+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Соединение двух локальных сетей в одной IP-диапазоне.

Соединение двух локальных сетей в одной IP-диапазоне., RouterOS

pedja

Guest

06.04.2007 07:20:00

Это проблема, не напрямую связанная с MT, но поскольку MT используют сетевые гуру, думаю, есть шанс. Ситуация такова: у нас есть две локальные сети с одинаковыми частными IP-адресами, которые мы хотим объединить. Сети географически удалены, и мы хотим установить VPN-соединение для их объединения. Обе сети полностью независимы, и невозможно изменить IP-адреса, чтобы избежать конфликтов. Я знаю, это практически невозможно, но я думаю, возможно ли создать некий протокол маршрутизации, который бы это допускал.

Моя идея заключается в некоем виде транспондирования (отображения диапазонов IP-сетей). То есть, когда пакет из одной сети маршрутизируется в другую, его исходный IP-адрес транспонируется в другой, заранее определенный диапазон IP-адресов, и наоборот, принимаемые пакеты из другой сети транспонируются в правильный диапазон IP-адресов. Позвольте мне привести простой пример: если у нас есть две сети А и В, и сеть А использует 10.10.0.0/16, а сеть В использует 10.10.0.0/16, то транспондирующий протокол должен делать следующее: Сеть А должна видеть сеть В как 11.10.0.0/16, а сеть В должна видеть сеть А как 12.10.0.0/16. Диапазоны IP-адресов произвольны. Например, пакет, отправленный из сети А с IP-адреса 10.10.0.1 на 11.10.0.1, прибудет в сеть В как отправленный с IP-адреса 12.10.0.1 на 10.10.0.1.

Зачем это нужно? Ну, публичные IP-адреса не так широко доступны и стоят денег. Этот вид транспондирования позволит локальным сетям использовать частные адреса, но при этом иметь возможность взаимодействовать друг с другом, избегая конфликтов IP-адресов.

tneumann

Guest

09.04.2007 08:14:00

Концептуально это можно решить с помощью трансляции адресов обеих сетей в обоих направлениях. Чтобы описать ваш пример с сетями A и B, обе использующие 10.10.0.0/16 внутри, можно транслировать обе сети так, чтобы, например, сеть A отображалась как 10.20.0.0/16 для сети B, а сеть B отображалась как 10.30.0.0/16 для сети A. Отображение адресов должно быть двунаправленным для обеих сетей, то есть как адреса источника, так и адреса назначения должны переводиться туда и обратно. Решения такого рода возможны, я делал это много раз с Cisco routers и Netscreen firewalls (для описания Cisco смотрите http://www.cisco.com/en/US/tech/tk648/tk361/technologies_configuration_example09186a0080093f30.shtml) и, изучая схему потока пакетов RouterOS на http://www.mikrotik.com/testdocs/ros/2.9/ip/flow.php, думаю, что это должно быть возможно реализовать и с MikroTik routers, поскольку из этой схемы видно, что NAT как для источника, так и для назначения применяется в правильных местах по отношению к IPsec шифрованию и дешифрованию, хотя должен признаться, что я еще не пробовал делать это сам с RouterOS. –Tom

pedja Guest	#3 0 10.04.2007 17:13:00 Том, спасибо, это именно то, о чём я думал. Прямо в точку.

pedja Guest	#4 0 10.04.2007 19:40:00 Попробовал dstnat с action netmap, кажется, работает.

tneumann Guest	#5 0 10.04.2007 19:59:00 Да, я так и думал. Отличная работа! Может, оформишь своё решение в Wiki, как только убедишься, что оно работает, как задумано? –Том

yakcora

Guest

06.04.2007 08:08:00

Если IP-адреса уникальны, то, возможно, удастся объединить эти две сети, но могу заверить, что с такой сетевой архитектурой у тебя будет просто ад. Лучше всего попробовать изменить одну из сетей на 10.11.0.0/16. Гораздо меньше головной боли.

pedja Guest	#7 0 06.04.2007 17:45:00 Может, ты математик?

yakcora Guest	#8 0 07.04.2007 03:07:00 Не, просто в курсе по IP-адресам.

cmacneill

Guest

07.04.2007 13:32:00

Без знания количества хостов в сети сложно давать советы. Сколько всего хостов в каждой локальной сети? И сколько хостов в каждой сети должны общаться друг с другом? Возможно, это число намного меньше общего количества. Можно поставить роутер между двумя сетями и настроить правила NAT (преобразование адресов) для отображения адресов, но, думаю, это будет кошмар в плане администрирования и настройки. У меня голова начинает болеть только от мысли об этом! Если хостов слишком много, чтобы менять их IP-адреса, то, я бы сказал, их слишком много для какой-либо системы отображения – усилий потребуется примерно столько же. Большинство хостов могут поддерживать несколько IP-адресов, поэтому, на мой взгляд, проще оставить существующие IP-адреса без изменений и добавить каждому хосту, которому нужно общаться между сетями, второй адрес, который будет находиться в другом подсегменте, например, выделить адреса из диапазона 172.16.0.1/13 до 172.23.255.254/13 для одной сети и 172.16.24.1/13 до 172.31.255.254/13 для второй сети. Затем настройте VPN-роутеры между сетями так, чтобы они имели IP-адреса только в сетях 172.16.0.0/13 и 172.24.0.0/13. Клиенты, которым нужно общаться между сетями, будут делать это по новым адресам, но при этом смогут общаться с другими устройствами в своей локальной сети по адресам 10.10.0.0. 11.x.x.x & 12.x.x.x – это публичные адреса, поэтому, если вы используете метод отображения, вы потенциально можете заблокировать пользователям доступ к этим публичным сетям. Лучше использовать что-то вроде 172.16.0.0/13 и 172.24.0.0/13. Однако я бы выбрал более высокий номер подсети, то есть больше сетей и меньше хостов, просто на всякий случай, если вам потребуется добавить другие сети в будущем. Рассчитайте, сколько хостов вам нужно в каждой сети, а затем установите маску подсети соответствующим образом. Используя частный адресный диапазон 172.16.0.0/12, предполагая, что в каждом подсегменте теряются 3 адреса для сети, широковещания и роутера:

30 бит = 1 хост, 131,072 сети
29 бит = 5 хостов, 65,536 сети
28 бит = 13 хостов, 32,768 сети
27 бит = 29 хостов, 16,384 сети
26 бит = 61 хост, 8,192 сети
25 бит = 125 хостов, 4,096 сети
24 бит = 253 хоста, 2,048 сети
23 бит = 1,021 хост, 1,024 сети
22 бит = 2,045 хостов, 512 сети
21 бит = 4,093 хоста, 256 сети
20 бит = 8,189 хостов, 128 сети
19 бит = 16,381 хост, 64 сети
18 бит = 32,765 хостов, 32 сети
17 бит = 65,533 хоста, 16 сетей
16 бит = 131,069 хостов, 8 сетей
15 бит = 262,141 хостов, 4 сети
14 бит = 524,285 хостов, 2 сети
13 бит = 1,048,573 хоста, 1 сеть
12 бит = 2,097,149 хостов, 1 сеть

Идеально было бы перенумеровать одну из ваших сетей, например, если все ваши хосты в одной сети находятся в диапазоне 10.10.0.1 - 10.10.127.254, перенесите все хосты в другой сети в диапазон 10.10.128.1 - 10.10.255.254. Если сначала переместить всех пользователей, а затем изменить маски подсети, хотя это может быть много работы, это обеспечит минимальные сбои, то есть маски подсети изначально 16-битные, после миграции хостов измените маску подсети для всех хостов в обеих сетях на 17 бит. Вы можете настроить DHCP-сервер со статическими лизами для каждого пользователя, который будет перенесен на новый адрес, затем всем клиентам нужно будет просто переключиться на DHCP, и вуаля – они получат IP-адрес и маску подсети, которые вы для них определили.

С уважением,
Крис Макнейл
Educated Guesswork Ltd. ( http://www.eguesswork.co.uk )

pedja Guest	#10 0 09.04.2007 07:42:00 Cmacell, спасибо за твои усилия. Я понимаю, что это невозможно сделать с помощью машинного перевода, разве что вручную вносить каждое IP, что, конечно, совершенно нереально. Я не искал решения в своем посте, просто спрашивал, есть ли что-то похожее возможно, может, с каким-нибудь другим роутером или, хотя бы, в теории.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры