Нутром чую, что задача типовая, а сообразить не могу:

Есть офисное здание с единой ЛВС (фактически можно рассматривать как один большой коммутатор). У организации - арендатора два офисных помещения на разных этажах, в каждом своя маленькая сеть.

Задача состоит в том, чтобы прозрачно объединить эти две сети в сеть с общей адресацией, используя ЛВС здания. При этом трафик между офисными помещениями должен быть защищен от доступа из основной сети.

Посоветуйте плз, каким образом можно это сделать? И на каком оборудовании?

Шифруя соединение вы поднимаете маршрутизацию, а как вы будете маршрутизировать между одинаковыми подсетями?

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

"... Мы сами знаем, что задача не имеет решения,— сказал Хунта,
немедленно ощетиниваясь.— Мы хотим знать, как её решать ...".
(c) Стругацкие

Похоже, что это задача для VLan, но коммутаторы там не той системы ...

Может есть какие-то нестандартные решения (типа подключаем в обоих помещениях к общей ЛВС по некоей "железке", которые умеют находить друг друга в сети и гонять меж собой трафик в режиме моста на канальном уровне)?

Именно той, раз вы с такой задачей столкнулись. Терроризируйте админов здания, чтобы вам на оба офиса выделили отдельный VLAN.
Иначе траф между офисами придётся гонять через инетовские каналы, что Вам, как юрлицу, выйдет очень дорого.

Так в том и проблема, что коммутаторы (а их там много, и никто не будет их менять на другие) не поддерживают VLAN. Я имею возможность соединить сети обоих офисов через общую сеть "напрямую", но это будет означать что любой будет иметь доступ к ресурсам этих сетей извне.

А нельзя ли организовать VPN соединение таким образом, чтобы обе офисные сети "выглядели" как единая сеть?

По сколько юзеров в каждом офисе?

Недорогой, высокопроизводительный и недостаточно безопасный способ - в ваших обоих офисах поставить коммутаторы с поддержкой VLAN-ов и соединить их через общедоступную сеть. Все офисные компы будут в одной IP подсети. Но любой из общей сети, кто узнает номер VLAN и имеет сетевой адаптер с их поддержкой, может включиться в вашу сеть.

Возможно более дорогой, производительность зависит от цены, и максимально безопасный способ - посавить в каждый из офисов устройство серии DFL и связать их IPSec каналом. Сеть будет единая, автономная, но из двух разных сегментов (IP подсетей).

DFL-210 до 25 МБит, до 50 юзеров
DFL-800 до 60 МБит, до 150 юзеров
и т.п.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо за идею! Похоже это то, что надо!
А не можете ли порекомендовать конкретные модели коммутаторов?

Вам нужны управляемые коммутаторы 2-го уровня с поддержкой VLAN 802.1Q.

Если 100 МБит устроит, рассмотрите модели
DES-3010G DES-3010F DES-3010FL DES-3018 DES-3026 DES-2108 DES-2110

Не буду за вас уточнять детали. Возможно, подойдет любой из них.

Часто бывает, что дешево и сердито, просто связать эти офисы прямой витой парой (100 метров - довольно большое расстояние) или даже оптикой, минуя существующую сеть.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.