Перейти к содержимому
Калькуляторы

Разграничение доступа между устройствами в сети

День добрый.
1. Скорее всего немного неверно отобразил вопрос в заголовке. В администрировании сети новичок, прошу не пинать сильно. 
2. Используемое оборудование:  Mikrotik CRS328
3. Сеть состоит из 3 микротиков соединенных между собой оптикой и один сервер в виде обычного ПК.
4. На каждый микротик приходит 3-4 кабеля от лифтов, 3-4 кабеля от вентмашин, 3-4 кабеля от иного, разностороннего оборудования. 

Задача:
1. Лифты должны находиться в своем диапазоне статических IP адресов

2. Вентиляция должна находится в своем диапазоне статических IP адресов

3. Разностороннее оборудование должно находится в своем диапазоне, так же, статических IP адресов. 

4. ПК должен уметь общаться со всеми подсетями. Т.е. получать данные (используется OPC сервер) и от лифтов, и от вентиляции и от сторонних агрегатов.

Т.е. грубо говоря, получаем 3 сегмента сети, в котором "живут" устройства и между собой общаются. 

На текущий момент просто объединил в bridge по несколько портов на каждом коммутаторе. Но смотрю в сторону VLAN и мне эта идея кажется более правильной. 

Проблема: 

1. Вчера только поставили микротики. Вижу их в первый раз. 

 

Вопросы:
1. Bridge? VLAN? Что лучше использовать для моей задачи? Если можно, с пояснениями по реализации. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Лифты остановятся. Вентиляция сломается. Люди пострадают. Не ставьте Микротик!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 часов назад, VolanD666 сказал:

Я бы сделал VRFами

А точнее?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Смотрите, какая сетевая карта в вашем "сервере". Если это что-то нормальное, на базе Intel или Broadcom, то делаете VLAN, порт до сервера делаете членами всех VLAN, с помощью утилиты от производителя сети (Intel PROSet/Broadcom Control Suite, если ПК с Windows) настраиваете эти VLAN на сервере. У вас в сервере получится несколько виртуальных сетевых адаптеров, которым присвоите адреса из диапазона соответствующих VLAN, благодаря чему сервер будет видеть все VLAN, а они друг друга видеть не будут.  

 

Если же в "сервере" типовое гуано вроде Realtek или Atheros, то настроить VLAN на сервере, конечно, можно, но лучше не связываться. Вам тогда придется поднять систему на устройстве Mikrotik, к которому подключен сервер, с SWOS до RouterOS и делать маршрутизацию и межсетевой экран между VLAN для сервера. Если вы впервые сталкиваетесь с Mikrotik, вам лучше привлечь на помощь специалиста на месте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нужно больше микротиков!

 

ИМХО поставить перед ПС роутер(можно и на граничащем коммутаторе собрать L3 я бы так делать не стал)

Все сети разнести по VLAN на коммутаторах завести все эти вланы в маршрутизатор на каждом влане добавить IP,  для килентов этот маршутизатор сделать как шлюз по умолчанию.

А дальше маршутизация и фаерволы возможно да же "VRF". 

 

Ну или как сказал jffulcrum если сетевка поддерживает VLAN то возникает  проблема с ПК, на этом сервере нужно собирать нат или маршрутизацию. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 hours ago, TheUser said:

Лифты остановятся. Вентиляция сломается. Люди пострадают. Не ставьте Микротик!

Не пугайте народ, просто нужно все продублировать. Еще несколько микротиков никогда не помешают.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, jffulcrum сказал:

Смотрите, какая сетевая карта в вашем "сервере". Если это что-то нормальное, на базе Intel или Broadcom, то делаете VLAN, порт до сервера делаете членами всех VLAN, с помощью утилиты от производителя сети (Intel PROSet/Broadcom Control Suite, если ПК с Windows) настраиваете эти VLAN на сервере. У вас в сервере получится несколько виртуальных сетевых адаптеров, которым присвоите адреса из диапазона соответствующих VLAN, благодаря чему сервер будет видеть все VLAN, а они друг друга видеть не будут.  

 

Если же в "сервере" типовое гуано вроде Realtek или Atheros, то настроить VLAN на сервере, конечно, можно, но лучше не связываться. Вам тогда придется поднять систему на устройстве Mikrotik, к которому подключен сервер, с SWOS до RouterOS и делать маршрутизацию и межсетевой экран между VLAN для сервера. Если вы впервые сталкиваетесь с Mikrotik, вам лучше привлечь на помощь специалиста на месте.

На счет интерфейса - спасибо за мысль. Надо посмотреть. По реализации - спасибо! 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.