3 fizycznie oddzielone od siebie sieci
Zmodyfikowałem wcześniejszą topologie, powyrzucałem niepotrzebne urzadzenia.
W ramach tej topologii sieci, w ktorej routing miedzy vlanami robi router na patyku
chciałbym, aby dostep do serwera mieli tylko uzytkownicy z vlan 20, ponadto aby uzytkownicy vlan 20 mieli dostep takze do internetu.
Poostałe vlany:
vlan 50 - tylko admin moze ingerować w sieć ( inne sieci ich nie widza) , maja tylko dostep do neta
vlan 100- nikt ich nie widzi maja dostep do neta ( calkiem odseparowani)
vlan 40 - siec bezprzewodowa w ktorej sa acces pointy, (maja dostep do internetu) odseparowane całkowicie od vlan 20
vlan 66 -zarzadzalny dla admina, rowniez on przenosi trunk,
Czy takie rozplanowania vlanow to dobry pomysł aby osiągnąc powyższe założenia??
Oczywiscie dodam jeszcze aclisty, tylko nie chce sie zamotac jezeli mam złą koncepcje, poprostu może od złej strony na to patrze.
W ramach tej topologii sieci, w ktorej routing miedzy vlanami robi router na patyku
chciałbym, aby dostep do serwera mieli tylko uzytkownicy z vlan 20, ponadto aby uzytkownicy vlan 20 mieli dostep takze do internetu.
Poostałe vlany:
vlan 50 - tylko admin moze ingerować w sieć ( inne sieci ich nie widza) , maja tylko dostep do neta
vlan 100- nikt ich nie widzi maja dostep do neta ( calkiem odseparowani)
vlan 40 - siec bezprzewodowa w ktorej sa acces pointy, (maja dostep do internetu) odseparowane całkowicie od vlan 20
vlan 66 -zarzadzalny dla admina, rowniez on przenosi trunk,
Czy takie rozplanowania vlanow to dobry pomysł aby osiągnąc powyższe założenia??
Oczywiscie dodam jeszcze aclisty, tylko nie chce sie zamotac jezeli mam złą koncepcje, poprostu może od złej strony na to patrze.
Jak, dobrze skonfiguruje w.g powyzszego schematu to wtedy dodam redundancje laczy.
vlan 20 dostep do neta - tutaj miało byc : kto jest w vlan 20 to ma tez dostep do internetu
P.S i wlasnie konfigurujac w.g tego schematu napotkalem trudność, mianowicie jak zaadresowac port routera na Parterze Budynku IA , ktory ma obslugowac vlan 100, biorac pod uwage, ze adresacja jest: vlan 10 - 192.168.10.x itp
router na patyku - czyli routing pomiedzy vlanami przy uzyciu jednego fizycznego lacza ( kilku laczy logicznych)Dziwnie rzucają się w oczy określenia na diagramie: "router na patyku", "vlan 20 dostep do neta", "do serwera dostęp tylko..."
vlan 20 dostep do neta - tutaj miało byc : kto jest w vlan 20 to ma tez dostep do internetu
P.S i wlasnie konfigurujac w.g tego schematu napotkalem trudność, mianowicie jak zaadresowac port routera na Parterze Budynku IA , ktory ma obslugowac vlan 100, biorac pod uwage, ze adresacja jest: vlan 10 - 192.168.10.x itp
Jaką funkcje pełnią te akcesspointy i najbliższe nim routery ? To jest sieć bezprzewodowa wifi (bezprzewodowy dostęp do internetu) czy połączenia międzybudynkami ?
Jeśli chodzi o wifi to taka podsieć może być przeciągnięta jako vlan aż do routera szkieletowego/brzegowego (takiego gdzie jest robiony nat). Może też być taka podsieć bezpośrednia podłączona do osobnego portu na routerze szkieletowym na osobnym linku np światłowodzie.
Jeśli chodzi o wifi to taka podsieć może być przeciągnięta jako vlan aż do routera szkieletowego/brzegowego (takiego gdzie jest robiony nat). Może też być taka podsieć bezpośrednia podłączona do osobnego portu na routerze szkieletowym na osobnym linku np światłowodzie.
routery odseparowywaly siec pacjentow i zarzadu , do accespointów lacza sie urzadzenia mobilne bezprzewodowo.
Tak to jest siec bezprzewodowa dla vlan 50 i 40
Tylko vlan 100 kardy maja lacze po kablu
Patrzac na te topologie, lepiej jest odrazu poloczyc siec Kadry vlan 100 bezposrednio po kablu z r brzegowym? Chodzi mi o kwestie bezpieczenstwa aby ta siec byla odizolowana od reszty. Polaczylem do siwtcha na parterze poniewaz tam tez znajduja sie kadry, jednak jezeli jest lepiej pociagnac wprost do routera te 50m skretki do kadr?
Te wszystkie zalozenia opieraja sie na wymaganiach placowki medycznej czyli restrykcyjne odseparowanie od sieci wewnetrznej( ktora defacto jest przeznaczona tylko dla wybranych komputerow pracownikow szpitala) ( VLAN 20)
Tak to jest siec bezprzewodowa dla vlan 50 i 40
Tylko vlan 100 kardy maja lacze po kablu
Patrzac na te topologie, lepiej jest odrazu poloczyc siec Kadry vlan 100 bezposrednio po kablu z r brzegowym? Chodzi mi o kwestie bezpieczenstwa aby ta siec byla odizolowana od reszty. Polaczylem do siwtcha na parterze poniewaz tam tez znajduja sie kadry, jednak jezeli jest lepiej pociagnac wprost do routera te 50m skretki do kadr?
Te wszystkie zalozenia opieraja sie na wymaganiach placowki medycznej czyli restrykcyjne odseparowanie od sieci wewnetrznej( ktora defacto jest przeznaczona tylko dla wybranych komputerow pracownikow szpitala) ( VLAN 20)
O ile są sprzyjające warunki i podsieć można łatwo fizycznie wyodrębnić z sieci a także jest wolny kabel, akceptowalna odległość, wolny port na routerze szkieletowym/brzegowym to taką podsieć można bezpośrednio podłączyć do portu na ruterze. W innym przypadku czyli najczęściej podsieć tagujemy jako vlan, przepychamy vlan przez całą sieć i wystawiamy interface L3 na urządzeniu które ma najlepsze możliwości pod względem bezpieczeństwa tj filtrowanie - acl, zbieranie logów, dodatkowe usługi typu ids, ips, nat itp itd.macbaz pisze:Patrzac na te topologie, lepiej jest odrazu poloczyc siec Kadry vlan 100 bezposrednio po kablu z r brzegowym? Chodzi mi o kwestie bezpieczenstwa aby ta siec byla odizolowana od reszty. Polaczylem do siwtcha na parterze poniewaz tam tez znajduja sie kadry, jednak jezeli jest lepiej pociagnac wprost do routera te 50m skretki do kadr?
Te wszystkie zalozenia opieraja sie na wymaganiach placowki medycznej czyli restrykcyjne odseparowanie od sieci wewnetrznej( ktora defacto jest przeznaczona tylko dla wybranych komputerow pracownikow szpitala) ( VLAN 20)
Praktycznie więc logiczne separowanie podsieci osiąga się przez dedykoway vlan i acl. Moim zdaniem dodawanie routera tylko na potrzeby 1 vlanu jest zbędne. Śieć dla placówki medycznej to jednak nie sieć o faktycznie szczególnie restrykcyjnych wymaganich bezpieczeństwa np o charakterze militarnym.