Маршрутизация в сети. Как сделать?

Niк

Member
Joined
Oct 6, 2004
Messages
100
Reaction score
0
Location
ZAP - Ukraine
Народ, подскажите незнающему, как сделать так, чтобы LAN была разбита на группы и эти группы не видели друг друга по сети, но все видели сервер. Все компы w2k.
Спасибо.
 

myafik

Member
Joined
Jun 7, 2004
Messages
443
Reaction score
27
Age
42
Location
Москва
Это как раз к вопросу о разделении сетей на подсетки и последующее настройка маршрутизации.
Смотри тут _http://dumpz.ru/showthread.php?t=10597
 

Korovka

Member
Joined
May 17, 2004
Messages
78
Reaction score
2
Age
50
Location
Питер
Если денег очень много - покупаешь киску и находишь спеца, который умеет ее настраивать. Недостатков нет.

Если меньше - покупаешь свитч с VLAN, подключаешь ее к серваку и после некоторой настройки получаешь аналог сервака с двумя десятками сетевух. Настраиваешь между ними раутинг. Недостаток - трафик между сетями будет ходить через сервак, заметно его нагружая и теряя скорость. Трафик внутри сетей будет ходить с прежней скоростью. Еще есть свичи с функцией Home VLAN (у SVEC'a, например) - там все порты могут общаться только с первыми двумя, но не между собой. Плюс - не требует настройки.

Если денег на железо нет - раздаешь клиентам IP адреса так, чтобы группам соответствовали разные IP сети, и спускаешь им IPSec policy, разрешающую общаться только с серваком и своей сетью. Недостаток - пользователь может самостоятельно поменять свой IP и влезть в чужую сеть. Затруднить изменение IP тоже можно полисей, но это вполне обходимо.
 

Niк

Member
Joined
Oct 6, 2004
Messages
100
Reaction score
0
Location
ZAP - Ukraine
Во, по третьему абзацу поподробнее плз. Недостаток (изменение IP пользователями) устранен - они заходят в систему под правами пользователя. Группам раздать разные подсети можно, а как быть с сервером? И как быть тогда с dhcp, сможет ли он раздавать с этого сервера нужные IP? И что такое IPSec - если можно, в 2х словах.
Спасибо.
 

Korovka

Member
Joined
May 17, 2004
Messages
78
Reaction score
2
Age
50
Location
Питер
IPSec - весьма продвинутая система в Win2k, позволяющая шифровать IP трафик, а еще ее можно использовать как простой firewall, управляемый в т.ч. через policy.

Как получалось у меня:
(компы в одном ethernet-сегменте)
IP раздает сервак через DHCP; всем прописаны reservation, так что я контролирую, у кого какой IP;
IP сервера, допустим, 192.168.0.1

группе A назначены IP 192.168.0.16... 0.31; ( этому соответствует сеть 192.168.0.16/28); (dhcp выдает стандартную маску /24)

Для компов группы А создаем полисю (или редактируем существующую)
в ней идем в comp config/win sett/sec settings/ipsec/create ipsec policy

потом создаем правила:
1) запрещающее все, что не разрешено
filter = "All ip traffic",
action = "block" - его надо создать самому, в нем method=block
2) разрешающее общение с сервером
filter = (создать filter list "ToSrv" с набором фильтров из одного:
(src=My ip, dst = specified IP = 192.168.0.1, mirrored = yes)
action = permit
3) разрешающее общение со своей группой:
filter = ( новый с одним фильтром (
src =My ip, dest = spec subnet, IP addr = 192.168.0.16, mask = 255.255.255.240 (это /28), mirrored = yes))
action = permit

Для группы Б выделяем сеть 192.168.0.32/28 и спускаем ей policy, в которой она указана

Если серверов несколько, им тоже можно выдать IP из некоторой сети и дать доступ на нее.

Маршрутизация между группами через сервер невозможна
 

Niк

Member
Joined
Oct 6, 2004
Messages
100
Reaction score
0
Location
ZAP - Ukraine
Направление понял. Ковыряюсь. Спасибо.
 
Top