Архив форумов ЦИТФорума

[Karlos]

Есть выделеная линия на ADSL, ставлю модем, его в сетевую карточку на комп, на котором wingate, далее через другую сетевуху посредством свича и витой пары раздаю и-нет пользователям (~10 шт.). Так вот проблема: этих, блин, пользователей волнует вопрос безопасности. Они не хотят находиться в общей локальной сети и видеть друг друга, не хотят чтобы к ним был доступ у других клиентов. Понимаю что это можно реализовать програмно хотя бы тем же wingate на каждом из клиентов. Но делать это лень.
Хотелось бы найти аппаратное решение, т.е. я готов купить какой-нибудь управляемый свич, или там маршрутизатор или еще что-нибудь.
Вопрос: есть ли такие аппараты? как они работают? какими должны обладать характеристиками? и чего они стоят (я расчитываю на 1000-1500$)?
Р.S. если этот агрегат умеет еще и считать трафик по каждому порту, то вообще здорово...

[crash]

а просто не ставить общий доступ никак не получается??
самое легкое и дешевое решение))

[Karlos]

Я же говорю клиенты с манией преследования, вобщем хочу я это реализовать как-то аппаратно, что-бы было что-нибудь вроде свича, которому я могу запрограмить: порты 1,2,3,4,.. могут общаться только с портом 0,
и еще желательно же аппаратно считать трафик с портов 1,2,3,4...
Есть ли такие аппаратно реализованные средства???

[crash]

так пусть клиенты ставят фаерволы себе.. где гарантия, что после того как ты поставишь свич, у клиентов пропадет мания преследования??

[Karlos]

Ну, я думаю так: если конкретно указать на аппаратном уровне, что все порты у свича кроме моего не могут общаться друг с другом - то все будет нормально.
Если клиенты увидят железяку стоимостью 1000$ - то успокоются.
Опять же вопрос: что это может быть за железяка???

[Dmitry.Karpov http://prof]

Обычный современный писюк имеет шесть слотов PCI, т.е. может иметь до шести сетевых карт. Если клиентов не более пяти, то проще всего поставить нужное число сетевых карт.

Если клиентов сильно больше, так что даже двумя машинами не обойдешься, то можно купить управляемый свич с VLAN (есть такие от 3Com и от других) или аппаратный роутер от Cisco, Motorolla и других. Роутер проще настроить, и еще он умнее, но зато и дороже, так что за два десятка портов тебе придется выложить тыщщи три буказоидов.

Есть еще один очень хороший вариант - PPPoE или VPN. Это похоже на то, как клиенты дозваниваются к провайдеру через одну телефоннуюсеть, но прямого доступа друг к другу не имеют. Глянь prof.pi2.ru/literat/trfsteal.htm

[junior]

Насчет нескольких сетевух - я раньше как-то недумал. Думаю, что на первое время 6 хватит.
Спасибо
p.s. и статейка интересная

[MadMax]

Ну вообще-то, несколько сетевух могут не помочь. Проще действительно ставить управляемый свич, на нем делать VLAN-ы, а на компе поднимать router. Это получится грамотное и достаточное решение. На том-же компе можно и файрвол поднять, и прочее, только это уже скорее не комп получится ))
В качестве свича можно использовать Cisco Catalyst WS-C2950-12, рекомендованная стоимость 895$, а с учетом скидок и всяких промо программ которые сейчас проходят, можно и за 650 найти. Вообще Cisco это для примера, но как показывает практика, практически все управляемые свичи стоят примерно одинаковое количество убитых енотов.

[Karlos]

Спасибо за совет!
А можно с помощь него (Cisco) считать трафик по каждому порту?

[MadMax]

На коммутаторах второго уровня, теоретически можно считать IP трафик, на коммутаторах 3-го уровня опять-же теоретически можно считать Ethernet трафик, мы такие эксперименты не проводили ((

[Dmitry.Karpov http://prof]

Если ты ставишь VLAN-свич и поднимаешь на одном из интерфейсов сервера несколько IP-номеров, то это не м.б. лучше, чем несколько карт в сервере (разве что у писюкового сервера не хватит слотов и/или прерываний).
Трафик в обоих случаях лучше считать на сервере.