Здравствуйте!
За время работы предприятия сеть разрослась и обзавелась разным "зоопарком" в основном из оборудования d-link. Сейчас настройки стоят минимальные: сеть поделена на vlan-ы по кол-ву подразделений, на 3612g звездой по оптике подключены удаленные подразделения, на каждое подразделение по интерфейсу вида 192.168.1.*/24, 192.168.2.*/24 и т.д. Сервера выведены в отдельный vlan со своим интерфейсом 192.168.0.*/24. Все ip прописаны статикой, никаких dhcp-серверов нету, только беспроводные клиенты подключенные к wi-fi точкам получают от их встроенных dhcp-серверов ip-ники.
Теперь задача такая: навести порядок в сети в плане безопасности - ограничить лишний трафик, настроить ограничения на использование интернета, далее ввести в сеть iptv.
Буду благодарен за наставление на верный путь (в какую сторону смотреть, где что подкрутить и т.п.).
Какие понадобятся данные по оборудования и текущим настройкам - не вопрос.

Лишний это какой по вашему мнению?

Какие ограничения?

Это у провайдера уточняйте, даст ли он вам иптв и в каком виде

На будущее: Как можно точнее пишите ваши запросы

извиняюсь за общее описание, сейчас как раз и пытаюсь все систематизировать и описать как то по подробнее что и где хочу. Плюс прошу если я в чем то заблуждаюсь или смотрю не в ту сторону то прошу поправить

Вот например dgs-3200-10 (newdom-asw ip 192.168.0.5) стоит на уровне доступа, к нему подключены конечные пользователи, некоторым из них нужна только локальная сеть в пределах своего сегмента 192.168.4.х и доступ к серверам из другой подсети 192.168.2.x. Другим в дополнение к вышеуказанному необходим еще и доступ в интернет. Посему, какие фильтры нужно применить на dgs-3200-10, чтобы уже на уровне доступа фильтровать лишний трафик (допустим с компов которым можно только внутренние ресурсы сразу запрещать внешние ресурсы). Или это неправильный подход и фильтровать все нужно на dgs-3612g?


Разбить трафик на группы: важные клиенты (в первую очередь получают интернет и он у них должен быть всегда, даже когда пик нагрузки на канал), менее важные клиенты (получают интернет вторыми, он тоже должен быть у них всегда), обычные клиенты (следующие по очереди, интернет при пиковых нагрузках на канал могут и не получать) и менее важные клиенты (все остальные, при пиках интернет отрубать). Под каждую группу выделяем определенную полосу пропускания, с заимствованием в случае неиспользования. Можно ли все это настроить на dgs-3612 или это только на маршрутизаторе cisco настраивать?


у каждого из провайдеров есть иптв, на wan 2 оно уже присутствует, в каком виде не знаю. Что конкретно нужно уточнить у прова? на wan 1 еще не активировали. Задача завести в сеть иптв каждого прова, т.к. там есть непересекающиеся каналы и организовать просмотр некоторым клиентам (не всем)

Опять обобщенно написал. Подскажите, хоть в правильном направлении смотрю. Буду очень признателен если ткнете носом где что почитать.

по первому вопросу:
http://www.dlink.ru/ru/faq/62/204.html
По второму:
Рулите непосредственной раздачей интернета и его шейпинга непосредственно на шлюзе выхода в интернет (сервера там у вас или ещё-что-то). Только там вы сможете выделить отдельные полосы пропускания трафика для VIP клиентов.
По третьему:
У провайдеров забирайте IPTV влан тегом.
У себя на свичах поднимайте ISM VLAN (мультикастовый влан) на свичах, где нужно выдавать клиентам IPTV непосредственно, и просто тегерированный влан с включенным игмп_снупингом на магистральных свичах (192.168.0.2 и 192.168.0.3), тегами там разруливайте, какому влану куда ходить или не ходить.

почитал, чето пока не понял как применить к моему случаю. Я имею один L3, все подсети подняты на нем и vlan-ми проброшены каждая к своему коммутатору доступа. После прочтения я подумал что будет удобно если правила будут стоять в одном месте, в моем случае на L3. Правильно думаю, или нужно на каждом коммутаторе доступа настраивать?


Ясно, у меня стоит Cisco 2921.


А если провайдер отдает IPTV без влан тега (отдельный untag порт с коммутатора провайдера), могу я его самостоятельно завернуть на своих свичах в ISM VLAN?

Да, думаете правильно, в этом направлении и двигайтесь. Настраивать ограничения на доступе в вашем случае будет порно.

На ней должны быть политики и классы доступа, ими можно выделить отдельную полосу випам, а отдельную всем остальным.

При настройке ISM влан так не получится.
В вашем случае на свиче, где провайдер даёт отдельным портом IPTV, выделяйте отдельный влан, антегом его берите с этого порта, и тегом пропускайте на магистраль. В магистрали будет уже либо опять таки обычный влан со снупингом, либо ИСМ-влан если там-же ИПТВ нужно будет ещё и раздавать.

у меня первый провайдер отдает IPTV отдельным untag портом, второй - также untag портом, только вместе с интернетом. Можно будет настроить?
Договориться от отдаче отдельным тег вланом пока не получается.

в первом случае 100% можно, во втором - нужно пробовать разделить его порт на 2 влана, в одном из которых запустить снупинг, но лучше всё-таки взять тегом.
Пробуйте.