» Разделение локальной сети на два отдела

Здравствуйте уважаемые!
Прошу помощи, так как уже отчаялся...
Ситуация следующая - имеется локальная сеть на предприятии - порядка 15 компьютеров. Соединены в общий 16-портовый свитч (TP-LINK). Задача - разделить их на два разных отдела. Скажем "производство" и "бухгалтерия", с учётом того, что "производство" не увидит компы из подсети "бухгалтерия". Сеть имеет вид "192.168.1.XX". Была попытка разбить сети на две группы "192.168.1.XX" и "192.168.2.XX", но при такой разбивке роутер перестаёт распределять интернет на сеть "192.168.2.XX". Как я полагаю, нужно какие-то опции активировать в настройках модема, но из-за нехватки компетенции в этом вопросе - воз не трогается. Роутер - TP-LINK (к сожалению модель не помню, но при острой необходимости готов предоставить эти данные).
Заранее благодарен, надеюсь на помощь.

Цитата:

Роутер - TP-LINK (к сожалению модель не помню, но при острой необходимости готов предоставить эти данные).

Можете считать, что такая необходимость наступила.
С другой стороны если бы мне надо было залезть в другую сеть, то я бы просто поменял адрес. Коммутатор-то небось "тупой"?

Цитата:

Можете считать, что такая необходимость наступила.
С другой стороны если бы мне надо было залезть в другую сеть, то я бы просто поменял адрес. Коммутатор-то небось "тупой"?

Роутер TP-Link TD-8840T. DHCP - Enabled. Насколько я понимаю - служба DHСP отвечает за распределение IP-Адресов по сети. В настройках DHCP есть опция, что-то типа Start IP, которая на данный момент имеет значение 192.168.1.100. То есть, это как-бы указывает роутеру, чтобы он раздавал интернет только в сеть 192.168.1.1XX ? поправьте, если я ошибаюсь. Что ещё заметил - нельзя зайти в настройки роутера через WEB-Интерфейс (192.168.1.1), если IP адрес у компьютера из подсети "192.168.2.XX". Надеюсь, это вам поможет.

Цитата:

То есть, это как-бы указывает роутеру, чтобы он раздавал интернет только в сеть 192.168.1.1XX

Нет. Это значит то, что он будет выделять адреса начиная с адреса 192.168.1.100 до значения "End IP" (обычно 192.168.1.254).

Цитата:

Что ещё заметил - нельзя зайти в настройки роутера через WEB-Интерфейс (192.168.1.1), если IP адрес у компьютера из подсети "192.168.2.XX"

Ну так если это разные подсети, то так и должно быть...

2 urodliv

Уважаемый, извиняюсь за оффтоп. А по теме, что-то можете ответить? если поделить два отдела в разные подсети - как мне подать на них интернет?

Цитата:

А по теме, что-то можете ответить?

А я пока что всё по теме говорил

Маршрутизатор у вас не совсем безнадёжный: у него есть поддержка VLAN. Но смысл в этом не будет, если у вас
Цитата:

общий 16-портовый свитч (TP-LINK)

не поддерживает аналогичную функцию. Посему опять мы с вопросом: модельку коммутатора не сообщите?

мб у меня конечно плохо с осмыслением масок - но как мне кажется,если дать роутеру 192.168.1.1/23 а клиентам дать соответственно отделу1 - 192.168.1.2-192.168.1.254/24, а отделу2 - 192.168.2.1-192.168.2.254/24 то на мой взгляд всё будет как вы хотели...
но конечно берем за неприкосновенную истину то, что клиенты свои настройки менять не могут.

Alukardd
Сейчас ради интереса попробую на своём модеме подобную штуку. Правда у меня другая модель.

Добавлено:
Alukardd
В общем пробовать не стал. Ваша схема не заработает. Отдел1 действительно увидит роутер, а вот отдел2 - нифига. Для него указанный адрес роутера будет лежать в другой подсети, ибо подсети для компов отдела определяются не маской роутера, а маской на самих компах.

Я тут вижу три решения.
1. Если общий коммутатор поддерживает 802.1q, то на нём делаем два vlan`a на основе портов. Один влан - бухи, второй - производство. Ну и растыркиваем кабели от машин в нужные порты. На роутере точно так же поднимаем два port-base vlan`а и двумя кабелями отправляем в нужные порты нужные отделы.
2. Достаём второй коммутатор: один для бухов, второй для производства. Точно так же поднимаем два port-base vlan`а и по одному кабелю от каждого коммутатора в маршрутизатор.
3. Если общий коммутатор поддерживает 802.1q, то используем тегирование пакетов.
Во всех случаях ip-адреса могут лежать в одной подсети.

urodliv
Цитата:

В общем пробовать не стал. Ваша схема не заработает. Отдел1 действительно увидит роутер, а вот отдел2 - нифига. Для него указанный адрес роутера будет лежать в другой подсети, ибо подсети для компов отдела определяются не маской роутера, а маской на самих компах.

тогда продолжим извращаться над масками)
роутер - 192.168.1.127/24
отдел1 - 192.168.1.0/25
отдел2 - 192.168.1.126/25
так вроде норм получается - если я ни чего не путаю то получится следующее ( хотя что-то я сомневаюсь в этих масках )
роутер видит 192.168.1.1-192.168.1.254
отдел1 видит - 192.168.1.1-192.168.1.127
отдел2 видит - 192.168.1.127-192.168.1.253
ой чувствую что не так это_)

Цитата:

отдел1 видит - 192.168.1.1-192.168.1.127

отдел1 видит - 192.168.1.0-192.168.1.127, причём 192.168.1.127 для него ограниченный широковещательный адрес. С ним он работать не будет.

Цитата:

отдел2 видит - 192.168.1.127-192.168.1.253

отдел2 видит - 192.168.1.128-192.168.1.255
Вот такой вот пирог.

urodliv
нет сомневался я в других местах....
в этих я почти уверен!!! адрес 192.168.1.0 - это адрес СЕТИ!!! а адрес 192.168.1.255 - это широковещательный!!!
маска /25 даёт нам сеть в 128 адресов из которых 1-ый адрес подсети и последний широковещательный для данной подсети и того 126 хостов!!!

Alukardd

Цитата:

адрес 192.168.1.0 - это адрес СЕТИ!!! а адрес 192.168.1.255 - это широковещательный!!!

это верно для маски /24
для маски /25 две подсети
192.168.1.0 (адрес сети) - 192.168.1.127 (бродкаст)
192.168.1.128 (сеть) - 192.168.1.255 (бродкаст)

но я чё-то так нигде не увидел

Цитата:

Соединены в общий 16-портовый свитч (TP-LINK).

модель?

если интересуют извращения то есть одно:

оставляем компьютеры в одной сети 192.168.1.XX
DHCP на модеме отключаем и раздаем адреса в ручную
скажем 192.168.1.11-192.168.1.20 бухгалтерия
192.168.1.21-192.168.1.30 производство
вводим их в разные рабочие группы
готовим два батника вида
первый
arp -s 192.168.1.21 00-00-00-00-00-00
arp -s 192.168.1.22 00-00-00-00-00-00
.
arp -s 192.168.1.30 00-00-00-00-00-00

второй
arp -s 192.168.1.11 00-00-00-00-00-00
arp -s 192.168.1.12 00-00-00-00-00-00
.
arp -s 192.168.1.20 00-00-00-00-00-00

первый ставим в автозагрузку на бухгалтерских компьютерах
второй на производственных

Valery12
Цитата:

arp -s 192.168.1.21 00-00-00-00-00-00
arp -s 192.168.1.22 00-00-00-00-00-00
.
arp -s 192.168.1.30 00-00-00-00-00-00

второй
arp -s 192.168.1.11 00-00-00-00-00-00
arp -s 192.168.1.12 00-00-00-00-00-00
.
arp -s 192.168.1.20 00-00-00-00-00-00

интересный ход... если Ur0ck или кто еще будет пробовать скажите как оно себя проявит???
roma
Цитата:

для маски /25 две подсети
192.168.1.0 (адрес сети) - 192.168.1.127 (бродкаст)
192.168.1.128 (сеть) - 192.168.1.255 (бродкаст)

спасибо кэп) я про маску /25 следующей строчкой писал...

Меня всегда умиляет, когда в какой-нибудь конторе покупают оборудование для домашнего сегмента, а потом пытаются на нем делать решения корпоративного уровня. Бесплатных пирожных не бывает, за что заплатили, то и получили.

Ur0ck
А не проще не заморачиваться с IP а просто поставить нормальный сервер, и рулить с помощью прав пользователей?

Уважаемые, спасибо всем а помощь.

2 Valery12

Попробую... Спасибо.

2 turbov1

Раньше практически так и было. Стоял обычный ПК с двумя сетевыми картами подлюченными к ним 2мя отделами, который выполнял роль прокси-сервера с User Gate 2.8 на борту. Но это стало неудобно. Так как некоторый софт не захотел работать через прокси (в частности налоговые программы и TeamViewer). А если же и работал - то с большим гемороем, который решить мог только я, ибо научить бухгалтеров этим манипуляциям порой очень сложно. Постоянно находится рядом я тоже не могу.
Бухи испугались, что кто-то особо умный сможет что-то наделать в базах 1С, и таким образом, решили себя обезопасить, ограничив доступ для других отделов.
Можно ли разбить два отдела на два разных свитча, без связи между ними?

Ur0ck
Цитата:

Можно ли разбить два отдела на два разных свитча, без связи между ними?

где-то они у вас всё-равно соединятся - в инет-то все выходят

Ur0ck
Не надо вестись на поводу у главного врага админа - бухгалтера. Что Вам мешает сделать выход в инет через тот же роутер, а править различными разрешениями посредством сервера? Запретите использовать шары на локальных машинах.


Цитата:

Можно ли разбить два отдела на два разных свитча, без связи между ними?

По сути дела это будет выглядеть как две разные (физически) сети. Вот только я бы такой огород из свичей городить не стал. Всегда нужно задумываться, а как диагностировать всё это "добро" в случае сбоя.

Можно например сделать две разных подсети
10.0.0.2-10.0.0.254
10.1.0.2-10.1.0.254



Добавлено:
Второй вариант - с применением VPN роутеров,
создание подсети, но это дороже будет стоить

Vital283
Цитата:

10.0.0.2-10.0.0.254
10.1.0.2-10.1.0.254

вы бы хоть почитали всё, что выше писалось... или вы предлагаете купить второй роутер?