Как связать две подсети с использованием l3 коммутатора?

Question

[Андрей]

Доброго времени суток. Была одна сеть /24 (допустим 192.168.0.1) с реализованными сетевыми сервисами и внешними абонентами (источниками и потребителями), со своими серверами. Появилась ещё одна (например 192.168.1.1) также со своими сетевыми сервисами и своими внешними абонентами. Причём есть компьютеры, на которых должны функционировать сервисы из обеих сетей. Решение реализовано с использованием виртуальных машин на таких PC (на хостовой винда, на виртуальной линуха) и коммутационного оборудования из первой сети (благо пропускная способность позволяет). Объединить все в одну сеть нельзя (не обсуждается) из-за особенностей функционирования специального ПО как из первой, так и из второй сети. Кроме того свичи все разномастные от управляемых optiswitch до неуправляемых dlink (соответственно без vlanов и т.п.). Задался целью настроить маршрутизацию между сетями для упрощения мониторинга, настройки и т.п. Имеющиеся в сетях шлюзы (на Линукс) использовать не получается из-за их жёсткой привязки к стартовой настройке. Имеется коммутатор l3 aruba, хочу объединить с его помощью сети, как его настроить?
Пока мысль только одна: настроить 2 vlan с ip из разных сетей, повесить на них по одному порту access, и завести на них линки с любого из коммутаторов, после чего прописать ip route.
Посоветуйте, будет ли работать, может можно по другому. Прошу не пинать - с настройкой свича l3 сталкиваюсь впервые и исходные сети строил не я. Заранее спасибо.

Answer 1

[Валентин]

Что бывает, когда эникей пытается лезть в сети. Ну ладно, проехали.

В примитивном случае на L3 свисте нужны три порта. В первый и он же влан100 включаются устройства из сети один. На влан-интерфейсе настраивается IP-адрес, который будет являться шлюзом для всех рабочих станций в этой сети. Второй порт и влан200 аналогично для второй сети. Третий порт и влан 300 (и какая-то стыковочная сеть /30) - в сторону сервера-шлюза. Настраиваем маршруты на сервере до первых двух сетей через эту стыковочную сеть. Предлагается сесть и на бумажке все это нарисовать. Как видно, маршрутизацию, ip-адреса и, подозреваю, правила ната на шлюзе все же придётся подкрутить.

Это было как правильно, но трудозатратно. А вот как будет - не ясно, так как нет понимания сколько сейчас существует шлюзов, как они подключены. Допускаю, что надо просто добавить одну строчку в правила iptables

Comments

[yawexo5184]

спасбо зща по мощ!!!!!!!!!!!L3>heroes forewa!!!

[yawexo5184]

ಠ_ಠ

Answer 2

[Станислав Бодро́в]

Задался целью настроить маршрутизацию между сетями для упрощения мониторинга, настройки и т.п.

Очень здравая мысль.

Пока мысль только одна: настроить 2 vlan с ip из разных сетей, повесить на них по одному порту access, и завести на них линки с любого из коммутаторов, после чего прописать ip route.

Технология vlan предназначена только для одного - разграничения широковещательных доменов (для борьбы со всей сранью на канальном уровне - уменьшение полосы пропускания по сравнению с ситуацией одного широковещательного домена, сокращение использования CPU коммутатора за счет сокращения пересылки широковещательных сообщений, предотвращение широковещательных штормов и предотвращение петель). Работает только на канальном уровне путём добавления специального тэга внутрь Source MAC-адреса.
Без IVR (InterVLAN Routing) в довольно грубом приближении представляет собой патч-панель поделённую на определённые секции с ограничением хождения широковещательных запросов канального уровня. Ни маршрутизации, ни фильтрации, ни управления трафиком на канальном уровне нет - есть Destination MAC address, Source MAC address, 802.1q, Ether type. А IVR реализовывается функционалом сетевого уровня.

Имеется коммутатор l3 aruba, хочу объединить с его помощью сети, как его настроить?

Если ты сеть /24 (допустим 192.168.0.1) разобьёшь на три подсети /26:
192.168.0.1/26
192.168.0.64/26
192.168.0.128/26
(у тебя остаётся ещё место для сети 192.168.0.192/26)
настроишь маршрутизацию (статики хватит с головой), то получишь ограниченные широковещательные домены (маршрутизатор также ограничивает широковещательный домен) и возможность контролировать трафик между сетями. А неуправляемые свитчи путь выполняют свою работу в каждой подсети.

Answer 3

[Griboks]

Зачем поддерживать костыли, когда можно сделать всё правильно и забыть?

Объединить все в одну сеть нельзя (не обсуждается)

хочу объединить с его помощью сети

Так всё-таки объединить или нет? Или фильтровать широковещательный трафик?

Имеющиеся в сетях шлюзы (на Линукс) использовать не получается из-за их жёсткой привязки к стартовой настройке.

Это же виртуальные машины. Почему их нельзя менять? Скопируйте и поменяйте. Или просто вставьте между ними ещё одну виртуалку с общей "точкой входа" в сеть.

Comments

[Андрей]

Наверно некорректно описал то, что нужно. Задача: чтобы имеющиеся сети видели друг друга (из одной был доступ в другую) в наличии l3 коммутатор. Имеющиеся шлюзы жёстко прописаны под имеющиеся специальное ПО (переподписывать их НЕЛЬЗЯ) такая особенность!

[Griboks]

Андрей, тогда вопрос: "Что это за шлюзы и шлюзы ли это вообще?"

[Griboks]

Андрей, получается так:
выкидываем все эти виртуалки; ставим любой шлюз (хоть линукс, хоть l3), который просто переправляет трафик между сетями.

[Андрей]

Все имеющиеся шлюзы "смотрят" наружу, они на хостовых машинах. На виртуалках только внутренние потребители (на одном ПК хостовая из одной сети, виртуалка из другой). Все свичи используются для обеих сетей, т.к. 50% машин на ноутах и география подключения меняется в зависимости от поставленных задач и условий их выполнения (согласен, что для админа это ад, но что имеем, то имеем). Глобальная задача - мониторинг обеих сетей и (в перспективе) мониторинг внешнего трафика входящего и исходящего на (со) шлюза. В данный момент хочу настроить маршрутизацию между внутренними сетями для того, чтобы с одной машины мониторить обе сети. Порядок настройки l3 свича изучил, но примеров с такой ситуацией, как у меня, не встречал. Потому и спросил "в правильном ли направлении копаю". Спасибо за терпение)))