Ситуация следующая (скажу сразу - сеть корявая и досталась в наследство, но, как говорится, что имеем)
Схема сети
-
+-----+ +-----+ +-----+
| DEV1| | DEV2| | PCS |
+-----+ +-----+ +-----+
| | |192.168.0.101/24
+-------+ +--------------+ +-------+ +-----+
| ISP 2 | | LAN 2 Switch | | ISP 1 | | SVT |
+-------+ +--------------+ +-------+ +-----+
| | | |192.168.0.100/24
|ETH1 |ETH3 |ETH6 |ETH7
+--+-----------+-----------------+ +--------------------------------+
| | BRIDGE1 | | BRIDGE2 | | | | BRIDGE2 | |
| +-----------+ +-----------+ | | +-----------+ |
| | | | | | |
| RB750 | | | | RB2011 | |
| | | | | | |
| +-----------+ +-----------+ | | +-----------+ +-----------+ |
| | VLAN1 | | VLAN2 | | | | VLAN1 | | VLAN2 | |
+--------------------------------+ +--------------------------------+
| ETH2 (LAN) 192.168.1.3/24 | ETH2 (LAN) 192.168.1.2/24
| |
| +----------------------------+ |
| | | |
-----| LAN 1 Switch |--------+
| |
+----------------------------+
| | | |
+-----+ +-----+ +-----+ +-----+
| PC1 | | PC2 | | DC | | DVR |
+-----+ +-----+ +-----+ +-----+
Есть 2 независимые подсети - основная, в которой работает офис и для охраны, в которой работают турникеты (dev1, dev2) и комп охранника (pcs). Между подсетями не должно быть связи, за некоторыми исключениями.
Сервер турникетов (svt) физически установлен в другом конце здания. Нужно обеспечить связь между сервером турникетов и самими турникетами, а так же компом охранника. Тут особых проблем нет, турникеты общаются с сервером через VLAN, трафик небольшой и оправданный.
Но появилась задача вывести видео наблюдение на комп охранника. Регистратор (dvr) стоит в противоположном от сервера турникетов конце здания и подключен в основную сеть, ибо потребители его картинок - пользователи офисной сети, а для охранников лишь бонус.
Казалось бы, тут тоже ничего сложного, т.к. турникетная сеть воткнута в RB750 и в нем же есть офисная. В RB2011 есть правило NAT, что при запросе порта X направлять на порт Y по адресу Z, т.е. к видеорегистратору, это правило так же используется при подключении из интернета, чтобы смотреть видео из дома. И получается, как я понимаю, что трафик идет из от DVR в RB750, потом по VLAN2 в RB2011, а потом обратно в RB750 и из него уже в PCS, верно?. Если посмотреть график на RB2011, то загрузка ЦП 27% и интерфейса 45Mbps, сначала я думал что это нормально. Но самое интересное заметил позже - после нескольких дней загрузка RB2011 падает, будто перестали смотреть видео, хотя оно прекрасно показывает. Это трафик пошел напрямую через RB750 минуя RB2011? При этом, если посмотреть Connections на RB2011, то мы увидим там подключение компа охраны, а нагрузки нет. Но стоит перезагрузить любое из устройств, как опять начинается драконовская трата ресурсов, которая длится несколько дней, по истечении которых все снова приходит в норму. Что за мистика? Как сделать чтобы постоянно была низкая загрузка и трафик ходил правильно?
Я менял правило NAT на RB2011, говорил чтобы оно работало для всех, кроме компа охранников, при этом на RB750 создавал правило, в котором конкретно указывал что запросы с компа охранников слать регистратору, но подключение вообще не устанавливается. Комп охраны говорит что регистратор недоступен.
Может я какие-то глупости тут понаворотил, вы уж не пинайте сильно, а подскажите - как правильно настроить ? :'(
Средний
Простой
