Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Надеюсь нет отделов с количеством компов более 32 шт. 16.07.07 11:13 Число просмотров: 3163
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 16.07.07 11:14 Количество правок: 2
|
> Разъясните и подскажите пожалуйста нубу в сетевом
> администрировании))
> Есть организация в которой 60-70 машин. Мысль такая:
> разбиваем локалку на подсети 192.168.10.x/27, получаем 8
> подсетей, отделы разбиваем по подсетям. Дальше по замыслу
Надеюсь нет отделов с количеством компов более 32 шт.
Тяжело понять смысл этой процедуры. Если только запрещать/разрешать выход в инет. Зачем для этого на сети разбивать.
Если отделов около 8, то лучше так: адресный пул сети класса С бьем по 32, 192.168.0.1-192.168.0.31 прод шлюз,серваки, автоматизаторов, 192.168.0.32-192.168.0.63 под первый отдел и т.д. через статику или DHCP по макам, но маску оставляем 24! В этом случае остается возможность чтобы компы видели друг друга и серваки без лишних шлюзов и маршрутизаторов, и админ будет легко видеть всех напрямую.
Даже в АтГварде (крошечный файрвол, который пользую) есть включение правил по времени/расписанию, а в правиле можно задать диапазон адресов. Что-то подобное и ставим на шлюз.
Касаемо разделения доступа отдела к отделу, то это следует решать не на уровне АиПи, а намного выше.
> нужно всему этому делу предоставить выход в интернет по
> ADSL причем так, чтобы одной подсети я мог вручную
> разрешать/запрещать доступ на некоторое время при этом
> ограничивая трафик на всю данную подсеть, вторая бы имела
> постоянный доступ в интернет и была бы так же ограничена в
> трафике, третья бы имела только мыло и т.п. И при этом
Еще Тметер на шлюз поставить надо.
> требуется, чтобы подсети не видели друг друга, одна подсеть
> могла видеть вторую и обратно и одна, которая бы видела
> всех.
Вам что, жалко что они пинганут друг друга? Если комп слишком персональный и админ его "не админит", то что он там и кому у себя разрешит - его проблема, но чтоб он сам куда залез - паролики надо знать, причем без разницы будь то со своего компа (ноутбука, например), будь то с корпоративного.
> Всвязи с чем у меня вопрос. Куда копать? Какое оборудование
> для этого нужно? Можно ли просто обойтись маршрутизатором,
> и если да то каким, или нужно поднимать сервак и т.п.?
И ни чего для этого не надо. В противном случае можно усложнить жизнь только себе. А разделять доступ следует не на протоколах низкого уровня. А сетка должна быть достаточно хорошо защищена и из нутри от инсайдеров. Расслабляться и давать всем админские права нельзя.
> Заранее примного благодарен.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
