Aruba 2930f как правильно настроить VLAN&Routing и интернет через firewall DFL-860e и Proxy Traff Inspectr?

Схема не полная, на самом деле коммутаторов HP 1920 9Шт и VLANов планируется( сейчас все в бродкастовом домене), где то VLAN 10,20,30 -110 ( компов около 250 Шт, остальное сетевое оборудование еще где-то 120 Шт)
1- На D-Link (192.168.2.2) и PROXY(192.168.2.10) не указывал ни ВЛАНы ни транки т.к для меня пока нет ясности как лучше сделать чтобы например пользователи из ВЛАН 70, 5ПК отправлялись за инетом через d-link, а остальные 25 ПК шли через proxy??? Так же должно быть и из других Вланов.
2- Как поступить с принтерами, точки доступа wi-fi, сканеры штрих-кодов, и т д ( им присвоены статические IP-192.168.1.* , 192.168.2.* )?? и подключены они к коммутаторам L2 HP 1920.
Может для профи это и не сложно, но для меня загнать этот зоопарк в VLANы оказалось нетривиальной задачкой, прошу помощи!!!

5a7450b47645a097807202.jpeg
  • Вопрос задан
  • 1310 просмотров
Решения вопроса 2
slavokkk
@slavokkk Автор вопроса
Все железки стоят в лабе, кроме длинка и прокси( в продакшане, трогать не могу)
Как я думаю в качестве шлюза по умолчанию указать IP-адрес интерфейса L3 коммутатора для соответствующего VLAN. На самом коммутаторе L3 тогда указать в качестве места назначения для маршрута по умолчанию (0.0.0.0/0) адрес внутреннего интерфейса Длинка или Прокси?.
Может внутренние интерфейсы Длинка и Прокси вынести в отдельные VLANы ?
Я не очень шибко разбираюсь в маршрутизации, поэтому требуется помощь.
Ответ написан
Комментировать
vesper-bot
@vesper-bot
Любитель файрволлов
Во вланы нужно выносить машины, которые должны иметь возможность видеть друг друга на L2, но не видеть остальные в той же физической сети. Маршрутизацию нужно строить в таком случае с помощью policy based routing (понятие гуглится, вариант настройки на каждом роутере свой). Условно говоря, исходящие пакеты с какого-то внутреннего IP помечаются флагом, дальше при проверке правил маршрутизации одно из правил отправляет пакет в таблицу с маршрутом по умолчанию, отличным от общего. Обратные пакеты дойдут штатным образом, так как правило NAT-трансляции покажет корректный айпи-адрес. Надо целую группу направить - метим тем же флагом пакеты от всех IP узлов этой группы.

PS: на д-линке и прокси вланы не нужны уже, так как они доступны только через L3.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@Strabbo
На примере данного свича подсказать не могу, но я бы сделал так:
1. На л3 свичах поднял бы нужные вланы с соответствующими л3 интерфейсами.
2. Поднял бы роутинг между л3 свичами и длинком (ваш длинк вроде умеет оспф) и отдавал бы 0.0.0.0/0 с длинка л3 свичам.
3. Если аруба не умеет оспф, то придется довольствоваться статическими маршрутами или же смотреть в сторону RIP вроде все железки имеют его.
4. Если прокси не прозрачный оставил бы всё как есть, кому надо будут по дефолту через длин уходить в инет, а у кого прокси указан будут через него ходить.
5. Если прокси прозрачный то доключил бы оба его порта на длинк в разные вланы (1 внутренний, второй внешний).
6. Ваш длин вроде умеет PBR. Через него направил бы трафик на внетрений интерфейс прокси тем устройствам, которым нужен доступ в инет через прокси.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы