سلام
تو شبکه ما inter vlan routing داریم و سیستم ها تحت دامین هستند
میخوام ببینم میشه هات اسپات رو در edge شبکه قرار داد و فقط زمانیکه کاربر خواست سمت اینترنت بره پشت هات اسپات گیر کنه؟
پیکربندی هات اسپات در لایه 3 باشه
Printable View
سلام
تو شبکه ما inter vlan routing داریم و سیستم ها تحت دامین هستند
میخوام ببینم میشه هات اسپات رو در edge شبکه قرار داد و فقط زمانیکه کاربر خواست سمت اینترنت بره پشت هات اسپات گیر کنه؟
پیکربندی هات اسپات در لایه 3 باشه
هات اسپات توی یه برادکست دامین و با کمک ARP کار میکنه . میشه کاری کرد که ترافیک داخلی رو کاری نداشته باشه اما موردی که شما میخواهید ممکن نیست . بهتره از روش های مثل PPTP کانکشن و امثالهم استفاده کنید یا از پراکسی ها استفاده کنید .
[QUOTE=mehrzadmo;483165]هات اسپات توی یه برادکست دامین و با کمک ARP کار میکنه . میشه کاری کرد که ترافیک داخلی رو کاری نداشته باشه اما موردی که شما میخواهید ممکن نیست . بهتره از روش های مثل PPTP کانکشن و امثالهم استفاده کنید یا از پراکسی ها استفاده کنید .[/QUOTE]
من به طرز فجیهی اجرا شده اش رو تو کارخونه ای که توش کار میکنم رو دارم و سالهاست که داره کار میکنه...!!!!
اما به مشکلات عجیبی خوردیم
بعضی اوقات صفحه لاگین ما باز نمیشه و هاست ها رو که یکبار میریزیم بیرون برای مدتی کار میکنه و دوباره بهم میریزه...
خودم الان مدتیه واقعا هنگ هستم که این رو نفرات قبل من چطور تونستن راه بندازن کل نتورک تو لایه Trust به همه چی دسترسی داره و حتی منابع دورمون بعضا 4 تا 6 Hop رو عبور میکنه ولی اگه کسی بخواد سمت اینترنت بره میره پشت هات اسپات...!!!
متوجه شدم که چطور داره کار میکنه اما واقعا مسخره است
[QUOTE=net_lover;483126]سلام
تو شبکه ما inter vlan routing داریم و سیستم ها تحت دامین هستند
میخوام ببینم میشه هات اسپات رو در edge شبکه قرار داد و فقط زمانیکه کاربر خواست سمت اینترنت بره پشت هات اسپات گیر کنه؟
پیکربندی هات اسپات در لایه 3 باشه[/QUOTE]
مراحل زیر رو دنبال کنید :
1- روی سوییچ اصلیتون که کار IVR رو انجام میده ، یک Vlan جدید تعریف کنید (مثلا Vlan 10) و بهش IP بدید .(مثلا 192.168.10.1)
2- به یکی از اینترفیس های میکروتیک آدرس 192.168.10.2 بدید و اونو در Vlan 10 سوئیچ قرار بدید.
3- اینترفیس دیگر میکروتیک رو به اینترنت متصل کنید . (با تنظیماتی که خودتون میدونید)
حالا روی سوئیچ، دستور زیر رو وارد کنید:
[CODE][LTR]ip route 0.0.0.0 0.0.0.0 192.168.10.2[/LTR][/CODE]
4- روی میکروتیک برای رنج Vlan های شبکه داخلیتون ، روت برگشت بنویسید و آدرس 192.168.10.1 رو به عنوان Gateway تعریف کنید .
5- آدرس Gateway روی همه سرورها و کلاینت هاتون باید سوئیچ اصلی شبکه باشه .
در این حالت هر کسی با Vlan های داخلی کار داره ، از طریق سوییچ به سمت اونا Route میشه اما هر وقت با اینترنت کار داشته باشه، ترافیکش میره به سمت میکروتیک و پشت هات اسپات گیر میکنه و صفحه هات لاگین براش میاد .
[COLOR=#ff0000][B]نکته مهم [/B][/COLOR]:
چون شبکه دامین دارید ، پس روی کارت شبکه کلاینت و سرورهاتون ، آدرس دامین کنترلر تنظیم شده . پس کلاینت برای Resolve نام های اینترنتی ، از این سرور استفاده میکنه، در نتیجه سرور دامین باید یتونه این نام ها رو به IP تبدیل کنه.
بنابراین کار دیگه ای که باید انجام بدید اینه که به یک طریقی دسترسی سرور رو به اینترنت برقرار کنید . یک راهش اینه که تو کنسول DNS سرور دامین کنترلر و درقسمت Forwarder ، چند آدرس DNS عمومی قرار بدید (ترجیحا سرورهای داخلی مانند 217.218.127.127 - جهت داشتن سرعت بیشتر ) و سپس آدرس این سرور رو روی میکروتیک و در تنظیمات هات اسپات ، Bypass کنید تا بدون نیاز به لاگین به اینترنت دسترسی داشته باشه . میتونید از طریق فیلتر رول ها فقط دسترسی به پورت 53 رو بهش بدید .
یادتون باشه یکی از مهمترین دلایلی که صفحه هات اسپات برای کلاینت ها نمیاد اینه که DNS به درستی در شبکه تنظیم نیست یا اینکه خود میکروتیک دسترسی به اینترنت نداره .
موفق باشید .
شما خودتون این روش رو تست کردین؟
از نظر تئوری فرمایش شما کاملا درسته...
ولی جواب نخواهد داد
شما میتونید استثنا مشخص کنید ، که فلان سیستم ها ، رنج آی پی ها و یا سرورها راه دور بطور مستقیم ، قبل از رول های فایروال مربوط به هات اسپات اتصالشون برقرار بشه و در واقع مصرفشون در هات اسپات در نظر گرفته نمیشه .
(که این کار نیز اگه خارج از چهارچوب هات اسپات در روتر انجام بشه مقداری از دقت ترافیک اندازه گیری شده می کاهد)
اما بطور کلی و همانطور که دوستان گفتند ، هات اسپات حتما در لایه دو راه اندازی میشه .
ممکنه شما چند رنج شبکه و VLAN بندی داشته باشید اما در نهایت آنها در لایه دو و در یک بریج داخل روتر به همدگیه متصل شده باشند و هات اسپات نیز در لایه دو روی اون بریج فعال شده باشه .
یکی از دلایلی که صفحه لاگین هات اسپات به درستی باز نمی شوند این است که آدرس آی پی روتر برای صفحه لاگین در نظر گرفته شده است اما به این دلیل که در شبکه های مختلف آدرس های متفاوتی وجود داشته و در واقع گت وی اصلی روتر توسط کلاینت ها گم می شود ، خطا های مورد نظر اتفاق می افتد .
بهترین کار ممکن در چنین شبکه ای این است که تمامی DHCP Server های سویچ ها خاموش شوند و روتر (دارای هات اسپات) با DHCP Server تمامی کلاینت ها رو در یک رنج شبکه آدرس دهی کند.
[QUOTE=shahani;483274]شما میتونید استثنا مشخص کنید ، که فلان سیستم ها ، رنج آی پی ها و یا سرورها راه دور بطور مستقیم ، قبل از رول های فایروال مربوط به هات اسپات اتصالشون برقرار بشه و در واقع مصرفشون در هات اسپات در نظر گرفته نمیشه .
(که این کار نیز اگه خارج از چهارچوب هات اسپات در روتر انجام بشه مقداری از دقت ترافیک اندازه گیری شده می کاهد)
اما بطور کلی و همانطور که دوستان گفتند ، هات اسپات حتما در لایه دو راه اندازی میشه .
ممکنه شما چند رنج شبکه و VLAN بندی داشته باشید اما در نهایت آنها در لایه دو و در یک بریج داخل روتر به همدگیه متصل شده باشند و هات اسپات نیز در لایه دو روی اون بریج فعال شده باشه .
یکی از دلایلی که صفحه لاگین هات اسپات به درستی باز نمی شوند این است که آدرس آی پی روتر برای صفحه لاگین در نظر گرفته شده است اما به این دلیل که در شبکه های مختلف آدرس های متفاوتی وجود داشته و در واقع گت وی اصلی روتر توسط کلاینت ها گم می شود ، خطا های مورد نظر اتفاق می افتد .
بهترین کار ممکن در چنین شبکه ای این است که تمامی DHCP Server های سویچ ها خاموش شوند و روتر (دارای هات اسپات) با DHCP Server تمامی کلاینت ها رو در یک رنج شبکه آدرس دهی کند.[/QUOTE]
فرمایش شما صحیح
اما همانطور که ابتدا اشاره کردم ساختار کنونی غلط بوده و جای اصلاحیات اساسی دارد...
و همانطور که مهندس مقدس فرمودند هات اسپات میکروتیک در برادکست دامین به درستی کار میکند و برای اجرای صحیح به ARP هم نیاز دارد که این موضوع در لایه 3 ممکن نیست.
ولی خوب با این حال به نظر خودم جایگزین کردن هات اسپات با یک UTM دیگر مانند Cybroam یا Fortigate بهترین گزینه است
البته سایبروم فک میکنم با علایق و سلیقه ما ایرانی ها بیشتر مچ هست
نظر دوستان چیه؟
ممنونم
دوست عزیر؛
سناریوی شما اصلاً عجیب و غریب و پیچیده نیست و خیلی جاها داره استفاده میشه !
اجرا شده اش رو که تو کارخونتون دارید میبینید .
تنظیماتش رو هم که قدم به قدم براتون گذاشتم .
نمیدونم دیگه دنبال چی میگردید ؟!
اگه نتونستید انجامش بدید ، پیشنهاد میکنم حتما از یک نفر کمک بگیرید تا براتون انجام بده . دیگران رو هم به اشتباه نندازید
موفق باشید.