Функционал L2 Over Ip В Пак Vipnet Coordinator Hw 2000

[demda]

Доброго времени суток, уважаемые сотрудники Инфотекс! В связи с необходимостью разделения двух ЦОДов возникла необходимость прогнать трафик на канальном уровне через IP. Естественно, что нужна сертифицированная защита. Как я понял из документации с помощью механизма L2overIP это возможно сделать протунелировав оба сегмента сети на ПАКах, и настроив правильно L2overIP. Но стал такой вопрос: А можно ли протащить тегированный трафик с транкового порта коммутатора(802.1q), я понял из документации, что в настройках L2overIP нельзя указать субинтерфейс (eth1.100 например)? Это очень важно, так как если все это сделать через маршрутизацию придется переделывать всю логику работы ЦОДов, что не очень удобно. Очень важно. Подскажите пожалуйста. Заранее благодарен.

[demda]

Дополнение. Как сказано в сценариях использования "Укажите адрес локального сегмента сети как туннелируемый самим ПАК, адрес удаленного сегмента сети — как туннелируемый противоположным ПАК."

Мне не очень понятна данная фраза. Какие сегменты? Сегмент один (например 192.168.0.0/28) Мне что придется сети резать по маскам? Тогда нелогично получается. Или каждый адрес из сегментов указывать в туннель-секции по маске /32 ? И каждый раз как появиться новый адресс его прописывать в туннели? как я понимаю нельзя у двух разных координаторов указывать одни и те же туннели. Еще выдержка из документации: "Задайте фильтр открытой сети, разрешающий трафик с адреса локального сегмента сети." И как мне настроить фильтры?

rule any from 192.168.0.0/28 to 192.168.0..0/28 pass и это при том, что координатор сам в сети 192.168.0.0./28? Может есть какой-то BEST PRACTIC?

[Alejandro]

Могу, если позволите, свои соображения по второму сообщению рассказать. Все-таки, с моей точки зрения, не совсем правильно делать схему все из одной сети доступны всем из другой и наоборот. Определяется сегмент(-ы) за координатором 1 и сегмент(-ы) за координатором 2, то есть то, что будет доступно снаружи. Это с точки зрения безопасности. Ну а в вашем случае предположу, что сегмент=вся сеть. Насколько это правильно сказать не решусь, поскольку не знаю контекста. Про адрес локального сегмента сети, на своем примере скажу - это адреса админской сети (небольшой), то есть тех компов, с которых можно зайти напрямую по путти на координатор и на любое устройство за ним. Да, для них действительно rule= num Z proto any from X.X.X.X-X.X.X.Y to anyip pass. про стандартные правила в этой секции я не говорю. Насколько для остальных именно локальные правила, а не правила форвардинга нужны - опять же от контекста зависит. Только учтите возможность доступа на координатор. По первому вопросу подсказать врядли смогу.