Kurusgimeru: в микротике правило в фильтр форвард, надеюсь, находится выше чем различные drop?
в iptables цеонтоси правило с 22 дст-портом и в INPUT?
Маршрут по умолчанию на центоси прописан и смотрит на микротик? А вообще инет на центоси, я так понимаю, в наличии?
Stopy: На LPM он смотрит. Находит Longest Prefix Match, там - или nexthop address, если это маршрут через другой роутер, или nexthop interface, если сеть непосредственно к этому роутеру подключена. Если там interface - делает широковещательный ARP запрос на конкретный узел через указанный интерфейс, если address - то рекурсивно ищет, как добраться до этого адреса аналогичной процедурой.
При прописывании ip-адреса на какой-либо интерфейс роутер автоматически добавляет для этой подсети nexthop interface запись в свою таблицу маршрутизации с интерфейсом, на котором этот адрес.
Studencheskaya32: interface vlan XX это не то же самое, что vlan XX, это л3-сущность для прописывания айпишничков и роутинга.
Создавайте вланы просто в vlan XX и на портах рулите из секции конкретного интерфейса через switchport mode + switchport access/trunk
mifkamaz: Если преподаваемый материал в целом такой же, как и эта методичка, то мои соболезнования. Жуткая каша из "голой" теории, ISO и TCP/IP, с отсылками на ITU, RFC и прочие ISO к месту и не к месту, понять из которой, что же реально применяется, а что умерло, не родившись, нереально.
Стоит уточнить, имеет ли ввиду преподаватель конкретно TCP/IP. Потому что он вполне может иметь и что-то другое. Может быть и не существующее.
Вообще, почитайте его же методичку в районе 25 страницы. Такие преподы, как правило, любят, когда их книги цитируют.
АртемЪ: Вообще-то тут про сохо-девайсы речь и есть. А точнее про RB серию (которая и есть самое сохо, ну или CRS, которая та же RB, но портов больше) и CCR-серию, с tilera-процом и выделенные линки под каждый порт. Перечитайте вопрос.
Я так полагаю, мы с вами смотрим на одно и то же с разных сторон. Ну да не важно, лишь бы автор вопроса понял.
АртемЪ: Ну даже не знаю, CRS - все-таки недалеко ушел от сохо. Разве что количеством портов. Хотя два десятка компов и сотня мбит трафика - все же сохо, по виденью рекламщиков всех мастей.
Опять же, было сказано,"в категории до 5000 руб. порвет практический любой роутер как по производительности так и по функционалу." В чем утверждение неверно?
Почему вы говорите о крайне низкой производительности, если, по факту, производительность крайне высокая для своего ценового диапазона? Или вы считаете производительность в абсолютном выражении, а не в относительном?
Тогда есть многоюнитовые монстры с терабитными шинами, модульным подходом, резервированием всего, что можно, и десятком технарей 24/7 в нагрузку. Но к чему здесь они?
По цене за мегабит пропускной способности микротики там, где они есть, уделывают очень многое на типичных задачах. Дешевле только самосбор на супермикрах.
Все зависит от условий, требований, умения и желания разбираться с косяками конкретных вендоров.
Dysnystaxis: Можно и так сказать, но нужно учитывать, что если "мимоходом" что-то таки насканят (открытый порт ssh, или старый ntp, или еще какой дырявый/неверно настроенный сервис), то возьмут его "на галочку", и, когда им потребуются мощности, воспользуются. Или начнут перебирать стандартные логины/пароли.
То есть угроза более чем реальна, и любой комп, до которого можно достучаться из интернета, уже давно не является "неуловимым Джо" (ведь у любого компа есть ресурсы, есть подключение к инету, и теоретически, есть уязвимости), но активно противодействовать этой угрозе невозможно.
Только фаервол, правильная настройка и регулярные секьюрити-обновления.
vitaliy_t1: зависит от требуемого функционала. Если надо роутить между вланами, то микротик все равно будет это делать софтово. В случае, скажем, л3-длинков, от тазика все равно не избавиться, скорее всего (NAT, DHCP, AAA надо будет где-то делать), зато просто гонять трафик между портами и между вланами л3-коммутатор будет намного быстрее, чем тики.
vitaliy_t1: Как раз у длинков с L3 на коммутаторах все очень плохо.
И в плане удобства менеджмента, и в плане того, что пользуясь д-линком Вы всегда будете бета-тестером (или откажетесь от части заявленного функционала в угоду стабильности и предсказуемости). С другой стороны, роутинг на длинках аппаратный wire-speed. Но те же арпы, (как и везде, в принципе) обрабатываются процом софтово.
Насколько я вижу по брошуркам CRS-девайсов, даже в этой серии это просто софт-роутер, соединенный гигабитным линком с л2-коммутатором, эдакая RB-серия на стероидах).
Надо смотреть по конкретной задаче.
АртемЪ:
> Микротик RB951G в категории до 5000 руб.
> Микротик за 5тыс порвет циску за 500тыс?
Какая-то у вас сильно растянутая категория "до 5000 руб", не находите?
Микротики в СОХО сегменте на самом деле и по функционалу, и по производительности, и по $/mbps в первых рядах (исключая шифрование, там без хардварной акселерации все печально)
vitaliy_t1: коммутатор в микротиках настолько туп, насколько это возможно. Он не занимается л3 вообще, как и фильтрацией. У него нет "как шлюзы, с айпишниками", у него есть что-то вроде "порт ЦПУ" и "порты езернет" между которыми он wire-speed может коммутировать пакетики, изучать вланы и маки.
m2_viktor: У вас же серые сети, плату не берут. Берите хоть 10.0.0.0/8-16.
Если бы брали в аренду с помесячной платой -- был бы огромный смысл экономить и использовать /25+, а так это только себе сложности создавать и заставлять будущие поколения задумываться над вопросом "и зачем здесь это было сделано?"
jidckii: Если бюджет позволяет, и есть желание иметь 10 гигибитных портов с более мощным процом, то почему нет?
Можно вообще взять например Ubiquity EdgeRouter и радоваться аппаратному шифрованию.
jidckii: Если бы у вас было хотя бы несколько сотен трафика, был бы смысл.
При правильной настройке 2011 роутит 600-700мбит трафика с НАТом, и 300-400 при неправильной и/или при использовании всяких шейперов и прочих спецсредств.
sasha300: А вы пробовали? эти команды выполнять?)
local ip [file get ip.txt contents ] <-- сохранить адрес из файла в переменную
put $ip <-- вывести переменную на экран
в iptables цеонтоси правило с 22 дст-портом и в INPUT?
Маршрут по умолчанию на центоси прописан и смотрит на микротик? А вообще инет на центоси, я так понимаю, в наличии?