2 sieci lan na jednej instalacji


(lith) #1

Hej.

Czy jeżeli część komputerów zepnę w sieć z adresami:

192.168.AA.XXX, a drugą

192.168.BB.XXX

to na ile będą one od siebie odizolowane? Sieci będą na tych samych kablach i switchach. Czy jeżeli komputery z AA będą miały dostęp do internetu, to te z BB będą na ile skuteczne od internetu odcięte? Czy w ogóle z dobrej strony się za to zabieram (bo mocny w temacie nie jestem ;p)? Po prostu chciałbym uniknąć kładzenia podwójnie kabli i stawiania podwójnie switchów, żeby fizycznie je rozdzielać.


(system) #2

To może Ci pomóc -> http://pl.wikipedia.org/wiki/Maska_podsieci


(lith) #3

Aha, czyli rozumiem, że dla standardowej maski 255.255.255.0 to co napisałem jest prawdą?

Ok, czyli napiszę co mam zamiar zrobić i byłbym wdzięczny za wskazanie ewentualnych błędów w moim toku rozumowania :slight_smile: Bo podstawy teoretyczne mam bardzo marne i tak próbuję rozkminić na logikę.

Powiedzmy sieć A, z dostępem do internetu:

-routerowi ustawiam jako bramę domyślną 162.198.A.1

-komputery w sieci dostają dynamiczny przydział IP z puli np. 162.198.A.100-120

Sieć B odcięta od internetu:

-komputerom ustawiam ręcznie IP: 162.198.B.XYZ

I czy rzeczywiście to na takiej zasadzie działa? Na ile taka podsieć jest odizolowana?

I jeszcze pytanie, czy dany komputer może jednocześnie być podłączony do podsieci A (połączonej z internetem) i podsieci C (np. z dyskami sieciowymi) i czy to ma jakiś sens wtedy? Czy jak inaczej rozwiązać to, żeby komputer mający dostęp do neta miał dostęp do dysków sieciowych, a jednocześnie dyski były jak najmniej narażone na 'przeglądanie z zewnątrz'. Teoretycznie są jakieś zabezpieczenia hasłami, ale zawsze lepiej, żeby po prostu ciężko było się do nich dostać.

Jeżeli to istotne to mam router Tp-Link TL-WR1043ND, CISCO SR2016T SG100-16 i kilka mniejszych switchy, dysk podłączony do routera.

Ogólnie może zabieram się jak pies do jeża... :lol: ale te sieci to taka trochę abstrakcja jeszcze dla mnie.

Aha... i zajmowała się tym niby profesjonalna firma, ale nie wyglądała na specjalnie zorientowaną i zostawiła wszystko w pół rozbabrane i dopracować to sobie sam muszę.


(Filolupus) #4
  1. Technicznie wykonalne (kiedyś testowo sobie takie coś zrobiłem, tylko zastosowałem adresacje z 2 różnych klas prywatnych 192.168.x.x i 10.x.x.x). Niestety wydajność takiej sieci jest obniżona (dużo broadcastów i obciążenie kart sieciowych) i byłoby to raczej niewskazane (kolega, bardziej obeznany w sieciach, potraktował wtedy ten pomysł jako herezję :wink: ).

  2. Hosty w sieciach: 192.168.A.x i 192.168.B.x przy standardowej masce 255.255.255.0 nie będą się widziały. Jednak, przy takich ustawieniach, żeby host z tej odizolowanej sieci przeskoczył do głównej, wystarczy, że zmieni ustawienia adresu na dhcp (do tego raczej trzeba praw administratora). Ogólnie, żeby komputery się poprawnie widziały powinny być w tej samej sieci z tą sama maską sieciową, bo inaczej mogą się dziać różne dziwne rzeczy.

  3. Właściwym rozwiązaniem problemu niezależnych sieci na jednym okablowaniu są VLAN-y - wtedy można też zarządzać dostępem "międzysieciowym".


(lith) #5

Sieci A i B nie muszą się widzieć. Teraz tylko, czy to, ze się nie widza oznacza, że ta bez neta (B) jest w miarę bezpieczna? Czy może one się nie będą widziały, a i tak bez problemu będzie można się dostać z zewnątrz tak i do sieci A, jak i do sieci B. Ogólnie takie rozwiązanie wymyśliła montująca to firma, bo nie chciało się im kłaść drugiej sieci. Starczy dać inną podsieć, czy trzeba kombinować dodatkowo z firewallem i odcinać tam te komputery jakoś dodatkowo od routera?

A dysk sieciowy może starczy też zablokować na firewallu i dać normalnie do sieci A, tak, żeby komputery mające dostęp do sieci go widziały,a nie było do niego dostępu z neta bezpośrednio?

Z tego co widzę to vlany są dla mnie poza zasięgiem.


Ok komplikuję dalej:

Jeżeli będę miał podsieć A z internetem i ta podsieć B bez internetu to rozumiem, że nie wykorzystam tego samego routera do zapewniania neta w podsieci A i do zastosowania VPN w podsieci B?... ale to już raczej z ciekawości, bo to jak coś to i tak będzie robiła zewnętrzna firma i w razie czego dorzuci potrzebne do tego zabawki.


(Filolupus) #6

Jeśli brama (router) będzie w sieci A, to komputery skonfigurowane na sztywno w B nie będą miały do niej dojścia. Nawet jak im się ręcznie tę bramę ustawi, bo ma po prostu adres z innej sieci.

Jeśli dysk sieciowy jest wewnątrz sieci i ma prywatny adres, to z internetu dostępny nie będzie bez dodatkowych starań, więc tu problemu nie ma.

W kwestii VLAN-ów rzeczywiście trzeba mieć już jakieś pojęcie (nawet nie kosztuje to dużo), ale działa całkiem fajnie: konkretne porty na switchach należą do całkiem niezależnych sieci i ruch między nimi jest fizycznie rozdzielony (pomijając trunki), a łączy je dopiero router.