Re: Хитро настроить сеть... Подскажите советом.
Alexandr Rakhmanin -> community@altlinux.ru, debian-russian@lists.debian.org @ Thu, 30 Dec 2004 11:14:42 +0600:
AR> Есть сетка из ~40 компов, по разному количеству компы вкормлены в свичи 2ого
AR> уровня D-LINK 3226, в количестве 4ех штук, от каждого идет шнурок в роутер, в
AR> котором 5 сетёвок. Он им раздает инет, почту и т.п. (система ALM 2.4). У
AR> каждого сегмента подсетка 192.168.0.0, 1.0, 2.0, 3.0.
AR> Надо разместить в сети файл-сервер-AD-win2000. Чтобы народ в нем
AR> авторизировался и видел только его и свой сегмент. У меня только 4и идеи:
AR> 3. Воткнуть еще одну сетевку (192.168.4.0) и повесить на нее файл-сервер, но
AR> тогда я неуверен что все его увидят даже с маршрутизацией.
Увидят. Самбу при этом, разумеется, поставить придется, причем сделать
ее master browser'ом. Принципиальный недостаток конструкции (но он в
любом случае будет - так уж виндовая сетка устроена) - имена из других
подсетей люди видеть будут. Зайти не смогут. Чтоб глаза не мозолило,
надо разносить по доменам. Были бы сегменты совсем изолированные
(т.е. не требовалось бы показывать сервер) - можно было бы поднять 4
самбы с привязкой каждой к своему интерфейсу. А так - не получится.
Кажется, самба раздачей броузинга управлять тоже не умеет.
AR> 4. Возможно ли сделать на карточках IP из одной подсети, но развести маской по
AR> 32 хоста, т.е. eth1-192.168.0.2/27, eth2-192.168.0.34/27,
AR> eth3-192.168.0.66/27, eth4-192.168.0.98/27. Возможно ли такое и поймёт ли
AR> роутер какой пакет куда слать? Тут уже iptablesом я зарежу что надо и
AR> файл-сервер будет для всех виден.
Роутер-то поймет. Не поймет клиент. Не догадается, что надо слать
через роутер. А если ты сделаешь просто с маской /27, то ничем, кроме
размера маски, это от маски /24 отличаться не будет.
Можно в принципе сделать еще такое извращение, как выдать AD-серверу 4
адреса из разных сетей, но не с маской /24, а с маской /32 и дефолтным
роутингом через оный роутер, настроить на роутере роутинг на эти адреса
(/32) через нужный интерфейс, и настроить на нем же proxy arp на эти
адреса. Тогда никто, кроме роутера и AD, не будет знать, что он на
самом деле не в том сегменте. Да, можно заодно поставить его в один из
сегментов (тогда, соответственно, -1 адрес в извращении). Извращение
очень простое, на самом деле, в настройке. Но самбу все равно
настраивать. Мастер браузером, ибо броадкасты роутер пропускать не
будет.
--
Artem Chuprina <ran{}ran.pp.ru>
Reply to: