Всем, здравствуйте,

Образовалась небольшая задачка, а быстрого и дешёвого решения в голову не приходит. Ситуация: старое здание 5 этажей. Сетка наипростейшая - один этаж, один неуправляемый свитч + по несколько хабов к нему прикручено. На последнем этаже серверная, там же DHCP, там же файл сервер, там же веб сервер и т.д. На выход в мир стоит Киска (провайдера), она же дальше разруливает VPN IPsec orver MPLS на другие здания, филиалы и т.п. Киска восьмая с 4 портами и софт поддерживает Vlan (уточнил у провайдера).
Задача: организовать 2-3 группы пользователей с ограничением доступа в Интернет - 1 группа можно ходить везде, вторая группа - можно ходить на 50 описаных сайта. Внутри сети все должны ходит свободно куда угодно. На каждом этаже есть представители и первой и второй группы :о)
Самое грозное решение в лоб, какое приходит на ум - это ставить по второму неуправляемому свичу на этаж и группами коммутировать. В самом конце один хвост в один порт Киски, второй хвост в другой. Провайдер создает на Киске 2 влана и прописывает доступ в Инет для каждой группы.
Вопросы:
1. Сможет ли Киска закрутить роуты, чтобы движение между вланами было свободным (ибо DHCP, web и т.д. будет в одном влан, а доступ нужен и со второго влана).
2. Возможно ли более элегантное решение с помошью управляемых коммутаторов исходя из сложившейся ситуации.

Спасибо за любые комментарии.

Всетаки если на каждом этаже представители разных груп - нужно всех разделить в свои vlan ( это практически каждому свой управляемый порт L2). А уже в серверной иметь 2-3 vlan которым и назначать что разрешено/не разрешено. Если Вы имели ввиду "железячное" решение.



Не уверен что на свитчах и прокладке новых кабелей получится намного дешевле нежели устанавливать управляемые дешевые L2.

А кроме того, при установке свитчей L2 просто сказака управлять разрешениями, перемещениями рабочих мест между группами, этажами, комнатами и др.

Ага, значит все таки надо смотреть на замену свичей. Тогда посоветуйте на какие стоит обратить внимание из расчета, что на этаже до 16 хостов. И каким макаром мне придется обыграть выход в Интернет с запретом определенных страниц. Куммутаторы же интернет страницы не ограничивают, значит надо будет теребить провайдера и конфигурировать Cisco. Подскажите примерную схему. Усиленно читаю маны по коммутаторам...

Ставьте в качестве этажных устройств DES-3028/3052. Всю основную филтрацию будете выполнять на них. В центре у вас остаётся ваш свитч, если это свитч (указали бы его модель было бы проще), и маршрутизация осуществляется на нём. ограниячение доступа к сайтам должно осуществляться на граничном устройстве например файрволле.

Спасибо за наводку, Иван. Нет, никаких других управляемых свичей нету, поэтому и модель указывать не приходиться. Сеть одноранговая на простых железках. Посему вылазит вопрос, какой коммутатор посоветуете, как головной? Опять же если он нужен или хватит этажных? Сайты разрулим на Cisco - очень хорошо.

на каждый этаж - по DES-3526, либо DES-3028, кстати, в зависимости от размеров этажа можете поставить один свич на 2 этажа в центр - DGS-3612 которым и будете роутить свою локалку ... юзать для этого провайдерского кота - моветон, завтра пров передумает и что? вся локалка пойдет крахом?

_________________
с уважением, БП

Огромное спасибо! Начало положено, побежал в магазин . После покупки консультация явно продолжится, но возможно в другой теме, по конкретным коммутаторам. Удачи.