две логические сети в одном проводе

[Guest]

Подскажите пожалуйста не дорогое решение

 

дано - есть три сети соединенные собой через DSL модемы (LRE)

между сетями естественно свободно ходит IP

 

Необходимо на этих же проводах безопасно для всех построить еще одну IP сеть

напрашивается решение поставить на каждую точку поставить по

bsd c 3 сетевухами (сеть1 + сеть 2 + сеть пердачи данных)

 

но как то это не карасиво

 

 

может есть железные решения ?

может еще чего посоветуете ?

 

Да имеющееся железо предачи данных работает и будем считать трогать его нельзя.

[Dfyj]

поднять VPN

[Guest]

понятно что можно его поднять

 

да еще забыл еще сказать что надо что бы эти сети на концах были физически разделены. чтобы искючить возможности прослушивания ,подделок адресов и т.д

[FenechkA]

если деньги не вопрос - правильные железки и VLAN-ы

[Guest]

Подними 2 VPN и все.

[Guest]

Если "безопасно" = чтоб ваще никак не видели друг друга и не могли слушать траффик чужой, ТО:

VLAN на бошковитых коммутаторах и никакой головной боли. И не надо ничего с маршрутизацией IP мутить.

[Guest]

я тут еще почитал требования твои...

самое оптимально - коммутаторы второго уровня(свич т.е.) с поддержкой vlan. А то два роутера подними... настрой... таблицу маршрутизации состряпай...

а с бошковитыми комуКаторами привяжешь каждый мас-адресс к определенному порту коммутатора и все. подделывай его на компе - толку ноль, только по родному пустит.

[Guest]

мне пока рисуется следующая схема

 

NET - NETwork

квадратная скобка - эзернет порт

хDSL тупой удлининнитель езернета на одной единственной медной паре

ХРЕНЬ - то что я ищу - железяка позволяющая максимально просто каждой NET видеть свою вторую половину, и не видеть другой NET

... точки. ничего не значат

 

NET1 ]............................................................[ NET1

.................................................................../

...........[ХРЕНЬ]---------[xDSL]--------[ХРЕНЬ]

........../.........................................................

NET2].............................................................[NET2

 

как это решить на вланах не знаю.

с одной стороныесть свитч 3com 3300 умеющий вланы

[Guest]

Если не обязательно видеть тачки в сетевом окружении, то ставишь два роутера и на них прописываешь правила фаерволинга, что тачкам из первой сети можно видеть тачки из третьей сети, но нельзя из второй и из четвертой. И аналогично для каждой из трех других сетей.

 

Все.

[Guest]

как это решить на вланах не знаю.  

с одной стороныесть свитч 3com 3300 умеющий вланы

 

докупи второй такой же, на вторую сторону, который поддерживает вланы по IEEE802.1Q и изучи-таки как вланы делать. Знание - сила на...

[Guest]

To Repa:

роутер надо с тремя портами ? правильно ? отлично !

на до мне их значит на три точки 3 штуки.

какой купить не дорогой ?

или всетаки дешевле и проще софтофый рутер на каждую точку собрать ?

 

To pingik:

на вторую сторону мне 24 или даже 12 портов не надо ракой максимально дешевый свич согласится работать в паре ?

[sadmitry]

А "хDSL тупой удлининнитель езернета" умеет через себя тэгированные пакетики пускать ? ;-)

[Guest]

А "хDSL тупой удлининнитель езернета" умеет через себя тэгированные пакетики пускать ? ;-)

пакетики, тегированые по IEEE802.1Q - есть пакетики обыкновенного эзернета, имеют стандартный вид стандартного пакета езернет. Не вижу препятствий, чтобы они через "тупой удлинитель" не проходили.

 

А максимально дешевый - это который найдешь, с поддержкой вланов по IEEE802.1Q .

[Guest]

to sadmitry: Подверждаю слова penguin, что "тупой" конвертор будет передавать тагированые пакеты.

 

to Гость: Да роутер должен быть с тремя интерфейсами. Если у тебя три точки подключения, то посмотреть какие точки тяготеют больше между собой (где больше трафика, схема xDSL сети, линия) или делать полносвязаную схему (схема xDSL сети треугольник).

 

По поводу покупки роутеров. Личное мое предпочтение - это специализированая железка, не комп. Благо попадались в инете недорогие, сам не пользовал, порекомендовать не могу. Может кто на форуме порекомендует.... Если такая железяка будет потдерживать VLAN, 802.1q, то будет очень хорошо. Не ней можно будет строить более гибкие схемы.

 

Если есть комп старый и жаль его выкинуть, а так же есть время ковырять FreeBSD или Linux, то можно и сделать на нем роутер.

[KoloBok]

как это решить на вланах не знаю.  

с одной стороныесть свитч 3com 3300 умеющий вланы

 

докупи второй такой же, на вторую сторону, который поддерживает вланы по IEEE802.1Q и изучи-таки как вланы делать. Знание - сила на...

 

Более простое и дешевое решение: использовать port-based VLAN, например от того же 3СОМа. Если на одной тороне есть 3300, то купи у Нагибина еще один 1000 и настрой port-based VLAN. 3СОМы друг друга увидят и выдадут на порты уже нетегированные VLANы, которые будут разделены физически! Безо всяких роутеров и очень дешевое решение.

Если поменяешь все пароли на 3СОМы,то прослушать чужой VLAN будет физически невозможно 8-)

p.s. Я не знаю ни одного SDSL, который бы не пропускал тэгированные пакеты - так что решение наверняка рабочее.

[Guest]

решение на VLAN секурное,

но прожорливое в смысле трафика

весь броадкаст в пределпх VLAN

полетит по xDSL каналу ...

так что учтите....

[UglyAdmin]

А "хDSL тупой удлининнитель езернета" умеет через себя тэгированные пакетики пускать ? ;-)

Тегированные умеет. Вот с размером могут быть проблемы - тегированные пакеты имеют максимальный размер на 4 байта больше нетегированных, что не все модемы понимают. Сам на это налетел.