Jump to content

Recommended Posts

Доброго времени суток, уважаемые сотрудники Инфотекс! В связи с необходимостью разделения двух ЦОДов возникла необходимость прогнать трафик на канальном уровне через IP. Естественно, что нужна сертифицированная защита. Как я понял из документации с помощью механизма L2overIP это возможно сделать протунелировав оба сегмента сети на ПАКах, и настроив правильно L2overIP. Но стал такой вопрос: А можно ли протащить тегированный трафик с транкового порта коммутатора(802.1q), я понял из документации, что в настройках L2overIP нельзя указать субинтерфейс (eth1.100 например)? Это очень важно, так как если все это сделать через маршрутизацию придется переделывать всю логику работы ЦОДов, что не очень удобно. Очень важно. Подскажите пожалуйста. Заранее благодарен.

Share this post


Link to post
Share on other sites

Дополнение. Как сказано в сценариях использования "Укажите адрес локального сегмента сети как туннелируемый самим ПАК, адрес удаленного сегмента сети — как туннелируемый противоположным ПАК."

Мне не очень понятна данная фраза. Какие сегменты? Сегмент один (например 192.168.0.0/28) Мне что придется сети резать по маскам? Тогда нелогично получается. Или каждый адрес из сегментов указывать в туннель-секции по маске /32 ? И каждый раз как появиться новый адресс его прописывать в туннели? как я понимаю нельзя у двух разных координаторов указывать одни и те же туннели. Еще выдержка из документации: "Задайте фильтр открытой сети, разрешающий трафик с адреса локального сегмента сети." И как мне настроить фильтры?

rule any from 192.168.0.0/28 to 192.168.0..0/28 pass и это при том, что координатор сам в сети 192.168.0.0./28? Может есть какой-то BEST PRACTIC?

Share this post


Link to post
Share on other sites

Могу, если позволите, свои соображения по второму сообщению рассказать. Все-таки, с моей точки зрения, не совсем правильно делать схему все из одной сети доступны всем из другой и наоборот. Определяется сегмент(-ы) за координатором 1 и сегмент(-ы) за координатором 2, то есть то, что будет доступно снаружи. Это с точки зрения безопасности. Ну а в вашем случае предположу, что сегмент=вся сеть. Насколько это правильно сказать не решусь, поскольку не знаю контекста. Про адрес локального сегмента сети, на своем примере скажу - это адреса админской сети (небольшой), то есть тех компов, с которых можно зайти напрямую по путти на координатор и на любое устройство за ним. Да, для них действительно rule= num Z proto any from X.X.X.X-X.X.X.Y to anyip pass. про стандартные правила в этой секции я не говорю. Насколько для остальных именно локальные правила, а не правила форвардинга нужны - опять же от контекста зависит. Только учтите возможность доступа на координатор. По первому вопросу подсказать врядли смогу.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.