VipNet Client из сторонней сети подключаться к добавленному в текущей сети серверу (eth2) без установленного на нем Vipnet Client, нужно ли будет приобретать лицензию на туннель? Если да, то для координатора из одной сети или из обеих?

Заранее благодарю за ответы.

6f446ce34bae.jpg

Share this post


Link to post
Share on other sites

Добрый день

  1. Для удаленных клиентов можно прописать правило трансляции (динамическая трансляция адресов),
  2. По поводу туннелей, у вас стоит координатор HW1000?, он имеет большое количество туннелей где то 6500.
  3. Межсетевое взаимодействие организовывается между двумя сетями, так для информации, между координаторами устанавливается межсерверный канал. если на другом конце будет такая же железка то все должно быть нормально.

Share this post


Link to post
Share on other sites

Спасибо за ответ.

1. Вы имеете в виду правила трансляции на координаторе или проброс портов на маршрутизаторе? Не могли бы Вы подробнее описать данную процедуру?

2-3. Да, hw1000. А как же та лицензия, которая отображается в ЦУС-лицензии. Там написано туннели - 0/0. Или она ответственна за что-то другое?

Share this post


Link to post
Share on other sites

  1. я подразумеваю трансляцию на координаторе, на словах получается так, у вас удаленный клиент виден по виртуальному адресу к примеру 10.0.0.20, внутренний интерфейс координатора за которым находится ресурс, к которому необходимо обеспечить удаленный доступ, к примеру 192.168.0.1, адрес ресурса к примеру 192.168.0.2. Добавляем 192.168.0.2 в туннели координатора. И пишем правило трансляции адреса отправителя. Пакеты приходящие с адреса 10.0.0.20 транслировать (преобразовывать) в 192.168.0.1. Это на словах. Если вы подключаетесь к координатору с помощью SGA-клиента то там намного проще и туннель добавить и трансляцию прописать.
  2. Лицензия про которую вы говорите это относиться к софтовому координатору, к примеру виндовый. А лицензии на туннель железных координаторов грубо говоря вшиты в них, на 100а - 2 туннеля, на 100в - 5 туннелей, на 100с - 10 туннелей, на 1000 и 2000 - много.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.