- Подскажите как разделить одну локалку на две независимых
- #2 Sailor Moon
- #3 tooling
- #4 Джуниор старший
- #5 Decker
- #6 =SERG=
- #7 Джуниор старший
- #8 =SERG=
- #9 Джуниор старший
- #10 dron
- #11 Джуниор старший
- Как разделить сеть на подсети через 1 интерфейс?
- Как создать сеть с большим количеством подсетей, используя функцию Multi-nets NAT на маршрутизаторе TP-Link c использованием коммутатора 3-его уровня?
Подскажите как разделить одну локалку на две независимых
- Регистрация: 03 мар 2005
- Пол: Мужчина
- Город: Калуга
Отправлено 27 октября 2013 — 21:29
Ситуация: в офисе стоит роутер DIR-320. В него подключены 3 наших компьютера напрямую, а в 4-е гнездо включен хаб (предположительно), в которые включены еще несколько компов, стоящие в соседнем офисе (один провод из роутера уходит туда, в локальной сети видны 3 наших компа и 3 «чужих», соседних). Сеть простейшая без сервера. IP раздает роутер. Проблема в том, что все компы находятся в одной сети. Т.е. соседи могут заходить к нам, так же как и мы к ним. Есть ли какой-нибудь не очень сложный способ полностью отделить наши компы от соседних? При этом кабель соседей должен остаться в нашем роутере (интернет они получают от нас). Может быть можно как-нибудь аппаратно разделить порты в роутере? Может быть нужна какая-нибудь другая модель роутера? Подскажите плиз.
«Мы не выбираем ни страну, где родимся,
ни народ, в котором родимся,
ни время, в котором родимся,
но выбираем одно: быть людьми или нелюдями».
#2 
Sailor Moon
Sailor Moon
- Регистрация: 30 июн 2004
- Пол: Мужчина
- Город: Калуга
Отправлено 27 октября 2013 — 21:36
Аппаратно можно разделить управляемым коммутатором с VLAN например. Подключаете одним проводом от роутера до коммутатора, а все компьютеры в коммутатор.
#3 tooling
- Регистрация: 24 апр 2013
- Пол: Мужчина
- Город: Калуга
Отправлено 27 октября 2013 — 21:59
#4 Джуниор старший
- Регистрация: 08 окт 2013
Отправлено 27 октября 2013 — 22:08
если роутер раздает ip вида 192.168.1.х с маской 255.255.255.0 то проще всего на ваших компах настроить адресацию вручную типа 192.168.10.х с маской 255.255.0.0 (например) на роутере маску тоже сменить на эту враги вас не увидят, но инет у них останется
#5 Decker
- Регистрация: 08 окт 2008
- Пол: Мужчина
Отправлено 27 октября 2013 — 22:13
Создать свою рабочую группу — это крайне «поверхностная» мера. Я бы сделал по другому. Покупаете еще один роутер, свой настраиваете как 192.168.1.1, соответственно ваша подсеть — 192.168.1.0/24, второй роутер настраиваете как 192.168.2.1, соответственно все «соседи» в подсети 192.168.2.0/24. WAN порт второго роутера соединяете с LAN портом вашего и настраиваете WAN порт как Static IP / DHCP. В настройках Firewall’а любого роутера прописываете запрет на доступ к 192.168.1.0/24 из 192.168.2.0/24. Все счастливы и довольны. Тот же вариант — выкидываете DIR-320, покупаете любое решение на базе Mikrotik RouterBoard. Настраиваете ту же самую схему с разделением портов. Например, 1-й порт WAN, 2,3,4 — ваш LAN, 5-й порт — соседи. Адресация — та же, ну и плюс 2 DHCP пула, для вас и для соседей. Вариант без затрат вообще — (я просто не помню можно ли DIR-320 2 IP на одном интерфейсе назначить), роутер у вас 192.168.1.1 и 192.168.2.1, адресация статическая, без DHCP, вы в одной сети, соседи в другой. Но это решение по сравнению с первыми двумя менее удобное. Самое главное это исключить потенциальную возможность доступа соседей к вам вообще. Сделать это можно по предложенным первым двум способам.
если роутер раздает ip вида 192.168.1.х с маской 255.255.255.0 то проще всего на ваших компах настроить адресацию вручную типа 192.168.10.х с маской 255.255.0.0 (например)
на роутере маску тоже сменить на эту
враги вас не увидят, но инет у них останется
И чтобы увидеть их, врагам достаточно прописать себе другой IP. Это полумера, т.е. не вариант, т.к. потенциальная возможность доступа к их подсети у врагов сохраняется.
Сообщение отредактировал Decker: 27 октября 2013 — 22:19
#6 =SERG=
- Регистрация: 03 мар 2005
- Пол: Мужчина
- Город: Калуга
Отправлено 27 октября 2013 — 22:28
И чтобы увидеть их, врагам достаточно прописать себе другой IP. Это полумера, т.е. не вариант, т.к. потенциальная возможность доступа к их подсети у врагов сохраняется.
«Враги» в данном случае- тетки-бухгалтеры. Просто у них там полная анархия с компами. Вирусы кишат и лезут оттуда на наши компы. Вариант со сменой маски был бы наилучшим наибыстрым, если он поможет от этого защититься. Никто там у них IP менять не будет и к нам специально не полезет 🙂 Но за столько подробное объяснение спасибо. Чуть позже так и сделаю.
«Мы не выбираем ни страну, где родимся,
ни народ, в котором родимся,
ни время, в котором родимся,
но выбираем одно: быть людьми или нелюдями».
#7 Джуниор старший
- Регистрация: 08 окт 2013
Отправлено 27 октября 2013 — 22:31
что значит — спасибо? спасибо на хлеб не намажешь и в стакан не нальешь а лучше накатил бы теткам антивирус
Сообщение отредактировал Джуниор старший: 27 октября 2013 — 22:32
#8 =SERG=
- Регистрация: 03 мар 2005
- Пол: Мужчина
- Город: Калуга
Отправлено 27 октября 2013 — 22:40
что значит — спасибо? спасибо на хлеб не намажешь и в стакан не нальешь
лучше накатил бы теткам антивирус
Так я ж не тебе сказал спасибо ))) Тебе я скажу «масло»! Эти тетки к нам отношения не имеют и не наши зарплаты считают Своим-то я накатил, но каждые 10 минут лезут сообщения о вирусах в расшаренных папках.
«Мы не выбираем ни страну, где родимся,
ни народ, в котором родимся,
ни время, в котором родимся,
но выбираем одно: быть людьми или нелюдями».
#9 Джуниор старший
- Регистрация: 08 окт 2013
Отправлено 27 октября 2013 — 22:42
#10 dron
- Регистрация: 25 мар 2007
- Пол: Мужчина
- Город: Калуга
Отправлено 28 октября 2013 — 18:02
Поднять в сети VLANы. Dir-320 умеет тегировать пакеты. В сети использовать DIR-100 как самый простой и дешевый коммутатор VLANs.
#11 Джуниор старший
- Регистрация: 08 окт 2013
Отправлено 28 октября 2013 — 18:05
Как разделить сеть на подсети через 1 интерфейс?
Доброго времени суток! Имееться локальная сеть с роутером Микротик Hap lite и неуправляемым свитчем в который подключены все 35 компьютер. Роутер раздается адреса на все компьютеры в одной подсети. Вопрос такой: как по средствам Микротика разделить эту сеть на 2 подсети. Возможности переключения из свитча в роутер нету.
Простой 2 комментария
А в интерфейсах надо что-то делать. И если будет +1 компьютер, как сделать что бы он подключился к определенной подсети?
Для начала нужно указать роутер шлюзом для всех подсетей. Делается это очень просто — добавляется нужный IP на существующий дефолтный бридж:
/ip address add address=192.168.1.1/24 interface=bridge add address=192.168.2.1/24 interface=bridgeТеперь компьютеры на которых ручками назначить ip из вышеуказанных подсетей, включая шлюз и днс, будут в разных подсетях. Но есть вариант назначать адреса не руками а с роутера. Для этого нужно настроить DHCP сервер.
/ip pool add name=pool1 ranges=192.168.1.100-192.168.1.254 add name=pool2 ranges=192.168.2.100-192.168.2.254Создаём 2 DHCP сервера и говорим им использовать вышеуказанные пулы
/ip dhcp-server add address-pool=pool1 disabled=no interface=bridge name=dhcp1 add address-pool=pool2 disabled=no interface=bridge name=dhcp2Описываем для каждого DHCP сервера, какие настройки он будет выдавать. В вашем случае и DNS-сервером и шлюзом является сам роутер (+ ntp сервером).
/ip dhcp-server network add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1 ntp-server=192.168.1.1 add address=192.168.2.0/24 dns-server=192.168.2.1 gateway=192.168.2.1 ntp-server=192.168.2.1Выдаем клиентам нужные адреса по макам:
/ip dhcp-server lease add address=192.168.1.15 comment=pc01 mac-address=AA:AA:AA:AA:AA:AA server=dhcp1 add address=192.168.2.77 comment=pc02 mac-address=BB:BB:BB:BB:BB:BB server=dhcp2В вашем случае на микротике уже есть дефолтный пул и dhcp сервер 192.168.88.0/24, поэтому, если вам нужен только 1 дополнительная подсеть, то нужно добавить только 1 строчку из каждого раздела (pool1 или pool2).
Как создать сеть с большим количеством подсетей, используя функцию Multi-nets NAT на маршрутизаторе TP-Link c использованием коммутатора 3-его уровня?
Дата последнего обновления: 03-28-2016 11:55:53 AM 238708
T1600G-18TS , T1600G-28TS , TL-R600VPN( V4 ) , T3700G-52TQ , T1700G-28TQ , T2600G-52TS , T2600G-18TS , T2600G-28TS , TL-R480T+ , T2600G-28SQ , T1600G-28PS , T2700G-28TQ , T2500G-10TS( V2 ) , T2600G-28MPS , T1600G-52MPS , T1600G-52PS , TL-ER6120 , TL-ER6020 , T1600G-52TS , T3700G-28TQ , TL-ER5120 , TL-ER604W , T1700X-16TS
Иногда нам может понадобиться разделить внутреннюю сеть на несколько подсетей, используя один маршрутизатор для подключения к Интернет. Однако, согласно настройкам по умолчанию, маршрутизаторы TP-Link будут отклонять пакеты, исходные IP-адреса которых находятся в различных подсетях от его сегмента LAN IP. Поэтому, чтобы добиться поставленной задачи, маршрутизатору необходимо иметь возможность транслировать (NAT) и доставлять пакеты, чьи исходные IP-адреса находятся в различных подсетях от сегмента LAN IP. Multi-nets – это функция маршрутизаторов TP-Link, которая делает это возможным. Но для того, чтобы разделить внутреннюю сеть на несколько сегментов, необходимо использовать коммутатор 3-его уровня, как “традиционный маршрутизатор”.
Ниже представлен пример построения сети multi-nets (с множеством подсетей), с использованием функции Multi-nets NAT на маршрутизаторе TP-Link с коммутатором 3-его уровня.
Три отдела компании находятся в одном здании: отдел маркетинга, отдел финансов и отдел персонала. Существуют следующие требования: