Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Архив форумов ЦИТФорума
Море(!) вопросов - Море(!) ответов
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
Как правильно задавать вопросы

VLAN средствами switch

 
Перейти:  
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Сети
Предыдущая тема :: Следующая тема  
Автор Сообщение
Попавший Ламер



Зарегистрирован: 16.04.2003
Сообщения: 326

СообщениеДобавлено: Пт Фев 29 2008 16:35    Заголовок сообщения: VLAN средствами switch Ответить с цитатой

Всем доброго.
У пациента имеется желание бухгалтерию и отдел кадров выделить в отдельную физическую сеть. Это нудно, дорого и геморройственно.
Вопрос. Можно ли будет обеспечить ему иллюзию желаемого посредством настройки VLAN для нужных портов на 3Com® Baseline Switch 2816-SFP Plus (3C16485A)?
Достаточно ли будет этого, чтоб если в одном VLAN пользователь умудрился поменять свой IP на сеть бухгалтерии, ее он все равно не увидел.
В качестве абстрактного ползателя - любопытные студенты, так что об административном ограничении речь не заводится. Попытки будут однозначно.
Про разделение прав доступа тоже известно, но конфликт IP адресов организовать студенты могут (прецеденты были). Разные сервера для студентов и бухов - очень накладно.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
and3008



Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород

СообщениеДобавлено: Пт Фев 29 2008 20:01    Заголовок сообщения: Ответить с цитатой

Вы не понимаете что такое VLAN и для чего они нужны.

VLAN-ы - это именно изолированная сети в рамках одного свича. Трафик между VLAN-ами можно передавать только через маршрутизатор, коим может быть либо комп с двумя или N-сетевухами, либо аппаратный роутера, либо коммутатора третьего уровня, который по сути и есть многопортовый роутер.

Если один комп в одном VLAN-е, а другой в другом, а еще и не требуется им общаться между собой, то можно и там и там использовать одинаковую адресацию.

Почитайте что такое VLAN. Поймете окончательно.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Попавший Ламер



Зарегистрирован: 16.04.2003
Сообщения: 326

СообщениеДобавлено: Сб Мар 01 2008 13:25    Заголовок сообщения: Ответить с цитатой

Я так себе это и вижу.
Сервер с двумя сетевыми картами, каждая в своей подсети, и жестко настроенной маршрутизацией. От каждой шнурок в указанный свитч на порты в разных VLAN.
Студенты копоошатся в своих папках, бухи в своих.
Нужно минимизировать последствия следующих действий: студенты с помощью каких-либо твикеров или сплойтов подменяют адрес машины на адрес из подсети бухов. И нарушают работу последних (сообщения о конфликте, страшные значки в трее, сердечный приступ у главбуха, жалобы по инстанциям и пр).
Хочу настроить свитч, чтоб управлялся только с указанного порта.
Подобное проделывал на cisco за $2500 и там все это было достаточно подробно документировано, в том числе и с примерами для тех, кто только вчера слез с дерева. Конечно, там еще было функционала валом, но все-таки. Из чтения доков по 2816-SFP Plus Managed switch есть подозрения что я все себе представляю правильно. Но сомнения остаются. Потому и спросил.
По соотношению цена/результат вроде самое оно. Из дополнительных условий - заказчик знает что COOL - это cisco и 3com.
И в планах у него какую-то оптику провести. Потому и SFP.
Вопрос в следующем. Железяка подойдет? Если нет, то что там еще должно быть?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
and3008



Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород

СообщениеДобавлено: Сб Мар 01 2008 19:45    Заголовок сообщения: Ответить с цитатой

Если ты создашь на свиче VLAN-ы. Порты для студентов в одном VLAN-е, порты для бухов в другом VLAN-е. Ну и по порту и таи и там для сервера.

В такой ситуации уязвимым является сам свитч, возможность физического переключения порта, ну и уязвим сам сервер.

Как обеспечить физическую недоступность свича для студентов я думаю сами подумаете. А вот безопасность сервера такая большая тема, что ой...

На Циске, особенно на свичах 3-его уровня можно сразу же назначить строгие правила, которые практически исключат многие проблемы. А в этом свиче мозга практически нет. Это коммутатор второго уровня. Вы на нем можете VLAN-ы создать и возможно привязать порт к MAC-адресу. Все. На этом фичи кончились.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
nnlan



Зарегистрирован: 30.08.2007
Сообщения: 27
Откуда: KZ

СообщениеДобавлено: Вс Мар 02 2008 21:26    Заголовок сообщения: Ответить с цитатой

у вас вроде бы стоит вопрос на счет покупки циски, если есть такая возможность возьмите, особенно если нет возмоности настроить привязку по МАС адресу на 2816-SFP.

на циске вы это точно сможете сделать.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Сети Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2002 phpBB Group
Русская поддержка phpBB

 

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 6608306, ICQ 232284597
Пресс-релизы — pr@citforum.ru
Послать комментарий
Информация для авторов
This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2006 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...