Раздел локальной сети.

Для любителей просто поболтать

Раздел локальной сети.

Сообщение Сушко Иван » 21 апр 2009, 02:37

В общем имеем следующую задачу:
Была локальная сеть на 700 компьютеров одной организации. Организация разделилась на две, компы поделили пополам. Необходимо исключить видимость компьютеров из разных организаций, но оставить возможность доступа к ряду общих ресурсов.
Вопрос: возможно реализовать такое в пределах одного центрального маршрутизатора?

Дополнительные сведения: Компьютеры живут в разных VLAN, все VLAN маршрутизируются на центральном маршрутизаторе,общие ресурсы живут в отдельной VLAN.
Аватара пользователя
Сушко Иван
 
Сообщения: 37
Зарегистрирован: 28 ноя 2002, 08:56
Откуда: Владивосток

Сообщение Сергей.М. » 21 апр 2009, 06:24

Можно. Настройте списки доступа таким образом, чтобы разрешить доступ к общим ресурсам и запретить к сети отделившегося предприятия.
Аватара пользователя
Сергей.М.
 
Сообщения: 181
Зарегистрирован: 06 июн 2002, 08:14

Сообщение Стогов Кирилл » 21 апр 2009, 07:35

Упрощенно, что-то типа:

access-list 102 permit ip host 192.168.2.2 any ; админский комп лезет везде
access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255

access-list 103 permit ip host 192.168.3.2 any ; админский комп лезет везде
access-list 103 deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255


interface Vlan2
ip address 192.168.2.1 255.255.255.0
ip access-group 102 in
!
interface Vlan3
ip address 192.168.3.1 255.255.255.0
ip access-group 103 in

interface Vlan4
ip address 192.168.4.1 255.255.255.0
ip access-group 104 in


vlan 2
name firma1

vlan 3
name firma2

vlan 4
name servers

В этом варианте на вскидку, эээ еще не проснулся:
Или ip access-group * in или ip access-group * out
И чистый рутер для таких вещей не используют, д.б. маршрутизирующий коммутатор, а-ля cisco 3560. любая лицензия IOS.
Стогов Кирилл
 
Сообщения: 368
Зарегистрирован: 10 июн 2002, 14:11
Откуда: СПб

Сообщение Сушко Иван » 21 апр 2009, 09:19

Стогов Кирилл писал(а):Упрощенно, что-то типа:
...
В этом варианте на вскидку, эээ еще не проснулся:
Или ip access-group * in или ip access-group * out
И чистый рутер для таких вещей не используют, д.б. маршрутизирующий коммутатор, а-ля cisco 3560. любая лицензия IOS.


Это в принципе понятно, просто хочется обойтись без использования фильтров. Возможно ли?
Аватара пользователя
Сушко Иван
 
Сообщения: 37
Зарегистрирован: 28 ноя 2002, 08:56
Откуда: Владивосток

Например так

Сообщение Павел Гарбар » 21 апр 2009, 10:11

В общие серверы втыкаешь две сетевых платы и подключаешь их к разным VLAN. А маршрутизацию на самих серверах не включаешь.
В итоге серверы видны и тем и другим, а друг друга они не видят.
Павел Гарбар
 
Сообщения: 691
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Санкт-Петербург

Сообщение Сушко Иван » 22 апр 2009, 06:14

Как раз друг друга они увидят. Маршрутизацией занимается маршрутизаитор а не сервера. Да и VLAN больше двух.

С тем же успехом можно маршрутизацию для однго из предприятий убрать с центрального маршрутизатора, но как-то некрасиво получается...
Аватара пользователя
Сушко Иван
 
Сообщения: 37
Зарегистрирован: 28 ноя 2002, 08:56
Откуда: Владивосток


Вернуться в Флейм

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron