Что мы имеем, сеть построенную на неуправляемом разношерстном оборудовании. Задача обеспечить прохождение по этой сети трафика так чтобы те кому он подан не видели первой сети.

Что я надумал.
1. От моего шлюза в интернет ставим свитч, любой, умеющий ограничить трафик между двумя портами полосой в один мегабит.
2. В него втыкаем DSA-3110, его втыкаем в мою офисную локалку.
3. На тех 4 точках берем DIR-100 и втыкаем WAN портами в локалку, а LAN порты выводим клиентам.

Будет ли обеспечивать такая схема прохождение трафика до конечного получателя трафика интернет?

Потом мне один умный камрад сказал, не мути, достаточно поставить на каждой точке по роутеру и сделать следующее:

на роутере внутри 10.10.10.0/24
правила примерно такие:
allow from 10.10.10.0/24 to inet_router
deny from 10.10.10.0/24 to your_office_subnets
allow from 10.10.10.0/24 to all

Это решит все проблемы, клиенты пойдут только к интернет шлюзу но не смогут попасть в офисную подсеть.

Хотел бы узнать какие из роутеров, простых можно будет задействовать под такую схему. И как отпилить полосу?

Схемка не помешала бы.

Вы по цене DFL-210 потянете? Или DSA-3110 у вас уже есть?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Схемку через часик думаю сделаю. DFL-210, по штуке на каждую точку, дороговастенько выходит, хотя можно сократить до двух точек. Тогда терпимо, пока ничего не покупали вовсе.

Рисуйте схему. может и одного хватит.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Итого, как я говорил, имеем неуправляемую сеть, в которую надо втыкать посторонних клиентов, в разные точки этой сети, но так, чтобы не дай бог ни один из этих клиентов не увидел сети через которую ходит. Это раз. И второе, на ВСЕХ этих клиентов должна быть отрезана определенная полоса.

Поэтому я и предполагал, задействовать VPN концентратор внутри этой локалки, а интернет клиентов подключать через простые роутеры, устанавливая соединение с этим концентратором. При условии что роутер на стороне клиента будет физически недоступен(розетка у него только будет от LAN порта клиентского роутера, чтоб он не мог в WAN ткнуть ничего), мне кажется это как раз нормальная идея.

Как я понял, есть ваша офисна сеть с доступом в инет. Есть сторонние клиенты, которым вы хотите предоставить доступ в инет, но изолировать от вашей сети.

Варианты решения:

1. Ваш: подключить каждого стороннего клиента через рутер типа DIR-100, лишь бы он поддерживал фильтрацию по адресу назначения и обрезал доступ в вашу сеть. Шириной канала вы тут не поуправляете.

2. Как 1-й вариант, но добавить в качестве шлюза в инет DFL-210, чтобы ограничивал полосу пропускания для нужных клиентов.

3. Добавить в качестве шлюза в инет DFL-210. С его ДМЗ порта и подключенного выделенного коммутатора развести выделенными кабелями сторонних клиентов.

Ну и, разумеется, возможны некоторые вариации.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

1. вариант точно не выход, отрезать полосу на этих клиентов обязательное условие. Принцип такой, мы берем канал 2Мбит, один нам, один всем им.
2. не совсем понял. Т.е. поставить его в качестве корневого роутера в интернет вместо моего и написать на DIR-100 правила типа тех что упоминались выше?
3. не катит. ибо это километры оптики будут.

Да.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Ага, почитал про возможности шейпинга трафика, ну не фига себе навороты, вкурить бы...

Ещё один вопросик не подскажете, на LAN интерфейсе у DFL-210 можно будет включить фильтрацию по MAC? Хочу чтобы к роутеру смотрящему в интернет можно было соединяться только со строго определенных ip адресов локальной сети.

Можно. и по IP и по MAС

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.