N
Niк
Народ, подскажите незнающему, как сделать так, чтобы LAN была разбита на группы и эти группы не видели друг друга по сети, но все видели сервер. Все компы w2k.
Спасибо.
Спасибо.
Если денег очень много - покупаешь киску и находишь спеца, который умеет ее настраивать. Недостатков нет.
Если меньше - покупаешь свитч с VLAN, подключаешь ее к серваку и после некоторой настройки получаешь аналог сервака с двумя десятками сетевух. Настраиваешь между ними раутинг. Недостаток - трафик между сетями будет ходить через сервак, заметно его нагружая и теряя скорость. Трафик внутри сетей будет ходить с прежней скоростью. Еще есть свичи с функцией Home VLAN (у SVEC'a, например) - там все порты могут общаться только с первыми двумя, но не между собой. Плюс - не требует настройки.
Если денег на железо нет - раздаешь клиентам IP адреса так, чтобы группам соответствовали разные IP сети, и спускаешь им IPSec policy, разрешающую общаться только с серваком и своей сетью. Недостаток - пользователь может самостоятельно поменять свой IP и влезть в чужую сеть. Затруднить изменение IP тоже можно полисей, но это вполне обходимо.
Если меньше - покупаешь свитч с VLAN, подключаешь ее к серваку и после некоторой настройки получаешь аналог сервака с двумя десятками сетевух. Настраиваешь между ними раутинг. Недостаток - трафик между сетями будет ходить через сервак, заметно его нагружая и теряя скорость. Трафик внутри сетей будет ходить с прежней скоростью. Еще есть свичи с функцией Home VLAN (у SVEC'a, например) - там все порты могут общаться только с первыми двумя, но не между собой. Плюс - не требует настройки.
Если денег на железо нет - раздаешь клиентам IP адреса так, чтобы группам соответствовали разные IP сети, и спускаешь им IPSec policy, разрешающую общаться только с серваком и своей сетью. Недостаток - пользователь может самостоятельно поменять свой IP и влезть в чужую сеть. Затруднить изменение IP тоже можно полисей, но это вполне обходимо.
N
Niк
Во, по третьему абзацу поподробнее плз. Недостаток (изменение IP пользователями) устранен - они заходят в систему под правами пользователя. Группам раздать разные подсети можно, а как быть с сервером? И как быть тогда с dhcp, сможет ли он раздавать с этого сервера нужные IP? И что такое IPSec - если можно, в 2х словах.
Спасибо.
Спасибо.
IPSec - весьма продвинутая система в Win2k, позволяющая шифровать IP трафик, а еще ее можно использовать как простой firewall, управляемый в т.ч. через policy.
Как получалось у меня:
(компы в одном ethernet-сегменте)
IP раздает сервак через DHCP; всем прописаны reservation, так что я контролирую, у кого какой IP;
IP сервера, допустим, 192.168.0.1
группе A назначены IP 192.168.0.16... 0.31; ( этому соответствует сеть 192.168.0.16/28); (dhcp выдает стандартную маску /24)
Для компов группы А создаем полисю (или редактируем существующую)
в ней идем в comp config/win sett/sec settings/ipsec/create ipsec policy
потом создаем правила:
1) запрещающее все, что не разрешено
filter = "All ip traffic",
action = "block" - его надо создать самому, в нем method=block
2) разрешающее общение с сервером
filter = (создать filter list "ToSrv" с набором фильтров из одного:
(src=My ip, dst = specified IP = 192.168.0.1, mirrored = yes)
action = permit
3) разрешающее общение со своей группой:
filter = ( новый с одним фильтром (
src =My ip, dest = spec subnet, IP addr = 192.168.0.16, mask = 255.255.255.240 (это /28), mirrored = yes))
action = permit
Для группы Б выделяем сеть 192.168.0.32/28 и спускаем ей policy, в которой она указана
Если серверов несколько, им тоже можно выдать IP из некоторой сети и дать доступ на нее.
Маршрутизация между группами через сервер невозможна
Как получалось у меня:
(компы в одном ethernet-сегменте)
IP раздает сервак через DHCP; всем прописаны reservation, так что я контролирую, у кого какой IP;
IP сервера, допустим, 192.168.0.1
группе A назначены IP 192.168.0.16... 0.31; ( этому соответствует сеть 192.168.0.16/28); (dhcp выдает стандартную маску /24)
Для компов группы А создаем полисю (или редактируем существующую)
в ней идем в comp config/win sett/sec settings/ipsec/create ipsec policy
потом создаем правила:
1) запрещающее все, что не разрешено
filter = "All ip traffic",
action = "block" - его надо создать самому, в нем method=block
2) разрешающее общение с сервером
filter = (создать filter list "ToSrv" с набором фильтров из одного:
(src=My ip, dst = specified IP = 192.168.0.1, mirrored = yes)
action = permit
3) разрешающее общение со своей группой:
filter = ( новый с одним фильтром (
src =My ip, dest = spec subnet, IP addr = 192.168.0.16, mask = 255.255.255.240 (это /28), mirrored = yes))
action = permit
Для группы Б выделяем сеть 192.168.0.32/28 и спускаем ей policy, в которой она указана
Если серверов несколько, им тоже можно выдать IP из некоторой сети и дать доступ на нее.
Маршрутизация между группами через сервер невозможна
N
Niк
Направление понял. Ковыряюсь. Спасибо.
