Локальная сеть. Проблема.

Есть рабочая группа BUX, а есть SBIT. Так необходимо сделать, что бы компьютеры из рабочей группы Сбыт не заходили в рабочую группу Бух и наоборот.

Но есть еще одно условие. В рабочей группе Бух есть сервер, а на нем общая папка. Так вот надо еще сделать так, что бы оставить доступ к этой папке.

Vitalik,

Есть рабочая группа BUX, а есть SBIT. Так необходимо сделать, что бы компьютеры из рабочей группы Сбыт не заходили в рабочую группу Бух и наоборот.

Но есть еще одно условие. В рабочей группе Бух есть сервер, а на нем общая папка. Так вот надо еще сделать так, что бы оставить доступ к этой папке.

есть коммутаторы у которых есть функция как раз для реализации подобного

создается три vlan, два обычных под твои группы, и один для сервера

между группами обмен не возможен но все могут на сервер

поговори с сетевиками

они подробно распишут

Вы еще предложите две независимые локалки построить.

Vitalik, просто назначь ip-адреса из разных сетей. Бухгалтерам 192.168.1.х, сбыту 192.168.2.х, серверу и 192.168.1.х и 192.168.2.х

Bill Humble,

Vitalik, просто назначь ip-адреса из разных сетей. Бухгалтерам 192.168.1.х, сбыту 192.168.2.х, серверу и 192.168.1.х и 192.168.2.х

полагаю вопрос стоит с точки зрения безопасности

назначение разных сетей никоим образом не мешает заходить из одной группы в другую, достаточно самостоятельно сменить адрес

adminius,

можно еще и фильтрацию виндовую заюзать...

фильтрацию на каждой машине прописать?

Bill Humble,

Вы еще предложите две независимые локалки построить.

если сеть маленькая и нет желания тратиться на управляемый коммутатор с поддержкой подобных vlan, можно и две сети построить, в сервер две карты без маршрутизации между ними и два тупых коммутатора

adminius, кнопка "Дополнительно" в свойствах TCP/IP тебя спасет.

к чему это? если про фильтрация - то мимо кассы. там только по портам. если про 2 ИР - то вообще неясно, как оно должно работать

фильтрацию на каждой машине прописать?

на всех. через политики IpSec. Создать политики и вручную ткнуть на каждой машине, заодно забирая права у юзевров... а вообще домен вас спасет. тогда ипсек можно накатить через политики всем и сразу. если кто-то что-то хочет вякнуть по поводу, что ИпСек жрот траф - дык на это я скажу, что RTFM. ИпСек не тока для шифрования можно юзать, но и для банальной фильтрации тоже. Ну а дальше дело техники +)

з.ы.: как я понял, догадаться отрубить ИпСек еще надо +) Ибо если даже у "админов" на это думалки не хватает, что уж простым смертным

adminius, именно про 2 и более ip. У меня вообще 3 штуки вписано - для локалки, VPN и интернета.

zs, полагаться в плане безопасности только на изоляцию сегментов - немного безответственно. Разграничение прав доступа к шарам как-то надежнее.

Bill Humble,

полагаться в плане безопасности только на изоляцию сегментов - немного безответственно

полностью согласен

и с одной стороны да, хорошо настроенную машину сломать слабореально

вопрос только в том что за этим надо очень внимательно следить

поэтому с

Разграничение прав доступа к шарам как-то надежнее

согласиться не могу

если нужен некий достаточный уровень безопасности при не очень больших затратах ресурсов

то идеально с большего привести в порядок машины а потом еще и разделить их (самое простое VLANами на втором уровне, а лучше ACLами на третьем уровне, но вот это действительно дорого)

adminius,

через политики IpSec

полностью согласен, самый мощный уровень безопасности будет

вот только

Создать политики и вручную ткнуть на каждой машине

опять таки нереально

создать то может и реально а вот поддерживать и отслеживать...

а слетит у юзверя в сетке винда и что? ходить к каждому переставлять с доменами каждуюю неделю?...

а слетит у юзверя в сетке винда и что? ходить к каждому переставлять с доменами каждуюю неделю?...

вообще по уму в конторах, где не хотят заморачиваться с толстыми клиентами и безопасностью оных загоняют всех в терминалы. но это по уму

Витая пара сплав или алюминий кто нибудь юзал? Я думаю на 2 квартиры им будет не критично от свича....?