Jump to content
Калькуляторы

Задача с конфигурацией Cisco оборудования Построение сети

Привет народ, это repost...

 

Все наверно просто.....но я не совсем уверен как это сделать лучше, пожалуйста, посоветуйте.

На заводе есть отдел со своей сетью не присоедененный к остальной внутренней сети. В ней есть маршрутизатор и пару свичей. Возможно ли дать доступ к сети этого отдела извне работникам из других филиалов, при этом сохраняя сетевую безопасность, т.е. доступ только избранным работникам.

 

Спасибо заранее,

Евгений

 

RichardsonTX_LAB_VPN_Design.zip

Share this post


Link to post
Share on other sites

Можно, конечно. Решений море разного уровня. Но все они подразумевают какое-либо присоединение к сети :).

Если есть строгое требование (в силу каких-либо регламентирующих документов) физически отделенной сети - работать не будет.

 

Иначе - озвучьте бюджет, скорости, требования к шифрованию (надо ли, стойкости его) и что-то предложат.

 

Основная проблема сейчас в законодательстве по применении устройств с аппаратным стойким шифрованием.

Share this post


Link to post
Share on other sites

Возможно. Нужен межсетевой экран и VPN-концентратор, либо обе функции на одном устройстве. Есть законодательная проблема со стойким шифрованием (все что лучше DES). Такое оборудование должно иметь сертификат ФСБ. Поэтому либо нужно покупать отечественные "поделки", либо серая поставка, либо ввозить/покупать как будто оно без шифрования а потом на месте апгрейдить софт.

Это при условии, если вы в РФ конечно.

Share this post


Link to post
Share on other sites

Мало того, если вы возьмёте маршрутизаторы 29-ой, то на них не получится использовать шифрование в обход ФСБ, т.к. вам просто не продадут нужную лицензию. Поэтому, либо закупать оборудование, на которых можно установить старые версии IOS и незаконно их использовать, либо использовать софтовые решения на PC-платформе типа openvpn. Избранность будете обеспечивать путём выдачи/аннулирования сертификатов.

Share this post


Link to post
Share on other sites

Народ, спасибо всем за участие! К счастью, не должен беспокоиться о регуляциях РФ. К сожалению, бюджета ноль, потому ни firewall ни VPN Concentrator установить не получится, зато требования довольно просты: нужно дать доступ в сеть лабаратории для презентации оборудования (в основном рабочим) и, в тоже время, не выпускать никаких пакетов изнутри.

 

Share this post


Link to post
Share on other sites

С таким бюджетом хорошего решения вам не построить :). Да и дать доступ в сеть - понятия могут быть разные.

В общем случае трафик будет 2-направленный, поэтому если "не выпускать никаких пакетов из сети" сервисы работать не будут.

 

Для Вашего случая, с минимальным бюджетом, я бы предложил использовать VPN соединения с авторизацией.

Может быть приемлемым использования существующего сервера/компьютера со второй сетевой картой, и умеющего поднимать VPN, которая включена в основную сеть. И фильтрами разрешить пакеты только и исключительно в данному хосту и только для VPN. А уж из VPN сессий - ко внутренней сети. Можно ставить свои правила для каждого соединения/пользователя.

Это может быть и windows системы и юникоподобные, от ваших способностей.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this