Архив форумов ЦИТФорума

[Lev]

Чем лучше чужаков ограничить, если их выделить нельзя?
Сеть, кроме чужаков уже работает.
Маршрутизаторы - маршрутизируют,
сервера - серверят ...
Чужаки тоже работают.
Даже есть некоторые в независимых сетях
(пользователи перегружаются или ставят две сетевых карты).

Советовали ставить на каждого чужака CISCO 1605, но он расчитан на подключение 2-х Ethernet сетей к WAN-сети через ISDN или последовательные каналы, т.к. WAN-адаптеры расширения к CISCO только такие. Хотя позволяет внутри себя настраивать IP-FireWall.
Вариант с FreeBSD и Linux не проходит вследсвие дополнительного компа. Обслуживать проблематично.

VLAN делать для чужаков - это все существующие маршрутизаторы менять надо ?

Существует такая вот структура сети Intranet:

----------------------------------\
|Здание 1 |
|Сеть 1 |-- Наш сервер сбора 1|
| | |
|Чужак 1 ------ Пользователь 1-1 |
|Сбор |-- . . . |
|данных |-- Пользователь 1-7 |
|по | |
|месту \------- маршрутизатор----
----------------------------------- |
|
... (1,5 или 2 км оптоволокно
между каждым зданием оптоволокно) |
|
----------------------------------\ |
|Здание 10 | |
|Сеть 1 |- Наш сервер сбора 10|
| | | |
|Чужак 10------ Пользователь 10-1| |
|Сбор |-- . . . | |
|данных |-- Пользователь 10-7| |
|по | | |
|месту \------- маршрутизатор----
----------------------------------- |

... (1,5 или 2 км оптоволокно
между каждым зданием оптоволокно) |

------------------------------------- |
Здание серверов |
/\ |
Internet / \ /Сервер Internet'а-----|
\/ |
|
Сервер "Чужаков"------|
|
Наш Сервер Бухгалтерии---|
|
|
Наш Сервер .... и т.д ---|
....

Работают там протоколы IP, TCP/IP, NetBEUI поверх TCP/IP, HTTP, существуют и собственные протоколы поверх TCP.

У чужаков для пользователей в основном HTTP, но есть и свои протоколы поверх TCP.

Чужаков воедино не соберёшь, т.к. они занимаются сбором данных на местах ...
Производственная необходимость ...

Что делать ?
Успокоиться ?

[Lev]

--------------------------------------------\
|Здание 1`````````````````````````````````|
|Сеть 1`````|-- Наш сервер сбора 1``|
|`````````````|``````````````````````````````|
|Чужак 1``|------ Пользователь 1-1`|
|Сбор``````|------```````````.`.`.```````` |
|данных```|-- Пользователь 1-7 ````|
|по`````````|``````````````````````````````|
|месту ````\------- маршрутизатор -----\
------------------------------------------/`````|
```````````.. (1,5 или 2 км ```````````````оптоволокно
между каждым зданием)````````````````|
````````````````````````````````````````````````|
-----------------.. 10 ```````````````````````````````|``|
|Сеть 10 ```|- Наш сервер сбора 10``|``|
| `````````````|``````````````````````````````|``|
|Чужак 10------ Пользователь 10-1``|``|
|Сбор ```````|----```````. . . ``````````````|``|
|данных ````|-- Пользователь 10-7```|``|
|по ``````````|``````````````````````````````|``|
|месту ``````\------- маршрутизатор-----
--------------------------------------------/```| .. (1,5 или 2 км `````````````````оптоволокно
между каждым зданием)````````````````|
```````````````````````````````````````````````|
------------------.. серверов ```````````````````\``````|
```````````/\````````````````````````````.. /` \ ``/`Сервер Internet'а--------|
``````````````\/ ```````````````````````````````|
````````````````````````````````````.. "Чужаков"--------|
```````````````````````````````````````````````|
.. Сервер Бухгалтерии---|
```````````````````````````````````````````````|
```.. Сервер .... и т.д ---|
``````````````````````````````````````````````....

[Dmitry.Karpov http://www.]

Внизу страницы есть поле "Рисунок (gif, jpg)". Если надо разместить картинку - положите ее на общедоступный сайт (свой или арендованный) и поместите ее адрес в это поле. Если же надо разместить несколько картинок - опять же разместите их на сайте и дайте ссылку.

[Lev]

Смотрите структуру на ссылке ...
С небольшим комментарием:
http://l-cad.chat.ru/struct.htm

[fv]

Ну зачем VLAN, можно самим уйти в VPN - и все.

[Dmitry.Karpov http://www.]

Ссылка http://l-cad.chat.ru/net_struct.gif работает, http://l-cad.chat.ru/struct.htm тоже работает, а с http://l-cad.chat.ru/struct.htm ссылка на http://l-cad.chat.ru/struct.files\image004.gif не работает. Подкрути HTML!

Ситуация просто прелестная - все контроллеры и сервер чужаков надо вывести на отдельный порт ближайшего роутера и настроить фильтр "контроллеры могут общаться только с сервером чужаков по любым сервисам" (в понятии FireWall протокол - это TCP/UDP/ICMP, а сервис - Telnet/FTP/HTTP/SMTP, короче, то, что определяется номером порта). Выглядеть это будет примерно так:
разрешить IP от контроллеров к серверу чужаков
разрешить IP от сервера чужаков к контроллерам
запретить от контроллеров ко всем

Затем надо разрешить открытие TCP_сессии от клиентов к серверу чужаков по HTTP-порту
разрешить TCP от всех к серверу чужаков HTTP

Ну и в начале всегО списка правил д.б. запись
разрешить от всех ко всем established
(ее ставят одной из первых для ускорения работы).

[Lev]

Спасибо за все рекомендации ...
Страничку поправил (IE нормально у меня отображал), на Linuxe не успел испробовать ...
Можно на всё смотреть через l-cad.chat.ru.

С сетью будем выяснять, что за маршрутизаторы стоят ...

[Dmitry.Karpov http://www.]

Обычно при прокладке волокна берут кабель с запасом жил, так что можно купить оптоконверторы (IMHO, им хватит и 10 Mbps) и создать отдельную физическую сеть, соединенную с остальной в одной фильтрующей точке. Возможно, прижется ставить коммутаторы - дальнобойные соединения не любят полудуплекса (но если в сегменте не будет хабов, то большинство карт (кроме особо отстойных) сами переходят в дуплекс-режим)...

[Kadisov Lev]

Будем и этот вопрос прорабатывать ...