Возникла такая задача.

Есть сеть общая. К ней, по оптике, подключено другое здание. Где тоже своя сеть. IP адресация общая для обеих сегментов сети. У нас на сервере установлен Консультант и Гарант, которым пользуются в другом сегменте. Так же в другом сегменте есть свой "сервер" с расшареной, под полный доступ, папкой документов, которой пользуются все в том здании.

Необходимо защитить их сеть и нашу сеть от вирей, которые лазят через samba-шары и вообще закрыть все порты кроме Гаранта, Консультанта и порта прокси-сервера, чтобы документы с их "сервера" не были видны никому кроме их сегмента. Все входящие соединения из нашей сети запретить. Т.е. оставить открытый доступ к samba сервера Гаранта/Консультанта из их сети и заблокировать все остальное. Чтобы для нашей сети их сегмент как-бы не существовал.

_________________
...Дорогу осилит Идущий...
www.kob.su

Да скорее всего нужен не маршрутизатор, а коммутатор L2/L3 уровня. Тем более, что у Вас есть оптика, значит, есть что-то управляемое. Несколько ACL правил и все задачи решены. А сколько юзеров в обоих подсетях и каков объем трафика между сегментами?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Юзверей в основной около 80 и во второй будет около 30. Трафик довольно хороший, так как запускается Консультант с сервера и гарант тоже.

_________________
...Дорогу осилит Идущий...
www.kob.su

И кстати если можно, сразу ссылочку на то, как эти правила прописывать...

_________________
...Дорогу осилит Идущий...
www.kob.su

Ну при таком объеме DFL-210 может не справиться, а что-то производительнее будет дороже свитча.

Вот пример. Допустим, в порту 1-4 одно здание, в порту 5-9 другое, а в порту 10 Консультант, Гарант и прокси. Надо, чтбы порты 1-4 общались между собой и имели доступ к порту 10. А порты 5-9 между собой и портом 10. Правила такие:



Вот и все Даже ACL не нужны. А вот если надо еще жестче, например, доступ только по определенным TCP/UDP портам, то несколько правил. Когда будет конкретная схема, кто куда подключен и что разрешить/порезать, то Ваша задача для 1-го класса. В разделе Коммутаторы любой напишет подобные правила.

С правилами ACL можно ознакомиться здесь - http://dlink.ru/ru/faq/62/
Но лучше на конкретных примерах на форуме.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Я тут посмотрел по ценам D-Link DES-3010G мне подойдет для этих нужд? А есть еще дешевле, с меньшим количеством портов, может быть?

_________________
...Дорогу осилит Идущий...
www.kob.su

Сегментация трафика в нем есть, но ACL нету (это если надумаете более гибкую фильтрацию, например, по TCP/UDP портам, конкретным IP и т.д.).
Я боюсь ошибиться, т.к. не знаю всех характеристик линейки коммутаторов Д-Линка, потому советую либо дождаться ответа поддержки тут, либо спросить на форуме коммутаторов.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Спасибо за ответы. Спросил там.
Топик клоуз.

_________________
...Дорогу осилит Идущий...
www.kob.su