Jump to content

Помогите, филиалы разных организаций хотят безопасного соединения

studentik2004
 Share

Recommended Posts

studentik2004

studentik2004

Posted
Posted

У нас неуправляемая локальная сеть раскинута на город с выходом в Интернет по pppoe. В городе есть предприниматели с несколькими магазинами. Сейчас они хотят как-то организовать безопасный обмен данными между магазинами. Выделенные сервера под эти цели покупать они не хотят. Посоветуйте, как с ними быть? Может есть недорогое аппаратное решение, чтоб они две карабульки в своих магазинах поставили? Есть мысль им поставить DLink DI-604, а на сервере для их учетных перевести в отдельную подсеть... Но потом им будут выдаваться реальные внешние адреса и... Помогите..

Kirya

Kirya

Posted
Posted

Для начала, для идеи IX, вам придется купить как минимум управляемое оборудование, как минимум на каналах до этих магазинов.

 

ps. Магазины в неуправляемой сети ? Это круто. :)

А банкоматы так не пробовали подключать ? :)))

studentik2004

studentik2004

Posted
  • Author
Posted

Немного подробнее об оборудовании: в центральной стойке стоит 48-ми портовый 3Com гигабитный. К нему подключены 42 оптических конвертера и город за счет этого поделен на 42 райончиков, так что если в каком-нить доме вырубят свет пострадает немного абонентов... На второй стороне оптики стоит вторая половинка конвертера и управляемый свитч. Все остальное хозяйство на CNet неуправляемых. Сейчас хотим вживую посмотреть на CNet csh-800w. (Топик рядом).

 

Итак, надо заменить свитчи к которым организации подключаются на управляемые с двух на их портах прописать одинаковый VLAN тэги и убедиться, что все свитчи между ними могут VLAN тэги пропускать... Замечательно, а выход через pppoe у них будет работать?

 

На управляемом свитче стоило мне несколько портов перевести во VLAN, как они начинали общаться только между собой и все. Возможно, надо пробовать обязательно на двух свитчах...

Kirya

Kirya

Posted
Posted
На управляемом свитче стоило мне несколько портов перевести во VLAN, как они начинали общаться только между собой и все. Возможно, надо пробовать обязательно на двух свитчах...
Все правильно.

И на двух свитчах будет также.

А чтоб pppoe там работало, надо, еще ваш сервер, или чем вы там терминируете, тоже в этот влан дополнительно запихнуть. Хотя зачем, когда клиентам инет можно отдать напрямую и без pppoe, всё-равно они известны и никуда из своего влана не убегут.

zoro

zoro

Posted
Posted

если две точки пингуются то можно сделать левую подсеть, плюс на границе поставить 2 ZyWALL 2 Plus для магазинов достаточно... проверенно на своем опыте :)

builder

builder

Posted
Posted (edited)
Есть мысль им поставить DLink DI-604, а на сервере для их учетных перевести в отдельную подсеть... Но потом им будут выдаваться реальные внешние адреса и

Как вариант в неуправляемой сети. Только ставте не ниже DI-804 и объединяйте VPN-туннелями, один маршрутизатор сервером - остальные клиентами. При небольших подсетях в магазинах (1-5 компов) более чем достаточно. Вплоть до "единого сетевого окружения", т.е. и netbios можно в туннеле гонять. DI-604 могут только pptp и в данной ситуации работать НЕ будут - не тратьте деньги, тем паче, что даже pptp они могут когда WAN-ы их в одной подсети :(

Edited by builder
Vlad Karagezov, D-Link

Vlad Karagezov, D-Link

Posted
Posted
Есть мысль им поставить DLink DI-604, а на сервере для их учетных перевести в отдельную подсеть... Но потом им будут выдаваться реальные внешние адреса и
Как вариант в неуправляемой сети. Только ставте не ниже DI-804 и объединяйте VPN-туннелями, один маршрутизатор сервером - остальные клиентами. При небольших подсетях в магазинах (1-5 компов) более чем достаточно. Вплоть до "единого сетевого окружения", т.е. и netbios можно в туннеле гонять. DI-604 могут только pptp и в данной ситуации работать НЕ будут - не тратьте деньги, тем паче, что даже pptp они могут когда WAN-ы их в одной подсети :(

Присоединяюсь - в вашем случае - IPSec самое простое и быстрое по развертыванию решение. См. здесь детали:

http://www.dlink.ru/technical/faq_vpn_8.php

Как видите, все очень просто, вникать в детали даже не нужно :-)

studentik2004

studentik2004

Posted
  • Author
Posted

Организации такие жадные! D-Link DI-804HV под 2000 рублей стоит. А VLAN это иллюзия безопасности, так как сейчас хватает сетевых адаптеров, в которых можно указывать VLAN тег, а перебрать пусть даже 4К тегов желающие найдутся... Дешевле неужели ничего нет? Хотя, понятное дело, безопасность стоит денег...

baalbes

baalbes

Posted
Posted
Организации такие жадные! D-Link DI-804HV под 2000 рублей стоит. А VLAN это иллюзия безопасности, так как сейчас хватает сетевых адаптеров, в которых можно указывать VLAN тег, а перебрать пусть даже 4К тегов желающие найдутся... Дешевле неужели ничего нет? Хотя, понятное дело, безопасность стоит денег...
дороже есть:)

В этом деле 2000 рублев копейки просто.

А сколько ты собрался с них абоненки брвть?

zoro

zoro

Posted
Posted
Организации такие жадные! D-Link DI-804HV под 2000 рублей стоит. А VLAN это иллюзия безопасности, так как сейчас хватает сетевых адаптеров, в которых можно указывать VLAN тег, а перебрать пусть даже 4К тегов желающие найдутся... Дешевле неужели ничего нет? Хотя, понятное дело, безопасность стоит денег...
вы в виланах соображаете? как на НЕтранковом порту, на стороне клиента подобрать номер другова влана и при этом чтобы все работало..?

я в щоке :)

и еще 4ре тысячи для организации это не деньги, у нас зухели народ покупает, все ок, цена поболее делинка...

builder

builder

Posted
Posted
и еще 4ре тысячи для организации это не деньги, у нас зухели народ покупает, все ок, цена поболее делинка...

Не, тут даже не так, если ента организация такие деньги для этих вопросов жмет от туда надо бежать, пусть сами как-нить, и вопрос исчерпан.

Мартен

Мартен

Posted
Posted

2 штуки Linksys WRT-54Gl + прошивка openwrt + openvpn.

себестоимость пары-160-180$

для конторы это не деньги.

если жмутся, то и х.. с ними :) это не клиент

Mous_e

Mous_e

Posted
Posted

Ну если денег нет, то можно на D-Link DI-804 (по моему) - на них построить тунели

 

P.S. Все таки сеть нужно делать управляемой, а тогда влан-ами порезать немного сеть ;-) )))

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.