Регистрация | Последние сообщения | Персональный список | Поиск | Настройка конференции | Личные данные | Правила конференции | Список участников | Top 64 | Статистика раздела | faq | Что нового v.2.3 | Чат
Skunk Forum - Техника, Наука, Общество » Коммуникации и сетевые технологии »
Свичи и юзеры

Версия для печати (настроить)

Новая тема | Написать ответ

Подписаться

Автор Тема:   Свичи и юзеры
shuragr
Junior Member

Сообщений: 2
Откуда: moscow
Регистрация: Ноябрь 2004

написано 24 Января 2005 21:30ИнфоПравкаОтветитьIP

Господа может поможете. Только не кричите плиз ) я этим еще вплотую не занимался...
Мне в фирму нужно несколько железяк по типу свичей, которые должны уметь следующее:
Каждый порт не видит другой порт на этом свиче и Чтоб шла привязка по чему то (желательно айпишнику) к этому
порту, т е чтобы клиенты на этом порту не могли себе взять другой ип без моего ведома. И желательно заходить
на эту железку удаленно... Босс говорит про каталисту, но по моему это как стрелять из пушки по воробьям.
Не подскажите несколько вариантов, а??

ZAlex
демагог и циркач (с)

Сообщений: 1333
Откуда: Питер
Регистрация: Июнь 2001

написано 25 Января 2005 09:18ИнфоПравкаОтветитьIP

На сколько портов?
См. например
ссылка
ссылка

DJ Junk
HerrEthik

Сообщений: 1362
Откуда: Санкт-Петербург
Регистрация: Январь 2003

написано 25 Января 2005 10:24ИнфоПравкаОтветитьIP

shuragr
Вообще-то, свичи работают на более низком уровне, т.е. ниже протоколов типа TCP/IP и IPX/SPX. Они оперируют МАС-адресами (т.е. можно сделать привязку хоста к порту по МАС-адресу сетевой карты).

1. Каждый порт не видит другой порт на этом свиче
Не скажу,что правильно понял мысль (уточните, плиз, что именно хотите получить). Но если речь о том, что на каждом порту должна быть отдельная IP-сеть, то сделать это можно с помощью VLANов. Каждый порт должен быть в отдельном VLANе, а каждый VLAN - в отдельной IP-сети. Но чтобы разруливать IP-сети, нужен маршрутизатор. Поэтому нужно выбрать один из двух вариантов:

1а. Использовать дуплет из коммутатора и маршрутизатора. Порт, которым коммутатор соединяется с маршрутизатором, должен принадлежать всем VLANам (порт должен быть в таговом режиме) как со стороны коммутатора, так и со стороны маршрутизатора. А маршрутизатор должен иметь в каждом VLANе свой IP-интерфейс (тот адрес, который будет default gateway). Настраивая фильтры на маршрутизаторе можно управлять "видимостью" из одной IP-подсети в другую.

1б. Вместо маршрутизатора и коммутатора можно использовать маршрутизирующий коммутатор, либо коммутатор с установленным в него дополнительно модулем 3 уровня. В этом случае не нужно будет создавать таговый канал между маршрутизатором и коммутатором, т.к. коммутатор (являясь одновременно еще и маршрутизатором) будет сам разруливать пакеты между VLANами (т.е. между IP-подсетями). Остальное нужно сделать так же, как и в случае 1а.

2. Чтоб шла привязка по чему то (желательно айпишнику) к этому
порту, т е чтобы клиенты на этом порту не могли себе взять другой ип без моего ведома.

Можно раздавать IP-адреса с помощью DHCP-сервиса (сервис можно запустить хоть под Линухом/Юнихом, хоть под виндой), но сделать привязку IP-адреса к МАС-адресу. Тогда только машина с определенным МАС-адресом сетевой карты сможет получить определенный IP-адрес.

shuragr
Junior Member

Сообщений: 3
Откуда: moscow
Регистрация: Ноябрь 2004

написано 25 Января 2005 11:16ИнфоПравкаОтветитьIP

По портам: 8, 16 и 24 больше не нужно.
2. У меня стоит фря которая раздает клиентам инет по айпишникам(каждой группе ипов своя скорость и трафик), есть привязка ипа к маку, ведется статистика кто и когда этот один ип на другой менял. НО это неудобно, да и если машин к примеру сотня или две набегаешся прописывать маки, т к клиенты когда им говоришь IP они думают что ты грязно ругаешся(НО не все, есть и такие что могут сесть на чужой ip с его маком, был прецендент). Просто прописка MAC+IP не панацея. Хочется чтоб клиент не просто не видел другого в сети, но и кроме его айпишников прописанных на данном порту у него ни один другой не мог работать. Если можно железку поканкретнее(а не просто список алиентелесиновского оборудования)...

skunk
Злобный админ

Сообщений: 5161
Откуда: СССР, город-герой Ленинград
Регистрация: Ноябрь 2000

написано 25 Января 2005 13:06ИнфоПравкаОтветитьIP

Вот уж точно стрельба из пушки по воробьям. Как я понял, проблема только в том, что юзеры обходят ограничения сменой IP. В этом случае, надо инет раздавать не по айпишникам, а сделать авторизацию. Логины объединяются в группы, каждой группе свои права и ограничения. У меня сделано так.

shuragr
Junior Member

Сообщений: 4
Откуда: moscow
Регистрация: Ноябрь 2004

написано 25 Января 2005 15:29ИнфоПравкаОтветитьIP

сенкс

DJ Junk
HerrEthik

Сообщений: 1363
Откуда: Санкт-Петербург
Регистрация: Январь 2003

написано 26 Января 2005 09:37ИнфоПравкаОтветитьIP

shuragr
Хочется чтоб клиент не просто не видел другого в сети, но и кроме его айпишников прописанных на данном порту у него ни один другой не мог работать.
VLANы на свичах обеспечат изоляцию клиентов друг от друга (если они будут на разных портах и в разных VLANах), а авторизация (предложенная skunkом) не позволит пользоваться ресурсами подстановкой IP-адреса.

Если можно железку поканкретнее(а не просто список алиентелесиновского оборудования)...
Дык, а что именно ты хочешь от железки? Что значит "поканкретнее"?
Любой свич, умеющий работать с VLANами по стандарту 802.1q, твою задачу выполнит. Что еще ты хочешь от свича? На какой ценик расчитываешь?

Кстати, по поводу если машин к примеру сотня или две набегаешся прописывать маки
А зачем бегать? Управляемый свич покажет тебе МАСи на портах. Просто смотришь на список, находишь непривязанный МАС и привязываешь его на фре. Я всегда был жутким противником отрыва задницы от стула.

Ваш ответ:

Коды форума
Смайлики


Ник:    Пароль       
Отключить смайлики

Все время MSK

Склеить | Разбить | Закрыть | Переместить | Удалить

Новая тема | Написать ответ
Последние сообщения         
Перейти к:

Свяжитесь с нами | skunksworks.net

Copyright © skunksworks.net, 2000-2018

Разработка и техническая поддержка: skunksworks.net


Рейтинг@Mail.ru Яндекс.Метрика