Как с помощью коммутатора CISCO разделить сеть на две части

Добрый день. Сегодня мы рассмотрим ситуацию, когда нужно некоторым устройствам локальной сети запретить доступ к соседним устройствам той же сети, но при этом у нас все ПК подключены к одному коммутатору CISCO. т.е. другими словами, например, когда у нас есть отдел состоящий из четырёх ПК, один из которых «гостевой» и ему нужно ограничить сетевые запросы (отключить доступ) к остальным трём ПК. Ситуация усложняется тем что при этом у нас нет роутера, а есть только один коммутатор CISCO и выход и интернет.

Итак рассмотрим схему сети.

На первом изображении выделены ПК «основного» отдела.
«Гостевой» ПК, которому мы планируем запретить доступ в локальную сеть кроме доступа в интернет или другие сервисы
Наше коммутационное оборудование. Сам коммутатор и какой-то сервис, интернет или файловый сервер, всё что угодно под нужды клиентов сети
Итоговая схема сети, на которой отображены три ПК основных клиентов сервисов, один ПК/Ноутбук «гостевой», которому мы ограничим доступ к ПК (PC0, PC1, PC2), коммутатор CISCO и оборудование провайдера или сервер «корпоративной» сети с сервисами.

Так как же мы будем ограничивать сеть? Исходя из того, что у нас есть предлагаю «ограничивать» сеть для гостевых клиентов сети с помощью VLAN.

Почему именно так? Если мы условно разделим сеть с помощью выдачи IP адресов или маски подсети, то более ли менее подготовленный пользователь (нарушитель) легко вычислит какой IP и маску нужно поставить, что бы попасть в основную сеть. Так же он может просто прийти со своим «домашним» ноутбуком и настроить параметры сетевой карты как ему вздумается.

Что бы исключить такие проблемы, мы просто «разделим» порты коммутатора на VLAN. Но это не панацея от всех сетевых проблем которые могут быть.

Итак приступим к настройке нашего коммутатора CISCO.

Настройка коммутатора CISCO p-spb-acc-sw01

Создадим VLAN для гостевой сети. VLAN 10 — GUEST

В итоге мы получим два VLAN на коммутаторе.

  • VLAN 1 — по умолчанию на всех коммутаторах
  • VLAN 10 — для гостевой сети

Посмотреть список VLAN можно так: p-spb-acc-sw01# sh vlan

 
Switch>en
Switch#vlan database 
Switch(vlan)#vlan 10 Name GUEST

VLAN 10 added:
    Name: GUEST

Switch(vlan)#ex

APPLY completed.
Exiting....
Switch#

 
Назовём коммутатор p-spb-acc-sw01 
Switch#conf t
Switch(config)#hostname p-spb-acc-sw01
p-spb-acc-sw01(config)#

 

Настроим порты коммутатора CISCO.

  1. С Fa0/1 по Fa0/19 — VLAN 1 для клиентов обычной DATA сети
  2. С Fa0/20 по Fa0/23 — VLAN 1 для клиентов гостевой сети
  3. Fa0/24 — для устройства которое предоставляет сервисы в VLAN 1
 
p-spb-acc-sw01(config)#interface range fastEthernet0/20-23
p-spb-acc-sw01(config-if-range)#description ### GUEST ###
p-spb-acc-sw01(config-if-range)#switchport access vlan 10
p-spb-acc-sw01(config-if-range)#ex
Сохраним конфигурацию 
p-spb-acc-sw01(config)#ex
p-spb-acc-sw01#
%SYS-5-CONFIG_I: Configured from console by console

p-spb-acc-sw01#wr mem
Building configuration...
[OK]
p-spb-acc-sw01#
Итоговая конфигурация получилась следующая. 
p-spb-acc-sw01#sh run
Building configuration...

Current configuration : 1302 bytes
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname p-spb-acc-sw01
!
spanning-tree mode pvst
spanning-tree extend system-id
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
 description ### GUEST ###
 switchport access vlan 10
!
interface FastEthernet0/21
 description ### GUEST ###
 switchport access vlan 10
!
interface FastEthernet0/22
 description ### GUEST ###
 switchport access vlan 10
!
interface FastEthernet0/23
 description ### GUEST ###
 switchport access vlan 10
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
 no ip address
 shutdown
!
!
!
!
line con 0
!
line vty 0 4
 login
line vty 5 15
 login
!
!
!
!
end

p-spb-acc-sw01#

Итак мы имеем настроенный коммутатор под нашу задачу. Теперь дело осталось за малым, раздать IP адреса в нашей сети.

Например

  • для обычной сети в VLAN1 будем использовать подсеть 192.168.1.0/24
  • для гостевой сети в VLAN10 будем использовать подсеть 192.168.10.0/24

Теперь даже если клиент гостевой сети из VLAN10 назначит себе IP адрес из локальной сети LAN1 он всё равно не увидит устройства из подсети 192.168.1.0/24

Подключение к серверу производится с помощью двух сетевых подключений, одно из которых подключено к порту коммутатора CISCO в VLAN1, а другое к порту в VLAN10. В итоге клиенты получают сервис, будь то базы данных 1С, WEB, NFS и т.д. в одной локальной сети, но логически разделены на две сети. т.е. мы предоставляем доступ к сервисам серверного оборудования через разные VLAN, но при этом разграничиваем сеть на две части. Если правильно настроить сам сервер, то для него не будет большим затруднением иметь более одного IP адреса на интерфейсе.

Скачать проект для Cisco Packet Tracer

Рейтинг: 5/5 - 2 голосов

Комментарии ()