Архив форумов ЦИТФорума

[Old_Den]

есть сеть: MainRouter, у него два интерфейса, каждый смотрит еще на один роутер, на Inet-router и на Pn-router, в инет и в частную сеть соответственно. Стоит задача раздать IP адреса пользователям таким образом, чтобы !УДОБНО! было группировать их, чтобы пользователи "видели" только группу, только группу и интернет, только интернет, ну и другие варианты.
Подскажите пожалуйста ссылочки на ресурсы по данной теме или прямо здесь посоветуйте с чего начать. Буду премного благодарен.

[and3008]

-

[Алекс]

Есть еще вариант: "чтоб ничего не видели". Отключи/не подключай их вообще!
Если серьёзно, то в подобных настройках тебе должно помочь ПО на твоих Роутерах (если твои). Все должно в них настраиваться: сделал группы - одноим можно одно, другим - другое, третьим - и то и другое и можно без хлеба... Например, конечно.
А для чего есть МайнРоутер? Он-то что делает? Два других напрямую соединить нельзя? Это вопросы из чистого любопытства и к делу касательства почти не имеют.
_________________
Удачи!

[Ivan.Zharikov]

Если можно, пожалуйста по-конкретнее.
1.Сеть будет делиться на сегменты в которых пользователи будут иметь определенные права доступа?
2.По ситуации, смотря какой пользователь залогинится? В этом случае адресация главной роли, как мне кажется, не играет.

[Old_Den]

В этой сети не будет пользователей, там будут устройства, которые имеют IP адреса. Каждое устройство может быть в группе, может быть само по себе, должно иметь возможность посылать IP пакеты либо только членам своей группы, либо только в интернет, либо туда и сюда. Заранее практически неизвестно сколько будет групп, сколько будет устройств в группе, поэтому и хочется спланировать именно IP адресацию таким образом чтобы на роутерах было удобно, т.е. минимально, конфигурировать эти группы и соответственно сделать так, чтобы назначение конкретных "прав" и выбора группы происходило сменой IP адреса устройства.

[Old_Den]

Я знаю, что это делается на роутерах, вот только интересует "сделал группы - одноим можно одно, другим - другое, третьим - и то и другое и можно без хлеба", так вот КАК спланировать IP адреса, для этих групп???
МайнРоутер заворачивает еще кучу устройств, которые не должны иметь выход ни в частную сеть, ни в интернет, он мощный, я так понимаю предназначен для "грубого" деления: "красивые - налево (в частную сеть), умные - направо (в интернет)", а роутер частных сетей и инет-роутер послабже, делают тюнинг "красивых" и "умных", типа одни умные могут ходить на одни IP, другие - на другие. С "красивыми" точно так же. Соединять роутер частных сетей с инет роутером нет никакой необходимости, потому что из частной сети никто не должен попадать в интернет, а из интернета в частную сеть за роутером. Все устройства находятся в одной сети, которая подключена к MainRouter'у. Я так понимаю, что группы, которые не должны иметь выход ни в инет, ни в частную сеть, должны быть сделаны на главном роутере.

[and3008]

-

[Old_Den]

Я уже говорил, что будет. Да количество групп, количество членов группы неизвестно, но известно, какие могут быть группы и с какими правами. Так вот мне нужно выработать общий алгоритм выделения IP адресов для устройств. Типа 10.1.x.y - могут ходить в инет, 10.0.a.b. - не могут ходить в инет, 10.1.0-126.x - могут ходить в инет и в частную сеть, 10.1.128-254.x - могут в инет, но не могут в частную и т.п. И вопрос самый главный, как выработать стратегию выдачи IP адресов, чтобы было УДОБНО писать access-list на роутерах, я знаю что можно выделить IP адреса от балды и прописать на роутерах и все будет работать, только бывают красивые решения, которые легко расширять, модифицировать, а бывают такие, что проще все заново написать.

[and3008]

Разбей сетку по кол-ву устройств и не парься.

Занести/удалить кого-то в access-list - дело пяти секунд.

Удобно будет первые 1-2 месяца. Потом все поедет, так что не надо заморачиваться.

Это все равно что патч-панели клемповать подряд по комнатам. Добавился комп в комнате и чего? 10-20 портов переклемповывать? В сад такие подходы.

А вот документировать все надо. Это факт.
По документации как по карте все сразу видно и понятно.

[Old_Den]

Если бы не было групп, это да - хороший подход, но когда есть группы, я думаю, не очень эффективно будет "дописывать строчки", ведь гораздо лучше запись x.y.z.a/30 нежели по строчке на каждое из устройств в этой группе.

[and3008]

-

[Old_Den]

У меня их пока 20, но в самом ближайшем будущем может вырасти до 3000-4000.
Прочитал, честно говоря понял не много.

[Алекс]

...сам предложил адресацию в одном из ответов выше! Типа, 10.0.х.у - одно могут, 10.0.а.с - другое... Чем тебя такой подход не устраивает? Диапазоны сделай на 3 группы и все. Вот когда машин будет 3000-4000 это будет что-то! Поэтому сразу сделай диапазоны большими, т.е. широкими. 1-й диапазон - только локалка, 2-й - только инет, 3-й - и то и другое. Что ж плохого?
_________________
Удачи!