Объединение локальных сетей двух роутеров. Две подсети в локальной сети


Как разделить сеть: деление на подсети

Одной из «классических» задач сисадмина является необходимость в рамках одного предприятия разделить одну физическую сеть на несколько виртуальных – по признаку принадлежности к отделу, департаменту, вип-персонам и т.д. Даже если вы будете использовать в качестве маршрутизатора и фаервола сервер с ОС Linux, осуществляющий технологию «ip-alias», вы не сможете быть уверены в своей безопасности на 100%.

Дело в том, что вышеуказанная технология позволяет одному и тому же интерфейсу вашего сервера выступать в роли нескольких шлюзов для разных подсетей, но она не сможет уберечь вашу сеть от прослушивания трафика.

И причина тому проста — пользователи разных отделов будут оставаться в одном широковещательном домене в рамках коммутатора, хоть подсети будут разными.

Разделение локальной сети с помощью vlan

Для решения данной проблемы используется технология VLAN (Virtual Local Area Network), позволяющая логически разделить физическую сеть на несколько широковещательных не пересекающихся промеж себя доменов, и соответственно, улучшающую безопасность локальной сети. Иными словами, VLAN позволяет осуществлять деление на подсети и создавать отдельные сетевые сегменты на 2-м, канальном, уровне модели OSI в рамках одного или нескольких физических коммутаторов вашей сети.

Обычно коммутатор передает данные от одного устройства к другому на основании mac-таблицы, которая содержит в себе информацию о mac-адресе устройства и физическом порте, с которого данный mac пришел. При разделении локальной сети с помощью vlan добавляется еще информация о принадлежности к определенному сегменту сети – номер vlan.

Технология VLAN позволяет избавиться от большого количества широковещательного трафика, примером которого являются arp-/dhcp-бродкасты или же мультикаст (multicast), использующийся при передаче видеопотоков. Такой тип трафика «съедает» полезную пропускную способность вашей сети.

Как правильно разбить сеть на vlan?

Рассмотрим, как разделить сеть на подсети с помощью VLAN на базе коммутатора Cisco Catalyst. Имеется два компьютера, подключенные к коммутатору и находящиеся в одном широковещательном домене, а также имеющие ip-адреса в одной сети с одинаковой маской подсети, и как следствие, «видящие» друг друга с помощью утилиты ping. Подключимся с помощью telnet или ssh к консоли коммутатора и посмотрим на конфигурацию vlan.

маршрутизация подсетей vlan

Здесь видно, что все физические порты коммутатора по умолчанию находятся в vlan 1, соответственно, устройства за ними взаимодоступны.

в одном vlan несколько подсетей

разделить сеть на 8 подсетей

Чтобы разделить сеть на две подсети, создадим два новых vlan: первый для ПК_1, второй для ПК_2:

разделить сеть на 4 подсети

Проверим, обновилась ли таблица vlan:

деление сети на подсети для чайников

Как видно, оба vlan были созданы и их состояние активно.

Однако физические порты еще не привязаны к этим vlan. Чтобы сделать это, выполним следующую конфигурацию:

как разделить сеть на три подсети

Первая строка, следующая за названием физического интерфейса (порта), указывает коммутатору, что данный порт используется в режиме access – то есть принимает только единственный возможный vlan. Существуют еще и trunk-порты, поддерживающие несколько разных vlan с одного физического интерфейса – обычно такой режим используется между коммутаторами или коммутатором и маршрутизатором. Вторая строка указывает, какой именно vlan закреплен за данным физическим портом.

Посмотрим теперь на таблицу vlan:

catalyst 6509 маршрутизация между vlan

Как видим, информация обновилась: порт ПК_1 находится в vlan 10, а порт ПК_2 – в vlan 20. Попробуем проверить доступность компьютеров друг относительно друга с помощью утилиты ping теперь:

деление сети на подсети примеры

vlan виртуальные сети: cisco 2960 настройка маршрутизации между vlan

Итак, после деления на подсети два компьютера (имеющие ip-адреса из одной сети и одинаковую маску подсети) стали друг для друга недоступны вследствие помещения их разные vlan на коммутаторе.

Таким образом, можно создать уникальные vlan для разных подразделений, поместив необходимые физические порты в каждый из них, разграничив физическую сеть на несколько взаимонедоступных логических сегментов.

Другое дело, если требуется осуществить маршрутизацию между разными подсетями из разных vlan, частично ограничив доступность каждой из них друг для друга. Для этого потребуется установка маршрутизатора, который примет на свой физический интерфейс несколько разных vlan с коммутаторов вашей сети используя технологию TRUNK. В данном случае на маршрутизаторе создаются виртуальные ip-интерфейсы, выступающие в роли шлюзов для подсетей подразделений. На такой ip-интерфейс уже можно добавить ACL (Access control list), выступающий своего рода фаерволом, ограничивающим доступность между подсетями.

Оцените статью: Поделитесь с друзьями!

tvoi-setevichok.ru

Разбиение IPv4-сети на подсети - Зайцев Я

Ранее при развёртывании сети организации часто подключали все компьютеры и другие сетевые устройства к одной IP-сети. Всем устройствам в организации назначались IP-адреса с одинаковой сетевой частью. Конфигурация такого типа называется плоской архитектурой сети. В небольшой сети с небольшим количеством устройств плоская архитектура не представляет проблемы. Однако по мере расширения сети с такой конфигурацией могут возникнуть серьёзные трудности.

QIP Shot Screen 022

Подумайте о том, как в сети Ethernet устройства выполняют поиск необходимых служб и устройств с помощью широковещательной рассылки. Как вы помните, широковещательное сообщение доставляется всем узлам данной сети. Протокол DHCP — пример сетевой службы, которая зависит от широковещательной рассылки. Устройства отправляют по сети широковещательные запросы, чтобы определить местонахождение DHCP-сервера. В крупной сети из-за этого может создаваться значительный трафик, который замедлит общую работу сети. Кроме того, поскольку широковещательная рассылка выполняется по всем устройствам, им необходимо принять и обработать трафик, что приводит к повышению требований к обработке. Если устройство должно обработать значительный объём широковещательных рассылок, это может даже привести к замедлению работы устройства. По этой причине более крупные сети необходимо разделить на более мелкие подсети, предназначенные для небольших групп устройств и служб.

Процесс сегментации сети путём разделения её на несколько более мелких сетей называется разбиением на подсети. Эти более мелкие сети называются подсетями. Сетевые администраторы могут группировать устройства и службы в подсети по их географическому местоположению (например, 3-й этаж здания), организационному подразделению (например, отдел продаж) или по типу устройств (принтеры, серверы, глобальная сеть и т.п.) или по другому значимому для сети принципу. Разбиение на подсети может снизить общую нагрузку на сеть и повысить её производительность.

Примечание. Подсеть аналогична сети, и оба этих термина можно использовать как синонимы. Большинство сетей сами являются подсетями более крупных блоков адресов.

Обмен данными между подсетями

Маршрутизатор необходим для взаимодействия узлов из разных подсетей. Устройства в сети используют интерфейс маршрутизатора, подключённый к их локальной сети, в качестве шлюза по умолчанию. Трафик, отправляемый на устройство в удалённой сети, будет обработан маршрутизатором и отправлен в направлении сети назначения. Чтобы определить, является ли трафик локальным или удалённым, маршрутизатор использует маску подсети.

QIP Shot Screen 023

В пространстве подсети этот механизм реализуется аналогичным образом. Как показано на рисунке, подсети образуют несколько логических сетей из одного блока адресов или сетевого адреса. Каждая подсеть рассматривается как отдельное сетевое пространство. Устройства в одной подсети должны использовать адрес, маску подсети и шлюз по умолчанию той подсети, которой они принадлежат.

Трафик не может передаваться между подсетями без использования маршрутизатора. У каждого интерфейса маршрутизатора должен быть IPv4-адрес, принадлежащий сети или подсети, к которой подключён этот интерфейс.

Значимость разбиения IP-сети на подсети

План: присвоение адресов

QIP Shot Screen 024

Как показано на рисунке, при планировании подсетей требуется учитывать требования организации к использованию сети и предполагаемую структуру подсетей. Для начала необходимо изучить требования к сети. Это означает, что нужно изучить всю сеть, определить её основные части и разделить их на сегменты. План распределения адресов содержит информацию о требуемом размере подсети, количестве узлов и принципе назначения адресов узлам. Кроме того, необходимо определить узлы, которым нужно выделить статические IP-адреса, и узлы, которые смогут получать сетевые настройки по протоколу DHCP.

Определяя размер подсети, необходимо оценить количество узлов, которым потребуются IP-адреса в каждой подсети в рамках разделённой частной сети. Например, при проектировании сети студенческого городка нужно оценить количество узлов в локальной сети администраторов, в локальной сети преподавателей и в локальной сети учащихся. В домашней сети можно оценить количество узлов в локальной сети жилой зоны и в локальной сети домашнего офиса.

Как уже упоминалось ранее, диапазон частных IP-адресов, используемых в локальной сети, выбирается сетевым администратором, и к выбору этого диапазона следует отнестись с должным вниманием. Необходимо убедиться, что количества адресов будет достаточно для активных в данный момент узлов и для будущего расширения сети. Запомните диапазоны частных IP-адресов:

  • 10.0.0.0 с маской подсети 255.0.0.0
  • 172.16.0.0 с маской подсети 255.240.0.0
  • 192.168.0.0 с маской подсети 255.255.0.0

На основании требований к IP-адресам можно определить диапазон или диапазоны узлов для развёртывания. После разбиения выбранного пространства частных IP-адресов на подсети будут получены адреса узлов, соответствующие требованиям к сети.

Публичные адреса, используемые для подключения к Интернету, обычно выделяются оператором связи. Хотя в данном случае применяются те же принципы разбиения на подсети, это не всегда является обязанностью администратора сети организации.

Определите стандарты присвоения IP-адресов в диапазоне каждой подсети. Например:

  • Принтерам и серверам будут назначены статические IP-адреса
  • Пользователи будут получать IP-адреса от DHCP-серверов в подсетях /24
  • Маршрутизаторам назначаются первые доступные адреса узла в диапазоне.

Два существенных фактора, влияющих на определение необходимого блока частных адресов, — это количество необходимых подсетей и максимальное количество узлов в каждой подсети. Каждый из этих блоков адресов позволит распределить узлы исходя из размера сети, количества узлов, активных в настоящий момент, или добавляемых в ближайшем будущем. Требования к IP-пространству определят диапазон или диапазоны используемых узлов.

В примерах ниже отображено разбиение на подсети на основе блоков адресов с масками подсети 255.0.0.0 и 255.255.255.0, 255.255.0.0.

Базовое разбиение на подсети

Каждый сетевой адрес содержит допустимый диапазон адресов узлов. Все устройства, подключённые к одной и той же сети, будут иметь IPv4-адрес узла этой сети, а также общую маску подсети или префикс сети.

Префикс и маска подсети — это разные способы представления одного и того же — сетевой части адреса.

Для создания IPv4-подсетей мы задействуем один или нескольких бит из узловой части в качестве бит сетевой части. Для этого мы расширяем маску подсети. Чем больше заимствовано бит из узловой части, тем больше подсетей можно создать. Для каждого заимствованного бита количество доступных подсетей удваивается. Например, если заимствовать один бит, можно создать две подсети. Для двух бит — 4 подсети, для трёх бит — 8 подсетей и т. д. Однако с каждым заимствованным битом уменьшается количество адресов узлов в каждой подсети.

Биты могут быть заимствованы только из узловой части адреса. Сетевая часть адреса выделяется оператором связи, и изменить её невозможно.

Примечание. На рисунках в примерах отображается только последний октет в двоичном формате, поскольку использовать можно только биты из узловой части.

QIP Shot Screen 025

Как показано на рисунке 1, сеть 192.168.1.0/24 имеет 24 бита в сетевой части и 8 бит в узловой части, что обозначено маской подсети 255.255.255.0 или записью с префиксом /24. Без разделения на подсети эта сеть поддерживает работу только с одним интерфейсом локальной сети. Если нужна дополнительная локальная сеть, основную сеть нужно разделить на подсети.

QIP Shot Screen 026

На рисунке 2 в самом старшем разряде (крайний левый бит) заимствуется 1 бит в узловой части, расширяя сеть до 25 бит. При этом создаются две подсети: первая определяется цифрой 0 в заимствованном бите, а вторая — цифрой 1 в заимствованном бите. Для маски подсети обеих сетей используется цифра 1 в заимствованном бите, чтобы показать, что этот бит теперь входит в сетевую часть адреса.

QIP Shot Screen 027

Как показано на рисунке 3, если преобразовать двоичный октет в десятичный формат, мы увидим, что адрес первой подсети — 192.168.1.0, а адрес второй подсети — 192.168.1.128. Поскольку был заимствован бит, маска подсети для каждой подсети будет 255.255.255.128 или /25.

Используемые подсети

QIP Shot Screen 028

В примере выше сеть 192.168.1.0/24 была разделена на две подсети:

192.168.1.0/25

192.168.1.128/25

Обратите внимание, что на рисунке №1 к интерфейсам GigabitEthernet маршрутизатора R1 подключены два сегмента локальной сети. Подсети будут использоваться для сегментов, подключённых к этим интерфейсам. Чтобы выполнять роль шлюза для устройств в локальной сети, каждому из интерфейсов маршрутизатора должен быть назначен IP-адрес в диапазоне допустимых адресов для назначенной подсети. В качестве адреса интерфейса маршрутизатора рекомендуется использовать первый или последний доступный адрес диапазона сети.

Первая подсеть (192.168.1.0/25) используется для сети, подключённой к интерфейсу GigabitEthernet 0/0, а вторая подсеть (192.168.1.128/25) — к интерфейсу GigabitEthernet 0/1. Чтобы назначить IP-адрес каждому из этих интерфейсов, необходимо определить диапазон допустимых IP-адресов для каждой подсети.

QIP Shot Screen 029

Ниже даны рекомендации для каждой из подсетей.

  • Сетевой адрес — все биты 0 в узловой части адреса.
  • Адрес первого узла — все биты 0, а также крайний правый бит 1 в узловой части адреса.
  • Адрес последнего узла — все биты 1, а также крайний правый бит 0 в узловой части адреса.
  • Широковещательный адрес — все биты 1 в узловой части адреса.

Как показано на рисунке 2, адрес первого узла в сети 192.168.1.0/25 — 192.168.1.1, а адрес последнего узла — 192.168.1.126. На рисунке 3 показано, что адрес первого узла в сети 192.168.1.128/25 — 192.168.1.129, а адрес последнего узла — 192.168.1.254.

QIP Shot Screen 030

Чтобы назначить адрес первого узла в каждой подсети интерфейсу маршрутизатора для этой подсети, используйте команду ip address в режиме конфигурации интерфейса, как показано на рисунке 4. Обратите внимание, что для каждой подсети используется маска подсети 255.255.255.128, которая означает, что под сетевую часть адреса отведено 25 бит.

QIP Shot Screen 031

Конфигурация узла для сети 192.168.1.128/25 показана на рисунке 5. Обратите внимание, что IP-адресом шлюза является адрес (192.168.1.129), настроенный на интерфейсе G0/1 маршрутизатора R1, а маской подсети является 255.255.255.128.

Формулы разделения на подсети

Расчёт подсетей

Для расчёта количества подсетей используйте следующую формулу:

2^n (где n = количество заимствованных бит)

QIP Shot Screen 032

Как показано на рисунке 1 для примера 192.168.1.0/25, расчёт выглядит следующим образом:

2^1 = 2 подсети

QIP Shot Screen 033

Расчёт узлов

Для расчёта количества узлов в одной сети используйте следующую формулу:

2^n (где n = количество бит, оставшихся в узловой части адреса)

Как показано на рисунке 2 для примера 192.168.1.0/25, расчёт выглядит следующим образом:

2^7 = 128

Поскольку для узлов не может использоваться сетевой адрес или широковещательный адрес из подсети, эти два адреса нельзя назначить узлам. Это означает, что в каждой из подсетей можно использовать 126 (128-2) адресов узлов.

Таким образом, в этом примере заимствование одного бита узла для сети приведёт к созданию двух подсетей, в каждой из которых можно назначить 126 узлов.

Создание 4 подсетей

Рассмотрим сетевую инфраструктуру, в которой требуются три подсети.

Если использовать одинаковый блок адресов 192.168.1.0/24, для создания как минимум трёх подсетей необходимо позаимствовать несколько бит из узловой части. Если заимствовать один бит, будут созданы только две подсети. Для создания большего количества подсетей необходимо заимствовать больше бит из узловой части. Рассчитаем количество подсетей, создаваемых при заимствовании двух бит из узловой части по формуле 2^n:

2^2 = 4 подсети

QIP Shot Screen 034

Заимствование двух бит позволяет создать 4 подсети, как показано на рисунке 1.

Как вы помните, маска подсети должна изменяться для отражения заимствованных бит. В этом примере при заимствовании двух бит маска будет расширена на два бита в последнем октете. В десятичном формате маска имеет вид 255.255.255.192, поскольку последний октет в двоичном формате имеет вид 1100 0000.

Расчёт узлов

Чтобы рассчитать количество узлов, изучите последний октет. После заимствования двух бит для подсети остаётся 6 бит в узловой части.

QIP Shot Screen 035

Используйте формулу расчёта узлов, как показано на рисунке 2.

2^6 = 64

Не забывайте, что если в узловой части адреса все биты равны 0, то это адрес самой сети, а если все биты равны 1 — широковещательный. Таким образом, в каждой подсети фактически доступно только 62 адреса узлов.

QIP Shot Screen 036

Как показано на рисунке 3, адрес первого узла в первой подсети — 192.168.1.1, а адрес последнего узла — 192.168.1.62.

QIP Shot Screen 037

На рис. 4 показаны диапазоны для подсетей от 0 до 2. Помните, что каждый узел должен иметь правильный IP-адрес в диапазоне, определённом для данного сегмента сети. Подсеть, присвоенная интерфейсу маршрутизатора, определит, к какому сегменту относится узел.

QIP Shot Screen 038

На рисунке 5 показан пример конфигурации. В этой конфигурации первая сеть назначена интерфейсу GigabitEthernet 0/0, вторая сеть — интерфейсу GigabitEthernet 0/1, а третья сеть назначена последовательной сети 0/0/0.

Кроме того, согласно общему плану адресации адрес первого узла в подсети назначен интерфейсу маршрутизатора. Узлы в каждой подсети будут использовать адрес интерфейса маршрутизатора в качестве адреса шлюза по умолчанию.

  • Для ПК1 (192.168.1.2/26) в качестве адреса шлюза по умолчанию будет использоваться 192.168.1.1 (адрес интерфейса G0/0 маршрутизатора R1).
  • Для ПК2 (192.168.1.66/26) в качестве адреса шлюза по умолчанию будет использоваться 192.168.1.65 (адрес интерфейса G0/1 маршрутизатора R1).

Примечание. Все устройства в одной и той же подсети будут иметь IPv4-адрес узла из диапазона адресов узлов и использовать одну и ту же маску подсети.

Создание 8 подсетей

Далее рассмотрите сетевую инфраструктуру, в которой требуется пять подсетей, как показано на рисунке 1.

QIP Shot Screen 039

Если использовать одинаковый блок адресов 192.168.1.0/24, для создания как минимум пяти подсетей необходимо позаимствовать несколько бит из узловой части адреса. Заимствование двух битов создаст только четыре подсети, как было показано в предыдущем примере. Для создания большего количества подсетей необходимо заимствовать больше бит из узловой части. Рассчитаем количество подсетей, создаваемых при заимствовании трёх бит из узловой части по формуле:

2^3 = 8 подсетей

QIP Shot Screen 040

Как показано на рисунках 2 и 3, при заимствовании трёх бит создаются 8 подсетей. Если заимствовать три бита, маска подсети будет расширена на 3 бита в последнем октете (/27), что даст маску подсети 255.255.255.224. Все устройства в этих подсетях будут использовать маску подсети 255.255.255.224 (/27).

QIP Shot Screen 041

Расчёт узлов

Чтобы рассчитать количество узлов, изучите последний октет. После заимствования трёх бит для подсети остаётся 5 бит в узловой части.

Применим формулу расчёта узлов:

2^5 = 32, но вычтем 2 для всех нулей в узловой части (сетевого адреса) и все единицы в узловой части (широковещательный адрес).

QIP Shot Screen 042

Подсети назначаются сегментам сети, необходимым для топологии, как показано на рисунке 4.

Кроме того, согласно общему плану адресации, адрес первого узла в подсети назначен интерфейсу маршрутизатора, как показано на рисунке 5. Узлы в каждой подсети будут использовать адрес интерфейса маршрутизатора в качестве адреса шлюза по умолчанию.

QIP Shot Screen 043

  • Для ПК1 (192.168.1.2/27) в качестве адреса шлюза по умолчанию будет использоваться 192.168.1.1.
  • Для ПК2 (192.168.1.34/27) в качестве адреса шлюза по умолчанию будет использоваться 192.168.1.33.
  • Для ПК3 (192.168.1.98/27) в качестве адреса шлюза по умолчанию будет использоваться 192.168.1.97.
  • Для ПК4 (192.168.1.130/27) в качестве адреса шлюза по умолчанию будет использоваться 192.168.1.129.

zaycev.me

Объединение двух локальных сетей с одинаковым номерами сетей на Linux-шлюзе / Хабр

При создании локальной сети не каждый администратор подходит с ответственностью к выбору диапазона адресов. А может и не каждый догадывается о наличии частных диапазонов кроме 192.168.0.0/24. И со временем такая бомба замедленного действия может дать о себе знать. Локальные сети объединяются, возникает потребность в коммуникации между хостами разных сетей. И тут выясняется, что номера сетей совпадают. И менять их по каким либо причинам проблематично или невозможно. В таком случае, серверу, маршрутизирующему пакеты между сетями, остается сделать вид, что номера сетей различны и выдавать желаемое за действительное. В богатом арсенале Linux есть средства для таких манипуляций: iptables с NETMAP и утилита ip.
Цель
Из сети LAN1 мы хотим послать пакет в сеть LAN2. Но мы не можем послать его в сеть, номер которой одинаков с нашим. В самом частом случае 192.168.0.0/24. Если такой пакет появится в LAN1, он не будет знать, что есть LAN2, он будет искать такую машину в LAN1. Таковы правила маршрутизации по умолчанию. Значит, надо посылать пакеты с другими адресами, которые уйдут в роутер.

Как это должно вглядеть для наблюдателя из LAN1 Например, пользователь сети LAN1 будет видеть сеть LAN2 как 10.8.1.0/24. Тут уже никакого пересечения адресов. LAN1 доволен.

Как это выглядит с обеих сторон Из LAN1 приходит пакет с адресом отправителя 192.168.0.100 и адресом назначения 10.8.1.200. Из роутера с интерфейса LAN2 выходит тот же пакет с адресом отправителя 10.8.1.100 и с адресом назначения 192.168.0.200. Пакет проходит до адреса назначения и тот шлет в ответ на адрес отправителя со своим адресом. Пакет уходит в роутер. В нем происходит обратное преобразование и пользователь LAN1 получает ответ с того адреса, на который отправил пакет.

Теория. Путь пакета в ядре роутера: netfilter
Здесь я попытаюсь рассказать о путешествии транзитного трафика через наш Linux-роутер. Для полного понимания процесса путешествия пакета лучше видеть схему его прохождения из Википедии по цепочкам netfilter. Наш пакет с [источником|назначением] [192.168.0.100|10.8.1.200] попадает на сетевой интерфейс роутера и первой его цепочкой будет PREROUTING.
PREROUTING
Проходя по цепочке он попадает в таблицу PREROUTING mangle. В которой посредством iptables мы определяем интерфейс, с которого он пришел, и адрес источника. Если это наш пациент, мы его помечаем действием MARK. После чего пакет [192.168.0.100|10.8.1.200|(marked)] попадает в таблицу nat. Эта таблица предназначена для трансляции адресов. Поскольку не существует реального адреса 10.8.1.200, то на последующем этапе маршрутизации пакет будет отброшен или уйдет в неизвестном направлении. Поэтому заменяем ему адрес назначения на тот, на который он действительно должен пойти именно тут: [192.168.0.100|192.168.0.200|(marked)]. Делается это действием NETMAP, которое заменяет номер сети по маске.
ROUTING
Наш пакет пакет попадает на этап принятия решения, куда он должен идти дальше. Он промаркирован, поэтому можем отправить его в специальную таблицу маршрутизации, которую мы создали для такого случая. Там принимается решение, что пакет не предназначен для локального компьютера и должен идти в LAN2.

Пакет успешно проходит цепочку FORWARDING. Попадает опять на этап маршрутизации. Если в FORWARDING с ним ничего не случилось, а по идее не должно было. Он идет тем же путем. После чего попадает в POSTROUTING.

POSTROUTING
Без изменений доходя до таблицы nat. Мы должны изменить адрес источника. Ведь ответ на пакет [192.168.0.100|192.168.0.200] будет отправлен в локальную сеть, а не в роутер. Чтоб он попал обратно в роутер, меняем адрес источника на несуществующий [10.8.1.100|192.168.0.200]. Опять же NETMAP. После этого пакет выходит в LAN2. С ответным пакетом проделываем обратную процедуру, чтоб он дошел до изначального источника.
Реализация
iptables -t mangle -A PREROUTING -i tun0 -d 10.8.1.0/24 -j MARK --set-mark 8 Метим входящие пакеты на нашу несуществующую сеть для дальнейшего их опознавания в netfilter. Можно обойтись и без меток, использовать в качестве критериев адрес источника, входной интерфейс и адрес назначения, но в случае сложной маршрутизации с отдельными таблицами маршрутизации решить куда отправить пакет будет проще всего по метке.iptables -t nat -A PREROUTING -m mark --mark 8 -j NETMAP --to 192.168.0.0/24 Узнаем пакет по метке и действием NETMAP в таблице PREROUTING подменяет номер сети.iptables -t nat -A POSTROUTING -m mark --mark 8 -j NETMAP --to 10.8.2.0/24 В POSTROUTING NETMAP подменяет адрес источника. После этого все обращения на подсеть 10.8.1.0/24 будут выглядеть внутри LAN2, как обращения из подсети 10.8.2.0/24.
ROUTING
Чтобы маршрутизировать пакеты по метке необходимо создать свою таблицу маршрутизации.Редактируем /etc/iproute2/rt_tables, добавляя уникальное число и название новой таблицы.256 netmap Далее надо добавить правило, по которому в эту таблицу будут направляться пакеты на маршрутизацию.ip ru add fwmark 8 lookup netmap Теперь помеченные пакеты будут уходить на маршрутизацию в таблицу netmap.

И последним шагом нужно определить маршруты в таблице netmap.

ip route add default dev eth2 table netmap Или можно указать в особом случае отдельный шлюз, если в эту сеть трафик от роутера идет через него. Что-то в духе:ip route add default via 192.168.1.254 dev eth2 table netmap Пока рано радоваться, к нам придет ответ из LAN2 [192.168.0.100|10.8.2.200]. Надо сделать все тоже самое, но только преобразовать обратно. Увы, netfilter сам этого не делает. Все действия уже описаны, приведу только последовательность команд для преобразования адресов в одну и в обратную сторону. (В первой таблице маршрутизации необходимости в данном случае нет, но при иных обстоятельствах может понадобиться.)ip rule add fwmark 8 lookup netmap ip route add 192.168.0.0/24 dev eth2 table netmap iptables -t mangle -A PREROUTING -i tun0 -d 10.8.1.0/24 -j MARK --set-mark 8 iptables -t nat -A PREROUTING -m mark --mark 8 -j NETMAP --to 192.168.0.0/24 iptables -t nat -A POSTROUTING -m mark --mark 8 -j NETMAP --to 10.8.2.0/24 # в обратную сторону ip rule add fwmark 9 lookup netmap2 ip route add 192.168.0.0/24 dev tun0 table netmap2 iptables -t mangle -A PREROUTING -i eth2 -d 10.8.2.0/24 -j MARK --set-mark 9 iptables -t nat -A PREROUTING -m mark --mark 9 -j NETMAP --to 192.168.0.0/24 iptables -t nat -A POSTROUTING -m mark --mark 9 -j NETMAP --to 10.8.1.0/24
Результаты
Вот что пишет tcpdump (первый пример с vnc, второй с пингом):tcpdump -i any port 590012:46:46.358969 IP 192.168.0.100.41930 > 10.8.1.200.5900: Flags [P.], seq 647:657, ack 261127, win 1213, options [nop,nop,TS val 460624 ecr 171318], length 10 12:46:46.358978 IP 10.8.2.100.41930 > 192.168.0.200.5900: Flags [P.], seq 647:657, ack 261127, win 1213, options [nop,nop,TS val 460624 ecr 171318], length 10 12:46:46.505847 IP 192.168.0.200.5900 > 10.8.2.100.41930: Flags [.], ack 657, win 64879, options [nop,nop,TS val 171320 ecr 460624], length 0 12:46:46.505861 IP 10.8.1.200.5900 > 192.168.0.100.41930: Flags [.], ack 657, win 64879, options [nop,nop,TS val 171320 ecr 460624], length 0tcpdump -i any icmp12:47:46.363905 IP 192.168.0.100 > 10.8.1.200: ICMP echo request, id 2111, seq 1, length 64 12:47:46.363922 IP 10.8.2.100 > 192.168.0.200: ICMP echo request, id 2111, seq 1, length 64 12:47:46.364049 IP 192.168.0.200 > 10.8.2.100: ICMP echo reply, id 2111, seq 1, length 64 12:47:46.364054 IP 10.8.1.200 > 192.168.0.100: ICMP echo reply, id 2111, seq 1, length 64

Tcpdump отлично демонстрирует, как происходит преобразование адресов на входе в один интерфейс и на выходе в другой и в обратную сторону.

Так же отлично работают остальные сервисы, типа Samba и ее аналог на Windows.

Note
Если соединение между сетями организовано посредством туннеля OpenVPN, то для правильной маршрутизации со стороны клиента в конфиг сервера необходимо добавить дополнительный маршрут через туннель.push "route 10.8.1.0 255.255.255.0"
Warning!
При отладке конфигурации не пытайтесь законнектиться к серверу, на котором шлюз. Соединяйтесь с машинами за ним в LAN2. И вот почему. Правила расчитаны, что пакет будет проходить через шлюз, i. e.PREROUTING -> Маршрутизация -> FORWARD -> Маршрутизация -> POSTROUTING Если пакеты будут адресованы 10.8.2.1 (серверу), то они в результате маршрутизации пойдут в цепочку INPUT и преобразование адреса источника в POSTROUTING не будет выполнено.PREROUTING -> Маршрутизация -> INPUT -> Приложение Соответственно, адрес источника не будет измненен и ответ будет послан не на 10.8.2.xy, а на 192.168.0.xy — на маршрут по умолчанию для этого диапазона, т. е. в LAN2, а не в LAN1.

habr.com

сеть - Объединение локальных сетей двух роутеров

Имеются два роутера в локальной сети провайдера. Роутеры видят друг друга.

  • IP адрес роутера A: 10.173.236.10 (модель роутера: Asus rtn-12d1)
  • IP адрес сети роутера A: 192.168.1.1

  • IP адрес роутера B: 10.173.239.17 (Производитель Tp-link, модель не помню).

  • IP адрес сети роутера B: 192.168.0.1

Нужно чтобы компьютер из сети A (IP адрес, например 192.168.1.192) видел компьютер из сети B (например 192.168.0.19) как локальный, желательно без стороннего ПО ( виртуальные адаптеры в текущем контексте таковыми не считаем ), а если с ПО, то пожалуйста, объясните алгоритм его работы.

P.S

Так же позволю себе задать вопрос личного характера. Видны ли у вас клиенты вашего же провайдера (как в данном примере). Если да, то не могли бы вы указать провайдера и район, в котором вы живёте. Ну и ещё пара подвопросов для опытных дядек ;)

  1. Как часто встречается данная особенность (у всех ли провайдеров клиенты видны друг для друга ?).
  2. Используется ли она обычными пользователями/ компаниями и опять же как часто.

    Всё это нужно для игры в Heroes 5 и проекта, если любопытно.

UPDATED

Проверить доступность клиентов можно следующим способом (долго колебался, с одной стороны, скорее всего, человек, собравшийся ответить на заданный мною вопрос знает как это сделать, с другой стороны лишним не будет, плюс опять же кто нибудь может поправить/улучшить алгоритм):

  1. Заходите в настройки роутера, если такового нет, то в настройки сетевого адаптера.
  2. Копируем IP адрес основного шлюза.
  3. Отправляем ping запрос на основной шлюз.

    • Если он ответил, то отправляем пинг запросы "соседним" шлюзам. Вот пример цикла для cmd: for /l %i in (1,1,254) do ping -n 1 <первый и второй октет шлюза>.%i.<4 октет шлюза (254)> Этого с лихвой хватит для ответа на мой вопрос.

    • Если он не ответил, то отправляем пинг запросы на клиентов, а не на основной шлюз. Вот пример цикла для cmd: for /l %i in (1,1,254) do ping -n 1 <Первые три октета>.%i .

Tracert между ними:

  1. 192.168.1.1 [роутер A] --->
  2. 178.173.25.33 [host-33.pool25] --->
  3. 192.168.2.107 [sr-2.107] --->
  4. 10.173.239.17 [внешний IP роутера B].

ru.stackoverflow.com

Локальная сеть с двумя роутерами и двумя выходами в Internet

1) Роутер 1 и свитч 1 соединены через локальные порты2) Соединяем свитч c локальным портом роутера 2 кабелем UTP

Перекрёстный кабель между роутером и свитчём делать не нужно (данный свитч имеет функцию автоматического определения Auto-MDI/MDIX http://vituha.com/mdi-mdix-automdix)Т.е. для всех соединений нашей объединённой локальной сети делаем прямые кабели по схеме: http://compl.ucoz.ru/publ/sety_internet/setevye_tekhnologii/statja_3_obzhim_kabelja/11-1-0-15

3) Назначаем адрес доступа к роутеру 1: 192.168.1.14) Назначаем адрес доступа к роутеру 2: 192.168.1.25) В роутере 1 и в роутере 2 создаём однинаковый пул DHCP: 192.168.1.100 – 192.168.1.1996) В роутере 1 и в роутере 2 делаем одинаковую привязку MAC-адресов компьютеров к локальным адресам

Для любого вновь подключённого устройства необходимо вручную прописывать локальные адреса и привязывать их к MAC-адресамНельзя допускать автоматического распределения адресов. Это может привести к конфликту)Исключение – устройства, подключаемые через WiFi (т.к. wifi- роутер один, то конфликта не будет. Тем не менее следить за этим процессом всё равно нужно!)К назначению адресов нужно подходить очень аккуратно

Для принт-сервера заранее назначаем адрес: 192.168.1.199

6) Настраеваем роутер 1 на работу с провайдером 1 (pppoe… логин, пароль)7) Настраеваем роутер 2 на работу с провайдером 2 (динамические адреса)

Далее возможно три случая:

1) Если нужно, чтобы объединённая локальная сеть работала через провайдера 1:В роутере 2 отключам функцию DHCP, в роутере 1 функцию DHCP оставляем включённой

В роутере 1 (TP-LINK WR1043ND) эта функция находится в разделе DHCP SettingsВ роутере 2 (TP-LINK WR1043ND) она же находится в разделе System Management/ System Services

2) Если нужно, чтобы объединённая локальная сеть работала через провайдера 2:В роутере 1 отключам функцию DHCP, в роутере 2 функцию DHCP оставляем включённой

3) Если необходимо, чтобы разные компьютеры локальной сети одновременно работали через разных провайдеров:

В этом случае в обоих роутерах включаем DHCP

На выбранном компьютере включаем-выключаем локальное соединение (в разделе "сетевые подключения" операционной системы) до тех пор, пока не получим соединение с нужным провайдером

В Windows 7 выбранное соединение отображается наглядноВ Windows XP проверить полученное соединение можно через сервис проверки своего ip-адреса… например, здесь: http://www.rawex.ru/speed/vaship.php

В зависимости от того, какое соединение выбрано, можно работать либо с локальной сетью одного провайдера, либо с локальной сетью другого провайдера

---

Роутеры настроены.Теперь организуем локальную сеть, расшарим папки и принтер.

Трудность в следующем.Два компьютера в моей сети работают под управлением windows 7, остальные – под Windows XP

Рабочая группа по умолчанию в windows xp – mshomeРабочая группа по умолчанию в windows 7 – workgroup (или что-то типа того)Получается такая штука, что компьютеры под управлением windows 7 не видят компьютеров под управлением xpНеобходимо сделать следующее: в разделе Система Windows 7 нужно поменять название рабочей группы, чтобы на всех компьютерах объединённой локальной сети рабочая группа была одной и той же

После того, как это сделано, можно на всех компьютерах объединённой локальной сети подключить сетевые диски.

---

Для того, чтобы работал принтер, нужно на всех компьютерах объединённой локальной сети установить программное обеспечение принт-сервера:http://www.tp-linkru.com/support/download/?productcategoryid=208&model=TL-PS310U&version=V1Главная программа: MFP and Storage_ServerУтилита для организации очередей печати: Network Printer WizardПрошивку принт-сервера следует поменять на последнюю доступную!

На тех компьютерах, на которых необходима работа сканера, устанавливаем соответсвующее программное обеспечение принтера

P.S.

Использовались:

Клещи обжимные TRENDnet TC-CT68http://www.ulmart.ru/goods/26812/

Универсальный зачистной нож 5bites LY-501Chttp://www.ulmart.ru/goods/164722/(Клещами зачищать провода не удобно. С ножом лично мне работать понравилось больше.Чтобы не резать провода, на ноже есть специальный регулировачный винт)

Тестер кабеля многофункциональный 5bites LY-CT013http://shop.bigcomp.ru/catalog/group2466/good111895.html

Кабель витая пара Telecom UTP cat 6http://www.ulmart.ru/goods/168562/

Коннекторы RJ-45

Пассатижи(без них правильно обжать довольно-таки толстый кабель да ещё и с сердечником практически нереально)

P.S 2.

Пара слов об открытии портов:

В роутере 1 (TP-LINK WR1043ND) с этим всё просто…Заходим в раздел Forwarding/ Virtual ServersПрописываем портыВ качестве IP Address указываем локальный адрес компьютера, на котором необходимо открыть порты

Роутер 2 (Asus RX3041H ):

Заходим в раздел Firewall/ Advanced/ ServiceУказываем название программы, для которой необходимо открыть порт, прописываем порт

Затем заходим в раздел Firewall/ Inbound ACLВ Destination Port выбираем пункт ServiceВ появившемся открывающимся списке выбираем название программы, для которой необходимо открыть портВ NAT прописываем адрес компьютера, на котором необходимо открыть портЖмём Add

P.S. 3:

Роутер TP-LINK WR1043ND иногда подвисает (не очень часто)Ничего страшного. Лечится переподключением к розеткеВ будущих прошивках этот глюк обещают исправить

С этим роутером лучше всего использовать в паре wifi usb адаптер TP-LINK WN821NC http://www.ulmart.ru/goods/221903/Заявленная скорость до 300Мбит/с(На случай, если на каком-нибудь из компьютеров вдруг понадобится WiFi)

tangr-on-lj.livejournal.com

ip адреса для локальных сетей

Краеугольным камнем, о который спотыкаются многие начинающие айтишники, является адресация в ip сетях. При этом подавляющее большинство сетевых ошибок связано именно с некорректной настройкой сетевого адаптера на локальном компьютере. Поэтому в данной статье мы рассмотрим, какие ip адреса для локальных сетей можно использовать, и что такое маршрутизация в ip сетях.диапазон ip адресов для локальных сетей

NAT и ip адресация для локальной сети

Прежде всего, нужно различать локальные и глобальные IP адреса: диапазон ip адресов для локальной сети ограничен только в том случае, когда в данную сеть внедряется интернет.

Это обусловлено тем, что в «глобальной паутине» для передачи данных используется протокол версии 4 (IPv4), в котором адрес любого сетевого устройства представляет собой число из 32 бит.

Таким образом, количество используемых для адресации чисел не бесконечно, и пользователи зачастую сталкиваются с проблемой того, что не хватает ip адресов в локальной сети.

Оптимальным решением проблемы станет использование для локальной сети динамических IP-адресов, за автоматическое распределение которых отвечает решающий протокол DHCP (Dynamic Host Configuration Protocol).

Суть данной технологии в том, что IP адрес каждого нового клиента сети выбирается из пула заранее подготовленных адресов и сохраняется только в течение данной сессии (до первого выключения/перезагрузки компьютера).

Для подключения локального компьютера к интернету используется технология NAT (Network Address Translation), которая внедрена на всех современных маршрутизаторах. Она преобразует локальный IP-адрес устройства в публичный т.е. тот, который используется в сети Интернет.

Глобальный IP-адрес компьютера должен быть уникальным: он присваивается только одному подключенному к мировой сети пользователю.

Какие ip адреса можно использовать в локальной сети?

Для создания локальной сети без доступа к интернету можно использовать любые IP-адреса. Такой вариант подойдет, например, для закрытой корпоративной сети, которую нужно максимально оберегать от «вражеских» проникновений извне.

Если же сетевые компьютеры должны свободно «выходить» в интернет, то при выборе диапазона IP-адресов нужно придерживаться определенных стандартов.

Дело в том, что при подключении компьютеров из локальной сети к сети Интернет происходит автоматическая регистрация IP адресов через IANA — особую организацию, которая следит за распределением всех существующих имён и номеров (которые записаны в RFC).

Приведем рекомендованные диапазоны ip адресов для локальной сети:

 — 10.10.0.0 – 10.255.255.255 — сеть класса A, возможно до 16121856 различных адресов хостов.

 — 172.16.0.0 – 172.31.255.255 — группа 16-ти смежных сетей класса B, можно использовать до различных 1048576 адресов хостов.

 — 192.168.0.0 – 192.168.255.255 — группа 16-ти смежных сетей класса C, возможно до различных 65536 адресов хостов.

Кроме того, существуют петлевые интерфейсы, которые не используют обмен между узлами сети. Для них выделен интервал адресов 127.0.0.0 — 127.255.255.255

При этом выбор конкретного диапазона зависит только от размеров вашей локальной сети. Так, в домашних или других небольших сетях обычно используют диапазон адресов 192.168.0.1 -192.168.0.254, при котором можно подключать до 254 клиентов.

Подробнее о возможных диапазонах IP адресов можно узнать из RFC 1918, а в статье как узнать свой ip в локальной сети мы рассказывали, как найти ай-пи адрес уже подключенного к локальной сети компьютера. Оцените статью: Поделитесь с друзьями!

tvoi-setevichok.ru