Ситуация такая, надо как бы объединить 2 здоровые сети, но в одну сторону, т.е. чтоб 1 могла достукиваться до ресурсов второй и получала ответ, а вторая тупо не знала что есть 1 сеть....
Сначала экперементировал с двумя сервера на ISA 2006, на второй поднять был VPN сервер, на первом всё настроено правила доступа и по звонку мол мне нужно в сеть №2 ИСА сама поднимала VPNтунель до второй сети и пускала трафик, всё работает, НО, теряются пакеты, т.е. на пользователе отражается как потерей связи (там файлик перекинуть в 200метров или еще что).... да, оба сервера стоят в 10см друг от друга и соединяются через 8портовый коммутатор провайдера........ косяк, такая работа не годится, идем дальше, было решено втыкнуть в одну ИСА третью сетевую карту и сделать NAT а правилами уже резать трафик чтоб лишнее не лезло...... сделано, тоже самоя ...... и тут ну ладно, война- фигня, главное маневры, делаем так, моя сеть №1 всё построено на маршрутизаторами WS-C3560G-48PS-S , зделали отдельный VLAN, создали акцесс лист с портами, прописали маршруты, лишнее запретили, всё красиво, всё работает и снова эта проблема опять, пропадают пинги...... всё, мозг сломан, мыслей больше нет.......

Дрова сетевых серверов обновил, патчкорды менял, локальные ПК в своих сетях с серверами что хотят делают, файлы любых размеров пролезают, а вот между сетями ....... в логах тож нет ничего.....

Сейчас пока всё работает на последнем варианте, через циску, и она стала жаловаться на нехватку памяти, конечно в этом может быть причина, заказал железку, попробуем отдельной железкой разруливать маршрутизацию...... и это остался последний шанс, и если после этого тоже самое будет, это будет провал.......

Пока читал, тоже весь МОЗГ сломал!!!

и тут я понял как я далек от этого

Без схемки с указанием адресов и портов, или хотя бы изображения что куда подключено не понять что к чему, в частности для чего прописывать маршруты на каталисте, если обе сети вроде как direct-connected. Какой именно процесс использует память на свиче? Включен cef ?

Это про последний вариант) С исой если честно вообще ничего не понял)

Кстати если свич поддерживает рефлективные аксесс-листы и они включены - это пожалуй может создавать тормоза и потери пакетов.

посмотри в сторону длинков дфл210-х. они между собой устанавливают айписек туннельчик и за ними уже сетки делаешь как хочешь
Правилами прописываешь какую угодно видимость в какую угодно сторону с блокировкой по какому годно критерию.
у меня так офисы работают. сервер стоит за длинком отдельно в одном конце города, к нему тоннелями прицеплены длинки с других концов (основные офисы). к самим длинкам цепляются по впн удаленные пользователи со всей России. Все работает без сучков, быстро, устойчиво. 210-е в этом плане удачные коробочки

http://www.dlink.ru/ru/products/6/619.html

У него 10 см между серверами



А трафик наверно ого-го раз каталист гигабитный стоит, загнется пожалуй коробочка

а это роли не играет и неважно. 10см или 1000км.
в этом то и прелесть. айпишник в ВАНе у фаера перепрописал и увез к черту на рога вместе с подсетью (офисы разъехались, допустим). хоть в другую страну.
причем одна подсеть, скажем 192.168.2.0\24, а вторая 192.168.6.0\24 и понятия ни первая ни вторая не имеет где территориально они все. все за фаерами.... может в соседних офисах, а может в разных городах.

Позволю себе заметить что у ТС каталист перегружен по памяти, и видимо дропает пакеты а его предлагается заменить маленькой коробочкой с производительностью VPN 25 Мбит/с (это на сайте написано, реально ниже) Когда офисы разъедутся то это понятно, но сейчас то они рядом, зачем огород городить.

может он судорожно ВСЕ логи в себя пытается писать.....

тогда no debug all спасет автора)

Но я думаю это маловероятно)

ну так священный бубен никто не отменял :)

Это да) И сначала все надо перезагрузить)

не вижу проблемы.
два рутера с впн и нат. с одного в нат можно все с другого тока established.
где я не прав?

у вас на компьютере желтый огонек горит? включить выключить пробовали? ©

Кстати да, абсолютно невидимой одну сеть для другой сделать не удастся никак, потому что любой процесс передачи двусторонний. Туда запрос - обратно ответ, если обобщить.

Не, ну как - ответные запросы конечно видны, но если NATa/форвардинга в одну сторону нету - то она и будет невидимой. ТС имеет в виду что б ресурсы нельзя было видеть.

Так можно.. Или как вариант в одну сторону открыть аксесс-лист только на исходящие порты, а в другую только на принимающие. Это если без NAT

+мильён... с куёвым русским языком написания "есчо и панядь шо аффтар хател скозать" - это задница полная...

Ой Кость, да ладно тебе - сам вон, в соседней теме, запАсный с запаснЫм перепутал... :)

Отвечу по порядку:


Схему нарисую в понедельник если надо, теперь параметры сетей
сеть1: 172.18.185.0/24 172.18.186.0./24 - роутер Cisco 2811 маршрутизаторы Cisco 3560 , порядка 200ПК
сеть2: 10.4.0.0 255.255.0.0 - D-link и 3Com, порядка 1200ПК. (Свой свич 3Com заменил на D-link 1210)

В моей серверной есть 2 сети, т.к. часть сотрудников работает сеть1, а часть работает в сеть2, они полностью друг другом никак не завязаны, и не видны.
Потребовалась задача организовать доступ сотрудникв сеть1 в сеть2 для работы с БД Oracle.
Т.к. в сети2 часто бываю вирусы и прочие неприятности с петлями, стал рассматривать все возможные безопасные для сеть1 варианты, я их описал выше.

Сейчас заказан МСЭ Juniper SRX100, по рекомендациям, очень хорошо маршрутизирующий трафик.


я тож об этом подумал, т.к. запросов много, а мощности маршрутизатора не хватает чтоб прогнать трафик через аксесс листы и развязывается пупок у него.... ведь помимо он еще маршрутизирует трафик IP-телефонии, и еще парочку VLAN с подобными аксесс листами...... (хотя хорошая железка, покупали не давно за 280тыс.... жалко как то его хабом называть вдруг обидится еще)




Саша, не успел я купить бубен, может лет через 5 как нить, щас напряг полный, ну ты знаешь....




наверно я завяжу с длинком, три раза покупал продукцию и всё три раза какуюто свинью подложили.... уж лучше сиску, дорого, но стабильно...


именно, в ту сторону делаем нат, и пакеты обратно приходят, если с моей стороны сделать статический маршрут, то тот же самый маршрут надо прописывать на шлюзе сеть2, а этого мне не надо......

Самый главный момент:
когда все сделал с помощью двух ИСА, то 4 человек стабильно работали, и директору чтоб поцеловать одно место генеральному дир, "- всё работает, подключаем всех" , и +еще 40 человек, и после этого началось падение пакетов.......

Так раз такое дело - может действительно не хватает мощности правила отрабатывать?

для этого я и заказал отдельную железку, как последний шанс........
Хотя еще вариант есть, отрубить полностью фильтрацию по портам на VLAN циски, т.е. все что идет пусть идет как есть, и если проблема решится, значит виновато оборудование, и тогда моя задница будет спасена, а если нет, то..... то будем думать дальше, чё еще остается....

Что является "default gateway" в сетях 1 и 2? Можешь сразу IP написать.
В каком месте планируется соединить сети 1 и 2? А в каком еще месте это можно сделать?
В какое место воткнут инет?
C3560G ниразу не маршрутизатор, это L3 комутатор.
Покажи результат "sh ver" на обоих цисках, чтоб понимать, что они умеют в вашей "комплектации".

Все равно не могу понять.. Куда втыкать джунипер будешь? Вилан у о котором выше говорил для второй сети на 3560 делал? У тебя 3560 только на втором уровне работает, а вся маршрутизация через 2811 ? Если нет то посмотри yf 3560 cef все таки. И посмотри sh process cpu на всех цисках, где пакеты теряются то