faq обучение настройка
Текущее время: Вс июл 20, 2025 15:32

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 51 ]  На страницу 1, 2, 3, 4  След.
Автор Сообщение
 Заголовок сообщения: DES-3828 VLAN разграничение доступа
СообщениеДобавлено: Пт авг 24, 2007 09:32 
Не в сети

Зарегистрирован: Пт авг 24, 2007 07:29
Сообщений: 73
Откуда: ЮФО
Проблема в следующем. Существует сеть с Active Directory, есть несколько серверов и отдел администрирования этой сети(ИВЦ), а также порядка 300 других машин(в разных подразделениях организации), все зарегистрированы в домене. Задача состоит в том чтобы машины в подразделениях видели только: машины из своего же подразделения, сервера(Proxy, FTP, AD PDC) и машины администраторов ИВЦ. Желательно все эти машины привязать по IP-MAC (в целях безопасности).
Кроме того, есть необоходимость чтобы некоторые машины из одного подразделения видели некоторые машины из другого.
В сети на магистрали стоят DES3828 FW 2.00.B30 HW 1A1 (2 штуки, часть подразделений на одном коммутаторе, часть на другом, между собой они соединены гигабитным концентратором (не D-Link)). От DEs3828 сеть идет на хабы в подразделения (различных производителей).
Проблема обостряется тем, что администрация организации не хочет приглашать сторонних специалистов для наладки сети :x , т.е. нужно сделать все своими силами. А как не понятно. Былая идея на счет ассиметричных виланов, но коммутаторы 3-его уровня из не поддерживают. Т.О. нужно использовать ACL, а как??? Ну хотя бы один примерчик (желательно не один) для решения данной задачи.

З.Ы. Сам я сетями начал заниматься только с понедельника, до этого с ними дел имел мало :? (терминологией сетевой владею слабовато).
З.З.Ы. Пользоваться поиском в Интернете/на форуме умею, но подходящего объяснения решения существующей проблемы за 3 дня активного поиска не нашел.

Помогите пожалуйста!!!


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт авг 24, 2007 10:09 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Во-первых чтобы исключить возможные проблемы я бы посоветовал вам использовать прошивку, которую я вам выслал. Примеры ACL есть здесь, я думаю с точностью до модели разьерётесь:

http://www.dlink.ru/technical/faq_hub_switch_70.php
http://www.dlink.ru/technical/faq_hub_switch_75.php
http://www.dlink.ru/technical/faq_hub_switch_45.php
http://www.dlink.ru/technical/faq_hub_switch_47.php
http://www.dlink.ru/technical/faq_hub_switch_74.php
http://www.dlink.ru/technical/faq_hub_switch_90.php


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт авг 24, 2007 10:50 
Не в сети

Зарегистрирован: Пт авг 24, 2007 07:29
Сообщений: 73
Откуда: ЮФО
Иван большое спасибо, кое что начинает проясняться.
Но, возникают новые вопросы.
всего у нас в сети будет порядка 300 компьютеров. Если действовать по принципам которые указаны здесь то придеться создавать очень много правил. Может быть, можно как-то объединить компьютеры подразделений в VLAN-ы и настраивать доступ уже для этих VLAN-ов? Но как это сделать? Кроме того, хотелось бы привязку сделать не по IP-адресам, а по MAC(IP-MAC), потому что так сложнее будет подменить комп злоумышленнику в сети. И ещё бы к портам коммуникатора привязать VLAN-ы, т.е. чтобы в результате можно было бы объединить во вланы машины с определенными IP-MAC адресами, сидящими на определенных портах коммуникатора, и уже для этих VLAN-ов разграничить доступы, так чтобы VLAN-ы видели только сервера и админов, но может понадобиться сделать так чтобы комп из одного VLAN-а увидел компы из другого VLAN-а. Это все необходимо для обеспечения безопасности, так как уже были случаи промышленного шпионажа. Вообще можно ли такое реализовать, и если можно, то как?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт авг 24, 2007 10:53 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Перезвоните пожалуйста в офис по телефону 744-00-99 доб.390. Если удобно то можно обратиться в близжайший к Вам офис. Все координаты на сайте.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн авг 27, 2007 11:17 
Не в сети

Зарегистрирован: Пт авг 24, 2007 07:29
Сообщений: 73
Откуда: ЮФО
Иван спасибо, но по ряду объективных/субъективных причин связаться по телефону не получиться. По этому я попробую разбить стоящую задачу на части, и Вы если не трудно могли бы прояснить кое-какие детали.
Конкретно сейчас интересует как реализовать с использованием DES-3828 решение задачи из примера 1 в описании асимметричных VLAN. В мануале написано, что, эта задача решается на коммутаторах 3-его уровня с помощью ACL. Не могли бы Вы привести пример решения задачи (Пример 1 асимметричные VLAN).


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн авг 27, 2007 12:05 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Вот здесь всё описано http://www.dlink.ru/technical/faq_hub_switch_74.php


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт авг 28, 2007 08:30 
Не в сети

Зарегистрирован: Пт авг 24, 2007 07:29
Сообщений: 73
Откуда: ЮФО
Demin Ivan писал(а):
Вот здесь всё описано http://www.dlink.ru/technical/faq_hub_switch_74.php

В этом FaQ написано как разграничить доступ между подсетями организованными на разных коммутаторах, а как это сделать между VLAN на одном коммутаторе DES-3828 не понятно. Приведите пример пожалуйста.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт авг 28, 2007 09:46 
Не в сети

Зарегистрирован: Чт ноя 02, 2006 18:45
Сообщений: 2641
Откуда: Челябинск
В чем сложность? Также настраивайте ACL на основе IP-адресов.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт авг 28, 2007 10:34 
Не в сети

Зарегистрирован: Пт авг 24, 2007 07:29
Сообщений: 73
Откуда: ЮФО
Код:
Задача: Необходимо обеспечить маршрутизацию между тремя пользовательскими подсетями - 192.168.1.0/24, 192.168.2.0/24 и 192.168.3.0/24, распределёнными между коммутаторами как показано на рисунке, при этом маршрутизация между подсетями 192.168.2.0/24 и 192.168.3.0/24 должна быть запрещена.

Для этого следует создать на коммутаторах соответствующие VLAN и назначить для каждой из них IP-интерфейсы. Для этого на коммутаторе №1 создаём VLAN (в дополнение к default), а на коммутаторе №2 ещё два. Для каждого VLAN создаём IP-интерфейс в соответствующей подсети. Связь между коммутаторами будет осуществляться через default.

DES-3326SR#1:
config ipif System ipaddress 192.168.0.100/24
create vlan vlan2 tag 2
config vlan default delete 1-8
config vlan vlan2 add untagged 1-8
create ipif v2 192.168.1.1/24 vlan2 state enable
create iproute default 192.168.0.101

DES-3326SR#2:
config ipif System ipaddress 192.168.0.101/24
create vlan vlan2 tag 2
create vlan vlan3 tag 3
config vlan default delete 1-16
config vlan vlan2 add untagged 1-8
config vlan vlan3 add untagged 9-16
create ipif v2 192.168.2.1/24 vlan2 state enable
create ipif v3 192.168.3.1/24 vlan3 state enable
create iproute default 192.168.0.100

Мне не понятно, смогут ли при задании этих правил #1vlan2 обращаться к #2vlan2, и сможет ли #2vlan2 обращаться к #1vlan2, ведь эти виланы ограничены 1-16 портами коммутатора #2, а коммутатор #1 прицеплен на порт 24 коммутатора #2 ?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт авг 28, 2007 13:15 
Не в сети

Зарегистрирован: Чт ноя 02, 2006 18:45
Сообщений: 2641
Откуда: Челябинск
Смогут. Тегированный трафик будет передаваться через 24ые порты.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср авг 29, 2007 12:13 
Не в сети

Зарегистрирован: Пт авг 24, 2007 07:29
Сообщений: 73
Откуда: ЮФО
Я что-то не могу понять. Чтобы тегированный трафик передавался на порты не входящие в VLAN, для этого надо у второго коммутатора обязательно указать
Код:
create iproute default 192.168.0.100

и тогда он будет трафик передавать через не входящие в виланы порты коммутатору #1. Или указывать коммутатор #1 в качестве iproute (это шлюз что ли?) не обязательно.
Кроме того, мне надо создавать VLAN не на основе портов коммутатора, а на основе MAC-адресов рабочих станций, и чтобы они все могли обращаться к серверам, и не могли обращаться к членам других VLAN. Можно ли это сделать не перенастраивая клиентские машины. В клиентских машинах в качестве маршрутизатора указан контролер домена (Win2k3 SE R2). Или все же лучше указать на клиентских машинах в качестве маршрутизаторов ipif-ы VLAN(или коммутатора?), а у коммутаторов в качестве gateway указать ip контроллера домена, или в качестве DNSR Server у коммутаторов указать ip контроллера домена, как будет лучше?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср авг 29, 2007 19:38 
Не в сети

Зарегистрирован: Чт ноя 02, 2006 18:45
Сообщений: 2641
Откуда: Челябинск
Команда задает шлюз по-умолчанию, в данным случае второй маршрутизатор.
Пользователи в какие коммутаторы подключены?
Шлюзом у них должен быть адрес интерфейса коммутатора из их подсети.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт авг 30, 2007 07:45 
Не в сети

Зарегистрирован: Пт авг 24, 2007 07:29
Сообщений: 73
Откуда: ЮФО
Beliar писал(а):
Пользователи в какие коммутаторы подключены?

Конечные пользователи (кроме администраторов) подключены к неуправляемым коммутаторам различных производителей, эти коммутаторы подключены к двум DES-3828, а уже DES-3828 подключены к гигабитному неуправляемому коммутаторы (не D-Link), к которому подключены сервера.
Beliar писал(а):
Шлюзом у них должен быть адрес интерфейса коммутатора из их подсети.

Т.е. для пользователей #2vlan2 в качестве шлюза надо указать 192.168.0.101 или 192.168.2.1?
И как мне всё таки сделать виланы не на основе портов коммутатора, или IP адресов конечных пользователей, а на основе MAC-адресов пользователей, но с возможностью разграничения доступа(возможно ли это?)?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт авг 30, 2007 09:47 
Не в сети

Зарегистрирован: Чт ноя 02, 2006 18:45
Сообщений: 2641
Откуда: Челябинск
Для vlan2 - 192.168.2.1.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 03, 2007 13:30 
Не в сети

Зарегистрирован: Пт авг 24, 2007 07:29
Сообщений: 73
Откуда: ЮФО
Beliar писал(а):
Смогут. Тегированный трафик будет передаваться через 24ые порты.

Вы не могли бы объяснить принцип взаимодействия коммутатора и рабочих станций. Т.е., например в vlan#1 находятся сервера, в vlan#2,vlan#3,...,vlan#n находятся рабочие станции (по подразделениям). Допусти все сделано по принципу описаному здесь, и машина пользователя(vlan#2) опрашивает все машины которые есть в её окружении, чтобы в "сетевом окружении" их можно было увидеть. Все ОК. Траффик на другие подсети не идет. Если эта машина обращается к серверу расположенному в другой подсети (vlan#1), она посылает запрос, коммутатор обрабатывает его и по маске определяет что запрос идет на другую vlan. Он же его просто отбросит и всё. Или он его передаст серверу нормально? Если передаст нормально, то почему, ведь тогда он может передать траффик из vlan#2 в vlan#3, а это не нужно. Не понятен сам принцип того как коммутатор работает с vlan-ами, когда нужно объявлять для портов ярлыки(tag) а когда нет. Читал "Учебное пособие: Коммутаторы локальных сетей D-Link", но там этот вопрос рассматривается не совсем понятно.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 51 ]  На страницу 1, 2, 3, 4  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 139


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB