Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Нету отделов > 32, но дело, имхо, чуть сложнее 16.07.07 12:10 Число просмотров: 3141
Автор: jiZo <Александр> Статус: Member Отредактировано 16.07.07 12:11 Количество правок: 1
|
> Если отделов около 8, то лучше так: адресный пул сети > класса С бьем по 32, 192.168.0.1-192.168.0.31 прод > шлюз,серваки, автоматизаторов, 192.168.0.32-192.168.0.63 > под первый отдел и т.д. через статику или DHCP по макам, но > маску оставляем 24! В этом случае остается возможность > чтобы компы видели друг друга и серваки без лишних шлюзов и > маршрутизаторов, и админ будет легко видеть всех напрямую. > Даже в АтГварде (крошечный файрвол, который пользую) есть > включение правил по времени/расписанию, а в правиле можно > задать диапазон адресов. Что-то подобное и ставим на шлюз. > Касаемо разделения доступа отдела к отделу, то это следует > решать не на уровне АиПи, а намного выше.
собираюсь DHCP по макам
> > нужно всему этому делу предоставить выход в интернет > по > > требуется, чтобы подсети не видели друг друга, одна > подсеть > > могла видеть вторую и обратно и одна, которая бы > видела > > всех. > > Вам что, жалко что они пинганут друг друга? Если комп > слишком персональный и админ его "не админит", то что он > там и кому у себя разрешит - его проблема, но чтоб он сам > куда залез - паролики надо знать, причем без разницы будь > то со своего компа (ноутбука, например), будь то с > корпоративного. Ну как сказать, в общем жалко :) Просто два, назовем их, отдела имеют по 20 машин которые неконтролируется и доступ к которым есть у абсолютно левых людей, причем некоторые из них заинтересованы в информации и т.п. находящиеся в др. отделах. Лучше перестраховаться.
> И ни чего для этого не надо. В противном случае можно > усложнить жизнь только себе. А разделять доступ следует не > на протоколах низкого уровня. А сетка должна быть > достаточно хорошо защищена и из нутри от инсайдеров. > Расслабляться и давать всем админские права нельзя. > Вот как раз я и хочу сделать как проще... что бы и надежно и после наладки всего этого дела жизнь заметно бы упростилась.
Сейчас здесь примерно так, как Вы описали, только все очень запущенно и более криво сделано, безопасность и все остальное не то что 0, а в минусе вообще.
Вариант предложенный Ustin меня заинтересовал, простой, надежный, реальный.... Изначально сам хотел примерно такой вариант, только вместо комутатора с vlan воткнуть маршрутизатор и маршрутизацией отгородить подсети и т.п. Но не знал в принципе насколько это реально и какое оборудование для этого нужно.
|
|
|