Tomsk Sysadmins Forum
Оборудование => Cisco => Topic started by: VVEBER on March 31, 2007, 19:24:55
-
Имеется: Cisco Cat 3550 EMI, 20 сегментов, 20 VLAN. в одном из портов сидит компьютер с FreeBSD 5.4, на котором поднята Samba в качестве WINS сервера. Есть скрипт, который сканит все сегменты сети на предмет шары файлов, записывает всё это самбе в /var/locks/browse.dat. При обращении к этому компу по IP, всё хорошо, люди качают.
Рабочая группа у всех компьютеров всех сегментов выставлена одна и та же, прописан IP Самбы в качестве WINS.
И есть большая проблема: как сделать так, чтобы самба могла свободно становиться Master Browser'ом во всех сегментах сети, чтобы из всех сегментов компьютеры могли свободно обращаться к машине с Самбой, получать информацию от WINS-сервера, ну и следовательно, чтобы работало сетевое окружение не только внутри каждого из сегментов, но глобально в целом. Примечание: если попробовать зайти напрямую по ипу компа НЕ из своего сегмента, то без проблем пройдет.
Примечание2: IP машины с Самбой выставлен как ip helper во всех VLAN'ах.
Причечание3: пока машина с Самбой является Master Browser'ом в каком либо сегменте, то всё хорошо, как только какой-нибудь "хитрец" переизбирается браузером в сегменте, то всё рушится и остаются только юзеры этого сегмента.
-
Хорошо бы тут домен иметь. Можно было через политики запретить компам становится мастер браузерами. А так ничем помочь не могу.
-
Немного уточню задачу: как сделать так, чтобы ВСЕ широковещательные пакеты, со всех других VLAN'ов доходили до VLAN'а, в котором сидит Samba ? И как сделать так, чтобы Самба присутствовала во всех VLAN'ах, дабы была натаком же "расстоянии" что и все остальные юзеры в этом вилане, чтоб у неё были шансы стать Master Browser'ом
-
Немного уточню задачу: как сделать так, чтобы ВСЕ широковещательные пакеты, со всех других VLAN'ов доходили до VLAN'а, в котором сидит Samba ? И как сделать так, чтобы Самба присутствовала во всех VLAN'ах, дабы была натаком же "расстоянии" что и все остальные юзеры в этом вилане, чтоб у неё были шансы стать Master Browser'ом
Хм, на свиче поднять транк на Самбу, а на Самбе нужное кол-во Vlan-оф и заставить Самбу слушать их все?
-
не самое лучшее решение.
У vveber-a 20 vlan!!!
-
Конечно, можно и все 20 VLAN слушать, но снимать тег на FreeBSD чего-т не хочется. Попробовал ip multicast покрутить, ничего хорошего из этого не вышло. Всё больше склоняюсь к тому, чтобы таки поднять 20 алиасов на БСД и спихнуть всё в транковый порт. На войне все средства хороши
Но рад буду более изящному решению
-
А может в Цисуку обратиться? Или там не помогают по таким вопросам? Вдруг повезёт...
-
>>Конечно, можно и все 20 VLAN слушать, но снимать тег на FreeBSD
>>чего-т не хочется.
Решение слишком топорное.
Не забывай что BSD у тебя ещё и внешний рутер, расположенный по отношению к абонентам ЗА городским рутером.
Пробросив абонентские VLAN до внешнего рутера ты поломаешь свою схему роутинга, т.к. маршрут от абонента во внешку будет как:
user->cat3550->bsd
а из внешки к юзеру будет:
www.ru->bsd->user
оно тебе надо тако счастье?
Имхо ещё и другие глюки будут.
-
>>Конечно, можно и все 20 VLAN слушать, но снимать тег на FreeBSD
>>чего-т не хочется.
Решение слишком топорное.
Не забывай что BSD у тебя ещё и внешний рутер, расположенный по отношению к абонентам ЗА городским рутером.
имхо, здесь собака и порылась!
Нафига ставить самбу на роутер??
Файловый сервер и шлюз - вещи несовместимые! Во всяком случае с моделью безопасности сети, в которой нашли деньги на циску, а на выделенный файл-сервер (или шлюз) - нет.
-
Понятия "нормальная и безопасная работа" и "виндовое сетевое окружение [на рабочих группах]" - несовместимы. Рабочие группы не рассчитаны на работу в многосегментных сетях by design (netbios вообще то еще угребище внутри) - или делай домен, или отказывайся вообще, нефиг там чего-то городить на BSD. У меня, например, несмотря на работающее в норме сетевое окружение, бразуинг все равно периодически падает (когда какой-нибудь криворучка в очередной раз себе что-то сделает такое, чего самба не поймет), поэтому оно продублировано с веба: http://hostel.avtf.net/index.avtf?page=net&view=nnhood (http://hostel.avtf.net/index.avtf?page=net&view=nnhood)
-
>>Конечно, можно и все 20 VLAN слушать, но снимать тег на FreeBSD
>>чего-т не хочется.
Решение слишком топорное.
Не забывай что BSD у тебя ещё и внешний рутер, расположенный по отношению к абонентам ЗА городским рутером.
Пробросив абонентские VLAN до внешнего рутера ты поломаешь свою схему роутинга, т.к. маршрут от абонента во внешку будет как:
user->cat3550->bsd
а из внешки к юзеру будет:
www.ru->bsd->user
оно тебе надо тако счастье?
Имхо ещё и другие глюки будут.
Олег, самба у меня не на том рутере, о котором ты говоришь, у меня ещё вторая BSD есть И она ничего не рутит, а именно САМБА и всё, думаю, если топорным методом пока что пойти, не сломаю всё.
2nuclight: У меня идея взята с http://www.opennet.ru/base/net/workgroup_win_perl.txt.html (http://www.opennet.ru/base/net/workgroup_win_perl.txt.html) , только добавил туда ещё 1 цикл, чтобы отходило все мои 2к адресов и фильтр усовершенствовал. Если ничего приличного не выйдет из топорного метода, перестрою это всё на вэб, как у тебя.
-
>>думаю, если топорным методом пока что пойти, не сломаю всё.
I wouldn`t do what
Должен быть более нормальный способ. Открой топик на forum.sysadmins.ru/32/
там знатоков побольше. А тут кроме uri мало кто что-то дельное предложит
-
2nuclight: У меня идея взята с http://www.opennet.ru/base/net/workgroup_win_perl.txt.html (http://www.opennet.ru/base/net/workgroup_win_perl.txt.html) , только добавил туда ещё 1 цикл, чтобы отходило все мои 2к адресов и фильтр усовершенствовал. Если ничего приличного не выйдет из топорного метода, перестрою это всё на вэб, как у тебя.
Посмотрел, интересная там идея. У меня, впрочем, сделано не так, у меня просто скрипт содержимое browse.dat конвертирует в html, по другим причинам (у меня две подсети по одной физике ходят, и две разные рабочие группы, штатным методом отдачи не все юзеры могут всё увидеть).
Насчет же менее топорного способа: не думаю, что такой существует - винды, самба и нетбиос кривы изначально, и вариант с не-доменом в нескольких сегментах не предусмотрен :)
-
>>думаю, если топорным методом пока что пойти, не сломаю всё.
I wouldn`t do what
Должен быть более нормальный способ. Открой топик на forum.sysadmins.ru/32/
там знатоков побольше. А тут кроме uri мало кто что-то дельное предложит
Btw, вот вариант -- самое действенное средство траблшутинга (только power plug переделать и -- телемаркет):
http://www.fiftythree.org/etherkiller/img/etherkiller.jpg (http://www.fiftythree.org/etherkiller/img/etherkiller.jpg)
P.S. Вообще на корневой странице этого чумового ресурса приведено очень много полезных схем. На все случаи жизни. Enjoy!
P.P.S. По существу вопроса -- схема перенаправления *всех* bcast'ов, это плохая, негодная схема. Малтикаст здесь не поможет.Вадим Гончаров абсолютно правильно тебе все разложил по поводу ублюдочности NetBIOS.
-
Вопрос в том как живут корпоративные сети всяких там Сибнефть,Сургутнефтегаз и т.п. растянутые на много городов. Да там есть домены AD. Но в этом ли только дело?
-
Вопрос в том как живут корпоративные сети всяких там Сибнефть,Сургутнефтегаз и т.п. растянутые на много городов. Да там есть домены AD. Но в этом ли только дело?
в этом. AD жестко завязана на DNS/LDAP. бродкасты, нетбиосы, WINS-ы, мастер браузеры для AD не являются необходимыми.
-
visual.
Правильно ли я понимаю что VVEBER-у для решениея его проблемы AD поднять лучше?
-
Как я понимаю это не организация, и я вот например на свой комп домашний админа сети пускать не намерен. И политик его кушать тоже не собираюсь (и вообще у меня линукс : )) ).
Так что проще ему все ж таки пользовать веб морду.
Моя сеть тоже растянута. В каждом городе стоит сервер с wins и тп. И потому все друг друга видят. Но по мне - это лишнее. Им все равно только на один сервер за файлами ходить.
-
Правильно ли я понимаю что VVEBER-у для решениея его проблемы AD поднять лучше?
в данной конкретной ситуации оно врят ли лучше. все-таки домашняя сетка - это каждый сам себе хозяин и злобный буратино, что не очень совместимо с работой рабочих станций в AD.
-
На сколько мне известно, винда даже под AD работает криво в маршрутизируемых сетях(спасибо netdios и еже с ним), именно по этому в виндовых сетях распространены DFS и общие хранилища на серверах типа Exchange....
Не знаю относительно samba, никогда не применял её как мастера, но точно знаю что в многодоменной виндовой структуре(на основе w2k) есть аналогичные проблемы, и дело здесь зачастую в машинах самих пользователей.
Так что, лучше использовать одну машину как хранилище путей к ресурсам (как я понял, есть реализация под web ), или заморочиться и развернуть DFS...
-
На сколько мне известно, винда даже под AD работает криво в маршрутизируемых сетях(спасибо netdios и еже с ним),
а что-то умеет нормально работать в "криво маршрутизируемых" сетях? SMB, который изначально разработан в IBM, а не Microsoft, задумывался как протокол для одноранговых сетей со всеми вытекающими последствиями. все что сделал Microsoft для SMB, так это изобрел кучу костылей, благодаря которым SMB хоть как-то работает в маршрутизируемых сетях.
именно по этому в виндовых сетях распространены DFS и общие хранилища на серверах типа Exchange....
каша какая-то. причем тут DFS с Exchange? какое они имеют отношение к работе AD?
-
каша какая-то. причем тут DFS с Exchange? какое они имеют отношение к работе AD?
Если поднята AD то она ко всему имеет отношение... и ещё какое
А по существу, согласен, фразу можно трактовать по разному, но смысл следующий.
Для обеспечения комфортного использования единой среды в маршрутизируемых сетях, функционирующих на основе протокола SMB, MS применяет такие вещи как DFS(которая позволяет создать логическое дерево всех шар сети, и избавить компы юзверей от необходимости постоянно составлять карту SMB ресурсов) или Переменяются альтернативные виды сетевых служб, обеспечивающих среду для обмена данными(файлами), например MS Exchange 2k и выше... он держит у себя папки пользователей и общие папки необходимые для обмена файлами в рамках всего домена Exchange(AD).
Хотя, сам, пока не работал с маршрутизацией в оконных сетях, не мог понять на кой нужны такие тяжёлые решения...
З.Ы. Думаю данный вопрос стоит разместить в виндовом разделе на сисадминс, так как к сиське он особенного отношения не имеет... там найдётся пару человек, которые смогут предложить достойное решение этой проблемы
-
Если поднята AD то она ко всему имеет отношение... и ещё какое
А по существу, согласен, фразу можно трактовать по разному, но смысл следующий.
Для обеспечения комфортного использования единой среды в маршрутизируемых сетях, функционирующих на основе протокола SMB, MS применяет такие вещи как DFS(которая позволяет создать логическое дерево всех шар сети, и избавить компы юзверей от необходимости постоянно составлять карту SMB ресурсов)
DFS не поможет решить проблему браузинга в многосегментной сети, если только не поднимать по DFS в каждом сегменте. более того это статическая конструкция, каждую новую шару нужно будет прописывать на всех DFS-ах, это imho через анус. в AD-же все ресурсы опубликованы, и ищутся они стандатными средствами через LDAP запросы к AD. DFS в распределенной сети интересен как средство репликации файлов, особенно в свете R2, где реализована дифференциальная репликация.
или Переменяются альтернативные виды сетевых служб, обеспечивающих среду для обмена данными(файлами), например MS Exchange 2k и выше... он держит у себя папки пользователей и общие папки необходимые для обмена файлами в рамках всего домена Exchange(AD).
всегда считал использование почтового транспорта для обмена файлами внутри корпоративной сети одним из способов извращения.
З.Ы. Думаю данный вопрос стоит разместить в виндовом разделе на сисадминс, так как к сиське он особенного отношения не имеет... там найдётся пару человек, которые смогут предложить достойное решение этой проблемы
все что циска может сказать о виндовой сети, она уже давно сказала Windows Networking Design Implementation Guide (http://www.cisco.com/warp/public/473/winnt_dg.htm)
-
Если я не ошибаюсь, то возможность применения AD отпадает сразу, так как юзверей локальных сетей в AD можно загнать только инъекциями в анус.
Корень DFS можно сделать доступным со всех сегментов сети... по поводу добавления ресурсов, здесь согласен, в большинстве случаев только руками...
visual если я не поставил несколько знаков препинания, это не значит, что на этом обязательно заострять внимание...