Jump to content

Разграничение доступа между устройствами в сети

p001p
 Share

Recommended Posts

p001p

p001p

Posted
Posted

День добрый.
1. Скорее всего немного неверно отобразил вопрос в заголовке. В администрировании сети новичок, прошу не пинать сильно. 
2. Используемое оборудование:  Mikrotik CRS328
3. Сеть состоит из 3 микротиков соединенных между собой оптикой и один сервер в виде обычного ПК.
4. На каждый микротик приходит 3-4 кабеля от лифтов, 3-4 кабеля от вентмашин, 3-4 кабеля от иного, разностороннего оборудования. 

Задача:
1. Лифты должны находиться в своем диапазоне статических IP адресов

2. Вентиляция должна находится в своем диапазоне статических IP адресов

3. Разностороннее оборудование должно находится в своем диапазоне, так же, статических IP адресов. 

4. ПК должен уметь общаться со всеми подсетями. Т.е. получать данные (используется OPC сервер) и от лифтов, и от вентиляции и от сторонних агрегатов.

Т.е. грубо говоря, получаем 3 сегмента сети, в котором "живут" устройства и между собой общаются. 

На текущий момент просто объединил в bridge по несколько портов на каждом коммутаторе. Но смотрю в сторону VLAN и мне эта идея кажется более правильной. 

Проблема: 

1. Вчера только поставили микротики. Вижу их в первый раз. 

 

Вопросы:
1. Bridge? VLAN? Что лучше использовать для моей задачи? Если можно, с пояснениями по реализации. 

jffulcrum

jffulcrum

Posted
Posted

Смотрите, какая сетевая карта в вашем "сервере". Если это что-то нормальное, на базе Intel или Broadcom, то делаете VLAN, порт до сервера делаете членами всех VLAN, с помощью утилиты от производителя сети (Intel PROSet/Broadcom Control Suite, если ПК с Windows) настраиваете эти VLAN на сервере. У вас в сервере получится несколько виртуальных сетевых адаптеров, которым присвоите адреса из диапазона соответствующих VLAN, благодаря чему сервер будет видеть все VLAN, а они друг друга видеть не будут.  

 

Если же в "сервере" типовое гуано вроде Realtek или Atheros, то настроить VLAN на сервере, конечно, можно, но лучше не связываться. Вам тогда придется поднять систему на устройстве Mikrotik, к которому подключен сервер, с SWOS до RouterOS и делать маршрутизацию и межсетевой экран между VLAN для сервера. Если вы впервые сталкиваетесь с Mikrotik, вам лучше привлечь на помощь специалиста на месте.

pingz

pingz

Posted
Posted

Нужно больше микротиков!

 

ИМХО поставить перед ПС роутер(можно и на граничащем коммутаторе собрать L3 я бы так делать не стал)

Все сети разнести по VLAN на коммутаторах завести все эти вланы в маршрутизатор на каждом влане добавить IP,  для килентов этот маршутизатор сделать как шлюз по умолчанию.

А дальше маршутизация и фаерволы возможно да же "VRF". 

 

Ну или как сказал jffulcrum если сетевка поддерживает VLAN то возникает  проблема с ПК, на этом сервере нужно собирать нат или маршрутизацию. 

McSea

McSea

Posted
Posted
7 hours ago, TheUser said:

Лифты остановятся. Вентиляция сломается. Люди пострадают. Не ставьте Микротик!

Не пугайте народ, просто нужно все продублировать. Еще несколько микротиков никогда не помешают.

 

p001p

p001p

Posted
  • Author
Posted
2 часа назад, jffulcrum сказал:

Смотрите, какая сетевая карта в вашем "сервере". Если это что-то нормальное, на базе Intel или Broadcom, то делаете VLAN, порт до сервера делаете членами всех VLAN, с помощью утилиты от производителя сети (Intel PROSet/Broadcom Control Suite, если ПК с Windows) настраиваете эти VLAN на сервере. У вас в сервере получится несколько виртуальных сетевых адаптеров, которым присвоите адреса из диапазона соответствующих VLAN, благодаря чему сервер будет видеть все VLAN, а они друг друга видеть не будут.  

 

Если же в "сервере" типовое гуано вроде Realtek или Atheros, то настроить VLAN на сервере, конечно, можно, но лучше не связываться. Вам тогда придется поднять систему на устройстве Mikrotik, к которому подключен сервер, с SWOS до RouterOS и делать маршрутизацию и межсетевой экран между VLAN для сервера. Если вы впервые сталкиваетесь с Mikrotik, вам лучше привлечь на помощь специалиста на месте.

На счет интерфейса - спасибо за мысль. Надо посмотреть. По реализации - спасибо! 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.