| 0
- 22.05.2013 - 16:59
|
Всем привет. Назрела проблемка, просьба помочь. В одном здании планируется кроме хозяина ещё и арендаторы. Все будут подключены к двум коммутаторам DGS-1500 http://www.dlink.ru/mn/products/1/1584.html , которые будут в стеке. Канал в Интернет будет один на всех. На месте маршрутизатора "домашний" ASUS. Какими средствами лучше изолировать сети друг от друга, чтобы все имели доступ во внешку и, возможно, к каким-то внутренним ресурсам сети хозяина здания (на первпективу)? Компьютеров: около 50-60 Рассматриваю следующие варианты: 1. VLAN на коммутаторе, каждой VLAN отдельная сеть, маршруты прописать на этом ASUS и коммутаторе. Тут возникает проблема в разграничении доступа, так как если указываем в МАРШРУТ 0.0.0.0 на основной шлюз(т.е. ASUS), который находится в сети хозяина здания, то из соседних сетей попадут к сети хозяина почти беспряпятсвенно. 2. Аппаратный маршрутизатор, который будет уже рулить трафиком между сетями и отсекать запросы из одной сети в другую и одновременно являться шлюзом для всех. 3. То же самое что и в 2, только программно. Что посоветуете? Какой вариант лучше? P.S. Сам пока эникей по большей части. С такими задачами ни разу не сталкивался.     | |
| 1
- 22.05.2013 - 19:43
|
твои комматоры умеют Списки управления доступом (ACL) • DGS-1500-52: - 50 профилей (максимум) - Макс. 450 правил доступа - Каждое правило может быть привязано к отдельному порту • ACL на основе - MAC-адресов - IPv4-адреса (ICMP/IGMP/TCP/UDP) - VLAN ID - 802.1p - Типа Ethernet DSCP | |
| Модератор 2
- 22.05.2013 - 20:32
| Все будут подключены к двум коммутаторам DGS-1500 дальше не читал | |
| 3
- 22.05.2013 - 21:12
| ну шлюз в инет нормальный поставить на котором можно вланы разгребать, воткнуть в тэгированый порт и разгребать vlan-ы каждый в своей подсети,запретить беготню между сетями, если очень много арендаторов или сильно толстый канал, можно поделить между портами, чтоб узкое место убрать, а ну ещё нарезать не мешало б , а то один качок всех замучает. Или nix-based т.е. linux\freebsd и т.д. (в том числе мтики, openwrt,пфсенсы и т.п.) или по взрослому норм роутер типа кисок пойдет . в общем гуглите router-on-a-stick это то что надо, а на чем уже вопрос отдельный.Ну или как вар возьмите под каждого по ip-шнику белому и отдавайте им белые адреса в отдельный порт, безперспектив попадать в сеть арендодателя и если пров так работает. | |
| 4
- 22.05.2013 - 21:45
|
насчет п.2 сейчас придут динозавры, принесут линукс-роутер и.. | |
| 5
- 22.05.2013 - 21:59
|
Кстати, а что такое "домашний Asus"? Дешевше всего сводить access-порты арендаторов и аплинков инета в trunk-порт подключенный к роутеру на *nix, где до кучи ещё будет биллинг (если нужно продавать интернет помегабайтно или вне зависимости от аренды) или простой статистик-сниматель *flow в базу. Проходимость между сетями обеспечивается исключительно этим роутером или L3-стэком (ACL между интерфейсами на vlan*) более умной железки уровня ядра с вашего пограничного DGS-1500. | |
| 6
- 22.05.2013 - 21:59
| о а я до туда не дочитал :) | |
| 7
- 22.05.2013 - 22:09
| Хотя, ошибсо DGS-1500 сам может рулить L3. Значит никсы будут тупо NATить (если один IP) или просто считать через *flow с DGS-1500 проходящий между портами трафик (когда на каждого арендатора свой внешний IP). ИМХО, в таком случае умное (умнее DGS-1500) сетевое железо будет под вопросом надобности (хотя я не знаю ваших масштабов), и можно начать реально с Mikrotik =) | |
| 8
- 22.05.2013 - 22:22
| ну а следующий вопрос будет как внешку подключить к двум коммутаторам. | |
| 9
- 23.05.2013 - 09:28
|
Спасибо. Очень помогли. router-on-a-stick то, что нужно. Буду копать дальше конкретно по реализации. "домашний Asus" это типа RT-AC66U http://ru.asus.com/Networks/Wireless...4eO&templete=2 | |
Интернет-форум Краснодарского края и Краснодара |
