[Comm] Маршрутизация, IP, IPX, разделение доступа

Ivan Pesin =?iso-8859-1?q?ipesin_=CE=C1_post=2Elviv=2Eua?=
Сб Фев 21 00:09:21 MSK 2004 

Eugene Prokopiev wrote:

> Что хочется сделать:
> 1. Включить все сегменты в один маршрутизатор
> 2. Обеспечить во всех сегментах стандартный набор сервисов: DHCP, DNS, WINS
> 3. По умолчанию запретить общаться друг с другом машинам из разных 
> сегментов
> 4. Иметь возможность описывать правила вида (для IP и IPX):
>  - машина А может общаться с машиной В из другого сегмента и наоборот
>  - машина С может общаться со всеми машинами сегмента D и наоборот
все очень красиво :)

> Как это планируется сделать:
> 1. Связка Linix (поддержкой vlan) + Catalist (как описано в 
> http://gazette.linux.ru.net/rus/articles/talelinuxvlan.html). Как я 
> понял, главный плюс этого решения - отсутствие необходимости вешать на 
> шлюз кучу сетевых карт (если есть коммутатор :) ). Нынешние сегменты 
> станут vlan-ами, но портов, включенных в несколько vlan-ов, не будет, 
> ибо  незачем.
скажем, один из плюсов %)
> 2. На линуксовом шлюзе поселятся dhcpd, bind, nmbd, ipxripd
> 3. Права доступа будут описаны средствами ebtables 
> (http://ebtables.sourceforge.net/), как-то я их уже собирал и на простой 
> кофигурации все работало.
выглядит вполне прилично.
> 
> Какие соображения может высказать community на эту тему? Есть ли 
> альтернативные решения, чем указанное хуже/лучше?
альтернативные решения есть всегда :) В описаном решении могут быть 
такие камни:
1. dhcpd может плохо работать на маршрутизаторе, где есть поддержка 
vlan. Возможно это уже пофиксено, раньше (больше года назад) у такой 
конфигурации были проблемы.
2. честно говоря, гонять самбу и байнд на маршрутизаторе не лучшее 
решение. Но если нет другой возможности ...
3. если вы хотите использовать ebtables то, как я понимаю, машина будет 
работать в режиме моста. Возможно на это есть причины, но из описанного 
в письме, не следует необходимость использования этого режима. Откуда 
возникает вопрос: "а оно надо?"

теперь об альтернативах: от всего включенного в один коммутатор и 
находщегося в разных IP-подсетях до мощной циски с (почти) всем тем, что 
вы хотите делать на линуксе.
плюсы/минусы: от дешевизны и простоты до надежности и безопасности решения.


-- 
С наилучшими пожеланиями,                mailto:ipesin на n-ix.com.ua
    Иван Песин

Подробная информация о списке рассылки community