Страница 1 из 1
Раздел локальной сети.
Добавлено:
21 апр 2009, 02:37 Сушко Иван
В общем имеем следующую задачу:
Была локальная сеть на 700 компьютеров одной организации. Организация разделилась на две, компы поделили пополам. Необходимо исключить видимость компьютеров из разных организаций, но оставить возможность доступа к ряду общих ресурсов.
Вопрос: возможно реализовать такое в пределах одного центрального маршрутизатора?
Дополнительные сведения: Компьютеры живут в разных VLAN, все VLAN маршрутизируются на центральном маршрутизаторе,общие ресурсы живут в отдельной VLAN.
Добавлено:
21 апр 2009, 06:24 Сергей.М.
Можно. Настройте списки доступа таким образом, чтобы разрешить доступ к общим ресурсам и запретить к сети отделившегося предприятия.
Добавлено:
21 апр 2009, 07:35 Стогов Кирилл
Упрощенно, что-то типа:
access-list 102 permit ip host 192.168.2.2 any ; админский комп лезет везде
access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 103 permit ip host 192.168.3.2 any ; админский комп лезет везде
access-list 103 deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
interface Vlan2
ip address 192.168.2.1 255.255.255.0
ip access-group 102 in
!
interface Vlan3
ip address 192.168.3.1 255.255.255.0
ip access-group 103 in
interface Vlan4
ip address 192.168.4.1 255.255.255.0
ip access-group 104 in
vlan 2
name firma1
vlan 3
name firma2
vlan 4
name servers
В этом варианте на вскидку, эээ еще не проснулся:
Или ip access-group * in или ip access-group * out
И чистый рутер для таких вещей не используют, д.б. маршрутизирующий коммутатор, а-ля cisco 3560. любая лицензия IOS.
Добавлено:
21 апр 2009, 09:19 Сушко Иван
Стогов Кирилл писал(а):Упрощенно, что-то типа:
...
В этом варианте на вскидку, эээ еще не проснулся:
Или ip access-group * in или ip access-group * out
И чистый рутер для таких вещей не используют, д.б. маршрутизирующий коммутатор, а-ля cisco 3560. любая лицензия IOS.
Это в принципе понятно, просто хочется обойтись без использования фильтров. Возможно ли?
Например так
Добавлено:
21 апр 2009, 10:11 Павел Гарбар
В общие серверы втыкаешь две сетевых платы и подключаешь их к разным VLAN. А маршрутизацию на самих серверах не включаешь.
В итоге серверы видны и тем и другим, а друг друга они не видят.
Добавлено:
22 апр 2009, 06:14 Сушко Иван
Как раз друг друга они увидят. Маршрутизацией занимается маршрутизаитор а не сервера. Да и VLAN больше двух.
С тем же успехом можно маршрутизацию для однго из предприятий убрать с центрального маршрутизатора, но как-то некрасиво получается...