Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Нету отделов > 32, но дело, имхо, чуть сложнее 16.07.07 12:10 Число просмотров: 3141
Автор: jiZo <Александр> Статус: Member
Отредактировано 16.07.07 12:11 Количество правок: 1
|
> Если отделов около 8, то лучше так: адресный пул сети
> класса С бьем по 32, 192.168.0.1-192.168.0.31 прод
> шлюз,серваки, автоматизаторов, 192.168.0.32-192.168.0.63
> под первый отдел и т.д. через статику или DHCP по макам, но
> маску оставляем 24! В этом случае остается возможность
> чтобы компы видели друг друга и серваки без лишних шлюзов и
> маршрутизаторов, и админ будет легко видеть всех напрямую.
> Даже в АтГварде (крошечный файрвол, который пользую) есть
> включение правил по времени/расписанию, а в правиле можно
> задать диапазон адресов. Что-то подобное и ставим на шлюз.
> Касаемо разделения доступа отдела к отделу, то это следует
> решать не на уровне АиПи, а намного выше.
собираюсь DHCP по макам
> > нужно всему этому делу предоставить выход в интернет
> по
> > требуется, чтобы подсети не видели друг друга, одна
> подсеть
> > могла видеть вторую и обратно и одна, которая бы
> видела
> > всех.
>
> Вам что, жалко что они пинганут друг друга? Если комп
> слишком персональный и админ его "не админит", то что он
> там и кому у себя разрешит - его проблема, но чтоб он сам
> куда залез - паролики надо знать, причем без разницы будь
> то со своего компа (ноутбука, например), будь то с
> корпоративного.
Ну как сказать, в общем жалко :) Просто два, назовем их, отдела имеют по 20 машин которые неконтролируется и доступ к которым есть у абсолютно левых людей, причем некоторые из них заинтересованы в информации и т.п. находящиеся в др. отделах. Лучше перестраховаться.
> И ни чего для этого не надо. В противном случае можно
> усложнить жизнь только себе. А разделять доступ следует не
> на протоколах низкого уровня. А сетка должна быть
> достаточно хорошо защищена и из нутри от инсайдеров.
> Расслабляться и давать всем админские права нельзя.
>
Вот как раз я и хочу сделать как проще... что бы и надежно и после наладки всего этого дела жизнь заметно бы упростилась.
Сейчас здесь примерно так, как Вы описали, только все очень запущенно и более криво сделано, безопасность и все остальное не то что 0, а в минусе вообще.
Вариант предложенный Ustin меня заинтересовал, простой, надежный, реальный.... Изначально сам хотел примерно такой вариант, только вместо комутатора с vlan воткнуть маршрутизатор и маршрутизацией отгородить подсети и т.п. Но не знал в принципе насколько это реально и какое оборудование для этого нужно.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
