Как с помощью коммутатора CISCO разделить сеть на две части
Добрый день. Сегодня мы рассмотрим ситуацию, когда нужно некоторым устройствам локальной сети запретить доступ к соседним устройствам той же сети, но при этом у нас все ПК подключены к одному коммутатору CISCO. т.е. другими словами, например, когда у нас есть отдел состоящий из четырёх ПК, один из которых «гостевой» и ему нужно ограничить сетевые запросы (отключить доступ) к остальным трём ПК. Ситуация усложняется тем что при этом у нас нет роутера, а есть только один коммутатор CISCO и выход и интернет.
Итак рассмотрим схему сети.
Так как же мы будем ограничивать сеть? Исходя из того, что у нас есть предлагаю «ограничивать» сеть для гостевых клиентов сети с помощью VLAN.
Почему именно так? Если мы условно разделим сеть с помощью выдачи IP адресов или маски подсети, то более ли менее подготовленный пользователь (нарушитель) легко вычислит какой IP и маску нужно поставить, что бы попасть в основную сеть. Так же он может просто прийти со своим «домашним» ноутбуком и настроить параметры сетевой карты как ему вздумается.
Что бы исключить такие проблемы, мы просто «разделим» порты коммутатора на VLAN. Но это не панацея от всех сетевых проблем которые могут быть.
Итак приступим к настройке нашего коммутатора CISCO.
Настройка коммутатора CISCO | p-spb-acc-sw01 |
---|---|
Создадим VLAN для гостевой сети. VLAN 10 — GUEST В итоге мы получим два VLAN на коммутаторе.
Посмотреть список VLAN можно так: p-spb-acc-sw01# sh vlan |
|
Назовём коммутатор p-spb-acc-sw01 |
|
Настроим порты коммутатора CISCO.
|
|
Сохраним конфигурацию |
|
Итоговая конфигурация получилась следующая. |
|
Итак мы имеем настроенный коммутатор под нашу задачу. Теперь дело осталось за малым, раздать IP адреса в нашей сети.
Например
- для обычной сети в VLAN1 будем использовать подсеть 192.168.1.0/24
- для гостевой сети в VLAN10 будем использовать подсеть 192.168.10.0/24
Теперь даже если клиент гостевой сети из VLAN10 назначит себе IP адрес из локальной сети LAN1 он всё равно не увидит устройства из подсети 192.168.1.0/24
Подключение к серверу производится с помощью двух сетевых подключений, одно из которых подключено к порту коммутатора CISCO в VLAN1, а другое к порту в VLAN10. В итоге клиенты получают сервис, будь то базы данных 1С, WEB, NFS и т.д. в одной локальной сети, но логически разделены на две сети. т.е. мы предоставляем доступ к сервисам серверного оборудования через разные VLAN, но при этом разграничиваем сеть на две части. Если правильно настроить сам сервер, то для него не будет большим затруднением иметь более одного IP адреса на интерфейсе.
Скачать проект для Cisco Packet Tracer
Комментарии ()