Jump to content

Recommended Posts

Доброго времени суток, уважаемые сотрудники Инфотекс! В связи с необходимостью разделения двух ЦОДов возникла необходимость прогнать трафик на канальном уровне через IP. Естественно, что нужна сертифицированная защита. Как я понял из документации с помощью механизма L2overIP это возможно сделать протунелировав оба сегмента сети на ПАКах, и настроив правильно L2overIP. Но стал такой вопрос: А можно ли протащить тегированный трафик с транкового порта коммутатора(802.1q), я понял из документации, что в настройках L2overIP нельзя указать субинтерфейс (eth1.100 например)? Это очень важно, так как если все это сделать через маршрутизацию придется переделывать всю логику работы ЦОДов, что не очень удобно. Очень важно. Подскажите пожалуйста. Заранее благодарен.

Share this post


Link to post
Share on other sites

Дополнение. Как сказано в сценариях использования "Укажите адрес локального сегмента сети как туннелируемый самим ПАК, адрес удаленного сегмента сети — как туннелируемый противоположным ПАК."

Мне не очень понятна данная фраза. Какие сегменты? Сегмент один (например 192.168.0.0/28) Мне что придется сети резать по маскам? Тогда нелогично получается. Или каждый адрес из сегментов указывать в туннель-секции по маске /32 ? И каждый раз как появиться новый адресс его прописывать в туннели? как я понимаю нельзя у двух разных координаторов указывать одни и те же туннели. Еще выдержка из документации: "Задайте фильтр открытой сети, разрешающий трафик с адреса локального сегмента сети." И как мне настроить фильтры?

rule any from 192.168.0.0/28 to 192.168.0..0/28 pass и это при том, что координатор сам в сети 192.168.0.0./28? Может есть какой-то BEST PRACTIC?

Share this post


Link to post
Share on other sites

Могу, если позволите, свои соображения по второму сообщению рассказать. Все-таки, с моей точки зрения, не совсем правильно делать схему все из одной сети доступны всем из другой и наоборот. Определяется сегмент(-ы) за координатором 1 и сегмент(-ы) за координатором 2, то есть то, что будет доступно снаружи. Это с точки зрения безопасности. Ну а в вашем случае предположу, что сегмент=вся сеть. Насколько это правильно сказать не решусь, поскольку не знаю контекста. Про адрес локального сегмента сети, на своем примере скажу - это адреса админской сети (небольшой), то есть тех компов, с которых можно зайти напрямую по путти на координатор и на любое устройство за ним. Да, для них действительно rule= num Z proto any from X.X.X.X-X.X.X.Y to anyip pass. про стандартные правила в этой секции я не говорю. Насколько для остальных именно локальные правила, а не правила форвардинга нужны - опять же от контекста зависит. Только учтите возможность доступа на координатор. По первому вопросу подсказать врядли смогу.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.