Cum de a distribui internetul în două subrețele
De regulă, canale suplimentare sunt oprite, lăsând unul rapid. În consecință, toate computerele folosesc același poarta de acces pentru acces la Internet. Dar, în această situație, vă puteți asigura securitatea datelor? În cazul în care directorul sucursalei Gazprom-ului și ușor enikeyschiki Vaska pe aceeași rețea, atunci mai devreme sau mai târziu, se poate întâmpla teribil. Recitirea Vasya nostru în timpul liber următoarea ediție a „hacker“ și începe să scaneze computerul la distanță de la niveluri mai ridicate de putere. Pentru a evita situații similare în viitor, administratorul de sistem este obligat să împartă o rețea în subrețele. Acest lucru se poate face, de exemplu, sub numele de diviziuni structurale.
Terenul va fi util tuturor, fără excepție, începători și administratori mai mult sau mai puțin experimentați de sistem. Dar pentru cei care nu au ocupă încă o poziție onorabilă de administrator de sistem superior sau a unui tehnician la sediul filiala a Gazprom, dar pune toată puterea lui, în viitor, pentru a ajunge la liga mare, am oferit împreună cu noi, pentru a face pe rafturi puzzle situațională interesant și a vedea soluții .
Problema „Distribuția pe Internet două subrețele“
Într-un birou mic, există 2 LAN nu sunt combinate între ele (o rețea comună și o rețea de contabili). Aceste două rețele sunt separate din motive de siguranță, că nici unul dintre rețeaua publică nu poate intra în rețeaua de contabilitate. Dupa reducerile de finantare de la fabrica, sa decis să lase un canal pentru a accesa internetul. Acest canal este utilizat recent ca un nucleu pentru toți utilizatorii de aceeași rețea. rețea de contabilitate după dezactivarea canal individual proprii a rămas fără Internet.
Este necesar să se ia în considerare modalități prin care vă puteți asigura financiar accesul la canalul de rețea de Internet, astfel încât rețeaua publică și rețeaua de contabilitate „nu a văzut unul pe altul.“
Soluția 1: Serverul proxy
Primul lucru pe care am venit personal la minte este serverul proxy. Hardware sau software. De exemplu, pe baza utilizatorului Poarta 2.8, ne-am uitat la câteva luni în urmă. Totul este simplu. Găsiți calculatorul slab, da-l pe Internet, role proxy prescrie utilizatori și să intre într-o rețea comună. Subnetting Bukhov devine controlat la Internet. Și se pare că am rezolvat problema. Dar nu a fost acolo! În primul rând, Net“nu este la fel de rapid ca direct cu router. În al doilea rând, în cazul în care nu ați cumpărat Prokom fantezie și poarta vechi kryaknuty, veți obține o mulțime de probleme cu site-uri HTTPS și programe specializate care utilizează în protocoalele lor lucrare iscusită. Și în al treilea, cel mai nefericit este faptul că serverul proxy nostru va acționa ca o punte de legătură între rețeaua publică și o subrețea dedicată, iar acest lucru, la rândul său, atrage după sine posibilitatea de a accesa resursele partajate pe toate computerele. Da, știu că puteți alege în continuare în sus și ajusta firewall-ul. A fost destul de acerbă opțiune. El nu este potrivit pentru incepatori.
În astfel de situații, îmi amintesc întotdeauna faimoasele cuvinte ale lui Napoleon. „Cea mai simplă soluție - atât cele mai bune.“ Regândirea toate cele de mai sus, putem concluziona că, pentru un mic server proxy de rețea de birou împreună cu un firewall nu este cea mai bună soluție, deși realizată cu experiență corespunzătoare.
Soluția 2 VLANs pe un comutator
A doua metodă este potrivit pentru cei care inițial au fost concepute în mod competent rețelei sale și a ajuns deja la instalația cu amplasarea corectă a obiectelor din infrastructura rețelei. Vreau să spun personal prin poziționarea corectă? Este prezența unei camere server cu acces limitat la persoane neautorizate. De asemenea, în această cameră nodurile centrale de rețea: un controler de domeniu, un router și comutator central. E o grămadă, care poate fi conectat la un router gestionat comutator central și va fi baza pentru decizia următoare. Pentru că în ea vom crea VLAN-uri (virtuale) în LAN comutatorul. Despre ce va aduce, și care sunt dezavantajele acestei abordări sunt acum se confruntă cu el.
Pentru a demonstra, voi folosi un router ASUS DSL-N12U și comutator D-LINK DGS-1224T. Nimic deosebit. Este un router mediocru și depășite controlate de un comutator cu setări minime. Conectați cablul de la router la cablul de 23 de portul de la calculator din rețeaua totală de 1, iar cablul de la unul din PC-ul selectat subrețea în portul №9. Toate setările am terminat cu mai mult de un computer suplimentar care este conectat la portul 24, astfel încât să nu pentru a obține confuz.
Pasul 3. Ei bine. Este timpul pentru a prelua VLAN. Mergeți la fila corespunzătoare și a lovit «Add new VID (VLAN ID)».
Pasul 4. În fereastra care apare, atribuie un număr de reguli (de exemplu, 2) și selectați porturile care se vor vedea reciproc în cazul celei de a doua regulă. Să presupunem 1 la 8 și 23 (port router). În cazul în care le primesc, cum ar fi un Internet. Primele opt porturi pentru calculatoare, în acest caz, rețeaua globală.
Pasul 5. În mod similar crea a treia regulă. În care porturile 9 și 16 acces deschis reciproc și un router. Acest lucru va fi subrețea noastră. În nici un caz nu va interfera cu rețeaua globală, dar va avea acces la Internet. Preserved.
Pasul 6. În continuare, în lista drop-down, selectați opțiunea «sus Port VID Setarea» și prevede oricare dintre porturile pe care regula se va lucra. Așa cum am porturi 1 până la 8 se vor executa conform regulii №2, 9-16 definit anterior, se va lua ca bază pentru regula 3 și 17-24 vor rula pe implicit și toate vor vedea. Implicația este că avem o rețea de mici și cele mai recente game de porturi va fi liber, iar în cazul în care va fi utilizat, atunci numai administratorul numai pentru a configura.
Pasul 10. Sau vezi? Hai să facem asta. Dar mai întâi, verifica pe Internet. Pentru a face acest lucru va trimite PING de la primul calculator la router. Pfiu. Trecut. Acum, verificați dacă fratele său dintr-un alt pinganot subrețea. Soooo. Nu pare pinganot. Deci, de la rețeaua de calculatoare partajate totul este în regulă.
Pasul 11: Asigurați-vă că de justetea argumentelor noastre din partea echilibrului calculatorului. lucrări Net, rețeaua globală nu vede. PROFIT!
Cu toate acestea, nu totul este roz. Eficiența acestei metode este posibilă numai într-o situație în care computerele din rețea și un router conectat la un comutator controlabil. În acest caz, în cazul în care o astfel de opțiune nu va funcționa între stații de lucru și o grămadă de router-comutator împiedică de numărul NOE switch-uri sau hub-uri. Prin urmare, această metodă de soluție este adecvată numai în situația în care rețeaua este mică și poate fi un pic de upgrade, cu capul într-un singur comutator. Sau, dacă petrece o rețea mare de la zero și conecta toate firele de la calculatoarele din camera serverului.
Soluția 3. Al doilea router suplimentar
Ei bine, bine. Și ce fac cei care au la dispoziție o rețea relativ mare a cărei tentacule îmbrățișeze mai multe clădiri? Dupa un nu-brainer, care pereprovodka toate părțile acestui monstru este periculos pentru sistemul nervos al tuturor angajaților. Peste tot blocat la întâmplare switch-uri, nu ce fel de camera de server și nu vorbesc, iar router-ul este, în general, într-o cameră pentru fumători sub tavan. Este groaznic să ne imaginăm? Da, acest lucru se întâmplă tot timpul. Și pentru a nu pierde fata, si se arata ca un profesionist, trebuie să fie în măsură să rezolve problema, chiar și în astfel de condiții.
În primul rând, avem nevoie de un al doilea router. Voi lua un router de același model ca și în cazul precedent. Nepretențioasă conectați pentru a comuta toate computerele. Unul va juca rolul unui PC din rețeaua publică, iar pe de altă parte din subrețea a computerului. Comutatoarele conectați unul dintre un router care are o conexiune la Internet printr-o fibră optică (sau ADSL). Un al doilea, set router-ul opțional mai aproape de WANom subrețea și conectați la rețea, și în subrețea LANom. După toate lucrările la pornirea efectuate, pentru a continua configurarea echipamentului.
Pasul 4. Salvați și să încerce să ping primul nou router, si apoi unul dintre computerele, care se află în rețeaua publică. În primul caz, rezultatul, după cum vom vedea pozitiv. Dar, în al doilea, în nici un fel. Prin urmare, pe de o parte a rețelei globale într-un mediu de rețea, nu putem vedea.
Pasul 5. Pentru asigurarea completă că totul sa dovedit, porniți browser-ul și verificați disponibilitatea unei conexiuni la Internet. Totul funcționează. Excelent.
Astfel, am discutat trei soluții reale de lucru pentru un studiu de caz specific, care se poate confrunta cu fiecare novice și administrator mai mult sau mai puțin experimentat sistem. Este posibil să se răspundă unora dintre modalitățile de cel mai bun? Probabil că nu. Totul depinde de condițiile suplimentare stabilite în fața ta. Precum și resursele pe care le au la momentul formulării problemei.
Dacă se răcească administratorul a citit toate cărțile posibile, accesați zeci de seminarii cu privire la Cisco și are în spatele lui o mare experiență de management al rețelei, atunci ... de ce ai citit acest articol? Dar serios, în cazul în care bugetul vă permite să furculiță peste un server proxy și un firewall hardware, atunci fă-o. Personalizarea totul o dată, veți obține un bine protejat și controlat în totalitate de instrumentul de control de ieșire în rețeaua globală. Primul modul în care el este trushny.
Al doilea este potrivit pentru cei care au la dispoziție un server mai mult sau mai puțin decente cu centrul de comutare. Sau cei care tocmai au situată în jurul în dulap un comutator controlat vechi, iar rețeaua pe care difuzați este foarte mic.
A treia variantă este potrivită pentru toată lumea. Aceasta se aplică în orice situație. Dar aceasta necesită cheltuieli suplimentare pe router. Sau, în cazul în care este luat de la același cabinet decrepit, vechi, asigurați-vă că pentru a verifica dacă există un minim de 2 porturi RJ-45 și firmware sprijină posibilitatea de a desemna unul dintre ele ca WAN-interfață.
Toți prietenii. Am fost întotdeauna lovit problema. Deși conștienți de faptul că timpul dumneavoastră este cea mai valoroasa resursa. Dar băieții. Știu din experiență că este mai bine să-și petreacă un timp de 15-20 de minute pentru a obține informații valoroase. Decât o săptămână să stea pe forumuri și o lingură de linguriță de mesaje diferite pepite de informații utile. Deci, nu fi supărat. Ne vedem într-o săptămână. Toate bune și o bună stare de spirit de Anul Nou!