Привет всем!
На новой работе есть ненастроенная сеть, состоящая шлюза на freebsd, 1 коммутатора DGS-3312SR с 4-мя портами, 4 коммутаторов DES-3526 и 48 рабочих мест. 4 коммутатора des-3526 находятся в 4 отделах, пользователи которых не должны видеть друг друга, но должны выходить в инет через шлюз.
Я в настройках управляемых коммутаторов новичек и не знаю с чего начать. Не подскажете как лучше сделать?
Вот привожу схему сети:

На центральном свиче рулим все IP адреса ACL-ками (1 профиль - разрешающий доступ на шлюз, 1 запрещающий всё остальное по портам)

Над текстом плакал, я думал у меня с русским плохо

По теме: распихать отделы по вланам, привести их к серверу или 3312. На сервере или 3312 реализовать флитрацию трафика.

_________________
DES 3526 - флагман DLINKостроения

Я изменил сообщение, когда до конца всё додумал

т.е. на каждом 3526 создаю vlan`ы otdel1, otdel2, otdel3, otdel4,
добавляю в них порты пользователей? как быть с otdel4, который подключен через otdel3? на коммутаторе 3 отдела для порта 4 отдела прописываю vlan otdel4?
и еще, как лучше через web-интерфейс настраивать или через rs232?

Немного не то я имел в виду:

Пусть у нас 1,2 и 3 -й свичи подключены в DGS-3312SR в порты 1, 2 и 3.

4-й 3526 подключен в 3-й в 25 порт, 3-й в DGS-3312SR в 26 порт.

Подсеть допустим 10.10.0.0 mask 255.255.255.0 на всём железе офиса.
Шлюз с IP 10.10.0.1
Приблизительные ACL:
DGS-3312SR:

create access_profile ip source_ip_mask 255.255.255.255 profile_id 20
config access_profile profile_id 20 add access_id 1 ip destination_ip 10.10.0.1 port 1 permit
config access_profile profile_id 20 add access_id 2 ip destination_ip 10.10.0.1 port 2 permit
config access_profile profile_id 20 add access_id 3 ip destination_ip 10.10.0.1 port 3 permit

create access_profile ip source_ip_mask 0.0.0.0 profile_id 30
config access_profile profile_id 30 add access_id 1 ip destination_ip 0.0.0.0 port 1 deny
config access_profile profile_id 30 add access_id 2 ip destination_ip 0.0.0.0 port 2 deny
config access_profile profile_id 30 add access_id 3 ip destination_ip 0.0.0.0 port 3 deny

На 3526 3-й свич, в который подключен 4-й:

create access_profile ip source_ip_mask 255.255.255.255 profile_id 20
config access_profile profile_id 20 add access_id 1 ip destination_ip 10.10.0.1 port 25 permit

create access_profile ip source_ip_mask 0.0.0.0 profile_id 30
config access_profile profile_id 30 add access_id 1 ip destination_ip 0.0.0.0 port 25 deny

В этих правилах скорее всего есть ошибки, хотел показать сам принцип

Разделение по VLAN не вижу смысла ставить.

тогда у меня все пользователи будут в одной подсети?
А с vlan`ами не проще будет?

Не совсем понятно из вопроса - пользователи не должны видеть друг друга вообще или только соседние отделы?


Если разбивать на виланы, то на шлюзе придётся поднимать интерфейсы в каждом вилане и настраивать фильтры на нём, чтобы трафик между этими интерфейсами не ходил.

подскажите плизззз!! у мя комп в нем 2 лан порта ! в 1 порте адсл модем а во 2 сеть но сеть не работает как ее подключить?? без модема сеть работала !а когда поставил модем! то сеть не работает! и я еще хочу инт нет на 2 комп провисти !как это сделать! тока если можна по проще !а то я не понимаю разные названия типа свич и тд!

_________________
ясно

только соседние отделы

На шлюзе создать 5 Vlan'ов
vlan1 - 10.0.1.0/24 //отдел 1
vlan2 - 10.0.2.0/24 //отдел 2
vlan3 - 10.0.3.0/24 //отдел 3
vlan4 - 10.0.4.0/24 //отдел 4

vlan5 - 10.0.5.0/24 - менеджмент влан
Все Вланы тагом отправить на все соответсующие свичи на аплинковский порт + менеджмент влан.

На 3-ий свич (по часовой стрелке) на приход с коммутатора затянуть вланы 3, 4 и 5 тагом, затем на 4-ый свич отправить с соответствующего порта на 3-ем свиче тагом 4-ый и 5-ый влан.

Далее остается растегировать вланы на каждом свиче на необходимых портах и при помощи ipfw на шлюзе управлять доступом между этими вланами(отделами).


Через консоль команды для свича следующие:

Для 3-го надо еще прописать (во 2-ом порту торчит свич №4):


Айпи и порты подстроите под свои нужды.

Помой-му я очень просто и понятно всё расписал выше. Кому/куда разрешить, кому/куда запретить.

Не спорю, что схема KoStyaN's имеет свои преимущества.

Всё дело в текущей ситуации в системе автора темы, лени автора темы (для меня это главный вопрос при настройке любого железа, как можно меньше делать сейчас и потом), его выбора из предложенных схем и понимания их работы.

Сделал, как Вы посоветовали.


Теперь подключаюсь к коммутатору через сеть и не могу до него достучаться:
ping 192.168.1.1 - превышено время
захожу на него через rs232, даю пинг 192.168.1.2 - тоже самое, пинг 192.168.1.1 (сам себя) тоже самое. Так и должно быть?

А вы себе (либо на шлюз 192.168.1.254) менеджмент влан (1-ый) затянули на машину, с которой пытаетесь достучаться до свича?

По поводу пингования самого себя - у нас рабочие свичи сами себя пингуют

А еще у меня есть некоторые сомнения по поводу использования влан №1 на свиче - это может и есть дефолтный, который удалили со всех портов.