» Выделить бухгалтерию в VLAN (коммутатор CNET CNSH-2402G)

Требуется дельный совет!
Сеть одноранговая, на раб. местах Win98 (в бухгалтерии). Хотелось бы закрыть доступ к бухгалтерии (5 машин) из локалки посредством VLAN, но в то же время они должны видеть сетку. Есть коммутатор CNET CNSH-2402G c поддержкой VLAN. Получится или нет?

как я вижу, то не получиться, только через шлюз

Нет, без маршрутизатора не получится.

Цитата:

Хотелось бы закрыть доступ к бухгалтерии (5 машин) из локалки посредством VLAN, но в то же время они должны видеть сетку.

VLAN - это отдельный сегмент сети - чтобы ограничить, а не закрыть полностью коммуникации между бухгалтерией и остальной сетью нужно настраивать файрвол на маршрутеризаторе между VLANами.
Рекомендую просто сделать для бухгалтерии файлсервер для обмена файлами, доступ к нему открыть только для пользователей бухгалтерии, а на машинах бухгалтеров убрать службу File&Printer Sharing.

Если твой свитч поддерживает tagged vlans то можно включить порт на котором сервак в оба виллана как tagged порты. Но это у меня не получилось. Если разберешься, расскажи. А пока, наверное, только router тебе поможет.


Добавлено
Если твой свитч поддерживает tagged vlans то можно включить порт на котором сервак в оба виллана как tagged порты. Но это у меня не получилось. Если разберешься, расскажи. А пока, наверное, только router тебе поможет.

Megard
угу так и есть
demaa
здрасте. tagged vlans нужны для того чтобы на несколько свичей можно было виланы разбить.

new_yorik
Хммм, ну здасссте...
А почитать?
http://support.3com.com/infodeli/tools/netmgt/temwin/tem6.2/netadmin/11vlana4.htm
for example...
3com просто под руку подвернулся, но не суть...
Если сетевуха твоего сервера поддерживает 802.1Q trunk - вперёд и с песней!!!
Севак будет мультивилановый, а вот клиенты будут видеть только свой вилан.

Другой пример, если у тебя один свич cisco 29xx(к примеру), то просто ставишь порт на котором сервер в мультивилан моду и указываешь какие виланы он видит.
А вот если попробуешь на одном свиче (от циски) и транк и мультивилан врубить...
Вот тогда он тебя не поймёт и обругает.

0le
я правда это и сказал.
а вот чего
Цитата:

You can enable a device such as a server to belong to more than one VLAN, as long as the device has a network interface card (NIC) that supports IEEE 802.1Q frame tagging.

не видел никада, того не видел. звыняюсь.

new_yorik

Цитата:

здрасте. tagged vlans нужны для того чтобы на несколько свичей можно было виланы разбить.

И для этого тоже

Цитата:

в то же время они должны видеть сетку.

а зачем? в действительности это не надо , а для обмена файлами можешь сделать на своей машине расшареную папку и включить ее в оба VLAN-а.. ну ты в принципе и так должен в них быть ....

у нас проблема передачи файлов решается с помощью мыла, оно то все равно внутри летает...

demaa
Давай немного упорядочим данные, ОК?
1. VLAN'ы бывают двух сортов (если 3-х, то расскажите ), port based VLAN & tagged VLAN.
2. Эти виды VLAN'ов вместе не живут.
3. Если твоя сетевая карта не поддерживает 802.1Q - пользуй "port based VLAN".
Если другими словами, (все примеры на базе киски) на своих коммутаторах ты можешь пользовать либо multivlan (port based VLAN), либо trunk (802.1Q or ISL - tagged VLAN) но не вместе!
4. TO tankistua Мыло - это сила!
НО... в данном контексте в тему не попадает

Цитата:

можешь сделать на своей машине расшареную папку и включить ее в оба VLAN-а

Вот насчет этого поподробней, если можно.
КАК можно расшаренную папку кудато включить
(Мы о VLAN'ах говорим)

P.S. Как показывает практика - никто не может знать ВСЕГО!
Отсюда следует... Если подскажете/расскажете чтото интересное - you are welcome!

P.P.S. demaa
Цитата:

Но это у меня не получилось.

Что конкретно у тебя не получилось???

0le

Цитата:

Если другими словами, (все примеры на базе киски) на своих коммутаторах ты можешь пользовать либо multivlan (port based VLAN), либо trunk (802.1Q or ISL - tagged VLAN) но не вместе!

если я правильно понял о чем ты, то я абсолютно не согласен. прамо сейчас сижу и смотрю в сисько гайд, два свича соединены между собой транками, но при этом на одном свиче висят виланы 1,2,3 а на втором 1,3. сответсвенно это порт бейзд виланы соединные транками. вроде так

new_yorik
Да ты прав.
Пожалуй я в терминологии поплыл
Транк и 2.1Q не одно и тоже...
Транком может называться и простой аплинк между свичами (без VLAN'овых заморочек).
Спасибо за "тычёк носом"
(Ну в смысле ткнуть носом...)
Have a ... эээ ну это так, к слову пришлось

Спасибо, спасибо господа за ликбез..... но, Вы удалились от темы. Может все-таки попробуем решить эту проблему. Надо закрыть доступ к бухгалтерии из локальной сетки, но в то же время, чтобы была возможность им видеть ее. Сервак бухгалтерский -есть, но на нем крутится база БЭСТ, поэтому не хотелось бы нагружать его какие-нибудь Winroute и т.д. Неужели это невозможно решить. Кстати вот описаволо на коммутатор(к сожалению на циску денег зажали):


Цитата:

Гигабитный коммутатор CNSH-2402G оснащен двумя (2) гигабитными портами, каждый из которых работает на скорости до 2000 Мбит/с в режиме Full-Duplex, и может обеспечить обмен данными в любой локальной сети Ethernet. В дополнение к гигабитным портам коммутатор имеет двадцать четыре (24) 100/10 Мбит/с N-Way портов, обеспечивая тем самым истинную эксплуатационную гибкость для предприятий и сетей средней величины.

Каждый порт поддерживает функцию VLAN, которая позволяет сетевому администратору создавать Виртуальные Сети внутри физической cети для более эффективного использования сетевых ресурсов. Встроенная функция Trunking позволяет пользователям группировать несколько 100/10М полос пропускания в единую виртуальную полосу в целях увеличения пропускной способности сети.

Большое количество световых индикаторов, расположенных на передней панели, позволяют в реальном времени наблюдать и диагностировать работу сети. Консольный порт необходим для легкой и быстрой конфигурации сети посредством использования текстового терминала с программной эмуляцией

Основные особенности


VLAN на основе портов поддерживает до 8 виртуальных групп.
Встроенная функция Trunking поддерживает до 4 транковых групп.
IEEE 802.3x Flow-Control поддерживается в режиме Full-Duplex.
Back-Pressure Flow-Control поддерживается в режиме Half-Duplex.
Порты A и B 1000/100/10Мбит/с поддерживают режим Full-Duplex.
Функция Auto-Negotiation поддерживается каждым портом.
Архитектура коммутации Store-and-Forward.
Все порты поддерживают Auto-MDI/MDIX.
CoS поддерживает два уровня приоритетов для каждого порта.
Один (1) консольный порт для легкой конфигурации.


Спецификация

Стандарты IEEE 802.3: 10BASE-T
IEEE 802.3u: 100BASE-TX
IEEE802.3ab: 1000BASE-T
IEEE 802.3x: Flow-Control для режима Full-Duplex
Порты Двадцать четыре (24) порта 100BASE-TX
Два (2) порта 1000BASE-T
Поддержка сред 1000BASE-T/100BASE-TX: категория 5 TP
10BASE-T: категория 3, 4 или 5 TP
Полоса пропускания 1000BASE-T: 2000/200/20 Мбит/с
100BASE-TX: 200/100/20/10 Мбит/с
Скорость передачи/фильтрации 1488100 пакетов/сек на порт 1000Мбит/с, максимум
148810 пакетов/сек на порт 100Мбит/с, максимум
14881 пакетов/сек на порт 10Мбит/с, максимум
Задержка 2.6 мсек при 1000Мбит/с минимум
11 мсек при 100Мбит/с минимум
75 мсек при 10Мбит/с минимум
Режимы Duplex Все порты 100BASE-TX/10BASE-T поддерживают режимы Half-Duplex и Full-Duplex
Гигабитные порты поддерживают 100/10Мбит/с в режиме Half-Duplex и Full-Duplex
1000Мбит/с в режиме Full-Duplex
Crossover Все порты поддерживают Auto-MDI/MDIX
Интерфейс для конфигурации Консольный порт RS-232 DCE 9600бит/с (по умолчанию)

Лучше всего поставить маршрутизатор, и навесить аксес-листов на входящий трафик. Правда если есть маршрутизатор.

Цитата:

Надо закрыть доступ к бухгалтерии из локальной сетки, но в то же время, чтобы была возможность им видеть ее.

А что конкретно ты хочешь закрыть? Там есть расшареные папки? принтеры?
Может просто нужно сервак закрыть от посторонних?

De Ju
Ну как было сказано выше, ты можешь создать 2 VLAN'а.
Разнести по ним компы, а порт к которому подкючен сервер сконфигурировать как мультивилан.
Никаких дополнительных телодвижений (типа сетевых адаптеров с поддержкой 802.1Q) это не требует.
В чём проблема?
Все компьютеры видят сервер и клиентские машины (но только своего VLAN'a).
Итог... бухгалтерия изолирована и жизнь прекрасна

0le
1.– согласен
2.– согласен
3. Если третий пункт рассматривать относительно port-based и tugged виланов то я скорее согласен.
У меня 3 свитча, на них 2 вилана. На каждом свитче есть порты принадлежащие и тому и другому виллану. На каждом свитче есть порт, включенный как tugged в оба виллана. Через эти порты свитчи соединены между собой. На одном из свитчей висит сервак, воткнутый в 2 untagged порта из разных вилланов. Все это работает
А не получилось у меня воткнуть сервак в 1 порт, включенный в оба виллана как tugged. Тк. оказалось, что для этого нужно перекомпилять ядро FreeBSD с поддержкой вилланов, создать 2 виртуальных интерфейса, на которые будут приходить пакеты из разных вилланов, через один реальный интерфейс. Да еще и купить карточку, которая 802 и 1 ку поддерживает.

De Ju
Насколько я понял ты хочешь, чтобы бухи всех видели, а их никто не видил. Мне кажется, что это фантастика. Либо все друг друга видят, либо бухи видят только бухов и сервак, а все остальные видят только всех остальных и сервак.

demaa

Цитата:

для этого нужно перекомпилять ядро FreeBSD с поддержкой вилланов, создать 2 виртуальных интерфейса, на которые будут приходить пакеты из разных вилланов, через один реальный интерфейс. Да еще и купить карточку, которая 802 и 1 ку поддерживает.

Истинно говоришь.
Потому и посоветовал port based использовать.
Так может тебе (в твоём конкретном случае) проще коммутаторы переконфигурить?
Хотя с другой стороны, если поставленные тебе/тобой задачи решаются...

P.S. и всё же tagged
Коль хотим терминологию "причесать".

Девочки, давайте немножко упорядочим ситуёвину )
Для этого начнес с азов:
1) Главная задача VLAN - это УПОРЯДОЧЕНИЕ (уменьшение) трафика, и, соответственно, нагрузки на сеть. Например, имеется какой-либо концентратор с n-портами. По умолчанию, все порты находятся в VLAN 1, и тогда пакет, отправленный с машины, подключенной, к примеру, к первому порту, будет транслироваться на ВСЕ порты это коммутатора.
Дальше: например, у нас к этому коммутатору подключены сотрудники нескольких отделов. Есть т.н. правило 80-20 (для СТАНДАРТНЫХ случаев), согласно которого в среднем 80% трафика идет в пределах одного отдела, и только 20% - на сервера и машины др.отделов. Когда мы создаем VLAN, то пакет пойдет только на те порты, которые находятся в том же VLAN, что и порт отправителя + на транковые порты. ВОТ И ВСЁ. Т.е. просто убивается broadcast. Говорить о каком-то ограничении доступа средствами VLAN бесмысленно. Единственное, что можно добиться, это то, что в "Сетевом окружении" будут видны только те машины, которые находятся в одном VLAN. Однако, никто не запрещает сделать "Пуск"-"Выполнить"-"\\Имя_компьютера" и попасть на целевую машину.
2) Какие-либо ограничения доступа ОБЫЧНО делаются одним из следующих способов:
- как говорилось уже выше: посредством access-list (deny/permit) на маршрутизаторе;
- средствами настройки учетных записей пользователей на сервере.

Но, как я понял, ни маршрутизатора, ни сервера не имеется, стало быть что-либо придумать в данной ситуевине сложно.

slut
Тааак, мальчик...

Цитата:

Для этого начнес с азов:

Не надо "начнес" и "азов" тоже не надо.
Ты понимаешь, что пишешь?
Для начала разберись с "концентраторами" и "коммутаторами"!

Цитата:

Однако, никто не запрещает сделать "Пуск"-"Выполнить"-"\\Имя_компьютера" и попасть на целевую машину.

Ты сам понял, что сказал?
Сделать "это" запрещает коммутатор (ну или хаб, если умный и виланы понимает).
Сделав на коммутаторе (ну хорошо, на концентраторе) 2 вилана, ты их почти физически разделяешь...
Как ты себе представляешь, "попасть на целевую машину" находящуюся на соседнем коммутаторе не связаном с твоим (да... он вируальный, ну и что)?

0le
Давай не спорить по мелочам.
Исходи из условий задачи: машины бухгалтерии ДОЛЖНЫ видеть всю сеть, т.е. тебе нужно будет поднять vtp domain и сделать ip-маршрутизацию. Поэтому и говорить о виланах как о средстве разделения нет смысла :) Или я опять не прав?

slut

Цитата:

Давай не спорить по мелочам.

Давай
НО твоё утверждение, что можно попасть на машину из другого вилана набрав в командной строке... чегото там.
Согласись, не лезет ни в какие ворота.
Далее, vtp domain эт конечно круто... Но причём здесь "тема"?
Этот зверь (vtp domain) позволяет кискам обмениваться промеж собой инфой, о том какие виланы существуют и т.д. и т.п.
И только!
Далее, формулировка "задачи" - никакая
Мы с тобой можем фантазировать на тему "а что собссно хотел тот парень" до посинения!
Судя по тому, что ты знаешь "заветные" слова (навроде vtp domain), рискну предположить, что мы коллеги.
Поехали дальше...
Видеть всю сеть и чтоб тебя не видели... хммм, ну что тут кроме персональных файеволов (причем грамотно настроенных) посоветуешь?
А вот видеть из двух вилановых сетей один сервак и не видеть при этом друг друга...
Вот это с помощью виланов реализуется на раз два.

Вопрос схожий так что публикую сюда.

Тут надо было VLANs организовать так чтобы было три сервака (видны всем) и три сети независимые друг от друга (чтобы работа между компьютерами одного отдела и компьютерами другого была не возможна). Имею в наличии свичи с поддержкой VLAN (здесь проблем нет все пашет) и два D-Link DES-3326S. Создаю на одном маршрутизаторе три вилана и помешаю в них три сервака (порты к которым они подключены - tagged). На другом маршрутизаторе (здесь клиенты) у меня эти виланы не появились ...
А должны они ли вообще были появится или нужно было создавать их занова на втором маршрутизаторе ?
И что такое GVRP ?

Заранее спасибо.

VZ_Alexandr
Если честно, не въехал в постановку вопроса
Что значит
Цитата:

Создаю на одном маршрутизаторе три вилана и помешаю в них три сервака

???
Это как?
Повесить на 1 физический порт маршрутизатора три сетки (читай вилана) - это да.
Но при чём здесь второй рутер
Конкретизируй пожалста.

0le
Да ты понял правильно. Получаю на 1 делинке три сетки в каждой из которых находятся 3 физичиских порта (это в серверной, одно здание). Во втором здании находится второй делинк (здесь в уже созданные VLANs нужно добавить клиентов) и вот он напрочь не видит уже созданные VLANs на 1 делинке (хотя как почитал они должны были появиться - хотя возможно неправельтно что-то понял).

Может не совсем в тему....
В форуме был разговор про поддержку 802.1Q сетевыми картами.

Это поддержживают?
Можно ли организовать поддержку tranking port под Windows?
Под FreeBSD - нет проблем всё получается.
Под виндовз на той же машине - никаких упоминаний.
Microsoft про vlan вообще ни сном...

Razz
Под форточками поддержка на уровне драйверов карты.
Если есть - хорошо, а нет - оопс

Цитата:

[/q]
[q]Тут надо было VLANs организовать так чтобы было три сервака (видны всем) и три сети независимые друг от друга (чтобы работа между компьютерами одного отдела и компьютерами другого была не возможна). Имею в наличии свичи с поддержкой VLAN (здесь проблем нет все пашет) и два D-Link DES-3326S. Создаю на одном маршрутизаторе три вилана и помешаю в них три сервака (порты к которым они подключены - tagged). На другом маршрутизаторе (здесь клиенты) у меня эти виланы не появились ...

Какие маршрутизаторы?

Если на свичах, то нужно делать так:
На первом свиче настроить три VLana ы включить туда всьо, что нужно.
На втором свиче тоже настроить три VLana (c теми же номерами, что и на первом свиче)
На первом и на втором свиче порты, через которые соединяются свичи, поставить как tagged.
Это будет работать, если свичи соединены кабелем.

надо бы по VLAN создать отдельную, общую тему. Вопрос не освещен на форуме, инфы мало - это лирическое отстуление....

Вводные данные:
4 этажа, 4 коммутатора 2-го уровня (AT-8026T) + один такой же в качестве центрального коммутатора - в него воткнуты серваки , на каждом этаже по одному руководителю

Задача:
Руководителей не должен видеть никто, но при этом все (и руководители втом числе должны видеть серваки...

что для этого нужно сделать?не совсем понимаю про транки, portbased, multi vlan