Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Сети Проводные сети Руководство по решению проблем: одно подключение к Интернету - две локальные сети RSS

Руководство по решению проблем: одно подключение к Интернету - две локальные сети

Текущий рейтинг: 2.83 (проголосовало 18)
 Посетителей: 12386 | Просмотров: 15027 (сегодня 0)  Шрифт: - +
Введение

Бывают ситуации, когда полезно установить две локальные отдельные сети, которые будут иметь общее подключение к Интернету. Нам совсем недавно пришлось столкнуться с таким случаем. Компания желала обеспечить подключение к Интернету арендаторам, помимо своего выхода в Интернет. У компании в сети присутствовало множество ресурсов без особой защиты.

Вместо навязывания перехода на улучшенную модель безопасности, поскольку пользователи не желали учить какие-то пароли, мы решили подойти прагматично и разделить сети арендаторов и компании.

Раздельные LAN также обеспечивают безопасность вашего компьютера (или нескольких компьютеров) от различных "червей" и вирусов с машин ваших детей (или работников). Посмотрим, как это делается.

Подход

Наш подход, по сути, является расширением техники, подробно описанной в руководстве Устанавливаем совместный доступ к файлам и принтерам между двумя маршрутизаторами и имеет тот же эффект блокировки трафика. Различие заключается в том, что мы разделили клиентов на две группы, каждая из которых находится за своим брандмауэром, который блокирует все данные сети WAN, не запрошенные клиентом за брандмауэром.

Общий доступ к файлам и принтерам между двумя группами не работает, поскольку, хотя данные выходят за брандмауэр одной группы, они не проходят через брандмауэр другой. Впрочем, все клиенты могут свободно выходить в Интернет, пусть и через два брандмауэра.

Настройка

На Рис. 1 показана простейшая конфигурация сети, которая основана на приведённом выше примере. Она использует три маршрутизатора: один - для общего доступа в Интернет, а два - для организации двух сетей, защищённых брандмауэром.

Настройка
Рис. 1. Две отдельные LAN с общим доступом в Интернет.

Ключевой момент настройки заключается в том, что каждый маршрутизатор должен быть выделен в свою сеть класса C.

 Совет: сети класса C предоставляют, максимум, 254 IP-адреса, которые имеют одинаковые три первые октета адреса (например, 192.168.3.X) и используют маску подсети 255.255.255.0.

 Совет: вам не нужно использовать те же подсети 192.168.1.X, 192.168.2.X и 192.168.3.X, что даны в нашем примере. Для LAN вы должны просто взять два любых диапазона IP-адресов, лишь бы они принадлежали к разным подсетям.

Верхний маршрутизатор (выход в Интернет) имеет одно подключение к Интернету через порт WAN, которое раздаётся на все порты LAN. Но к этим портам вместо компьютеров мы подключили порты WAN ещё двух маршрутизаторов, названных на Рис. 1"LAN 1" и "LAN 2".

Настройка WAN для верхнего маршрутизатора зависит от требований вашего провайдера, но маршрутизаторы "LAN 1" и "LAN 2" вам придётся настроить. Вы можете даже включить на верхнем маршрутизаторе DHCP-сервер и позволить ему раздать IP-адреса на WAN-порты двух других маршрутизаторов, либо отключить его и присвоить IP-адреса вручную.

 Совет: мы рекомендуем метод DHCP, поскольку, когда вы вводите IP-адреса вручную, вам необходимо добавить информацию о DNS-сервере и шлюзе по умолчанию, которые вы можете и не знать.

Вам следует использовать обычные UTP-кабели для подсоединения маршрутизаторов. Подключайте любой обычный LAN-порт (не используйте порт "Uplink") на верхнем маршрутизаторе к порту WAN на каждом из двух нижних маршрутизаторов. При этом на обоих устройствах должен загореться индикатор "Связь/Link".

Клиенты LAN следует установить таким образом, чтобы они автоматически получали информацию об IP-адресе, или ввести адрес вручную. После подключения всех устройств, вам может понадобится выполнить функцию Исправить/Repair соединение на системах WinXP, либо использовать winipcfg или ipconfig для отмены аренды сервера DHCP и получения нового адреса, если с первой попытки в Интернет вы не вышли.

Вариации и ограничения

Хотя в примере приведены один проводной и два беспроводных маршрутизатора, вы можете использовать любую их комбинацию. Если вам нужно больше локальных сетей, просто добавьте ещё маршрутизаторы, подключая их порты WAN к портам LAN маршрутизатора, имеющего выход в Интернет.

Если вы используете несколько беспроводных маршрутизаторов, не забудьте настроить каждый из них на свой канал (1, 6 или 11 для конфигурации с тремя и 1,4,8 и 11 для конфигурации с четырьмя беспроводными сетями) и используйте разные SSID, чтобы клиенты различали сети. Для управления доступом следует использовать разные ключи WEP для каждой WLAN, причём вам может понадобиться включить управление ассоциацией по MAC-адресам.

В такую сеть легко добавить выделенные серверы, просто подключив их к маршрутизатору с выходом в Интернет и перенаправив соответствующий порт на IP-адрес сервера. Туда же вы можете поместить компьютер для общего доступа к файлам и принтерам, поскольку он будет достижим для компьютеров на всех локальных сетях (но не наоборот). Если вы не желаете осуществлять общий доступ к файлам и принтерам на компьютерах, подключённых к верхнему маршрутизатору, отключите соответствующую службу или защитите доступ паролем.

 Совет: общие файловые ресурсы и принтеры на компьютерах, вынесенных в сегмент сети верхнего маршрутизатора, не будут видны в сетевом окружении компьютеров, подключённых к любому из маршрутизаторов "LAN". Однако к ним можно будет добраться из машин "LAN" по IP-адресу.

Всё имеет свою цену, и недостатком подобной конфигурации является сложность в работе с интернет-службами, которые открывают соединение со стороны Интернета (то есть расположение интернет-серверов внутри сети). Любой входящий трафик требует открытия "дыр" в двух брандмауэров, что будет довольно непросто по причине наличия NAT.

В зависимости от ваших нужд, вы можете достичь успеха, открыв нужные порты на маршрутизаторе с выходом в Интернет и на маршрутизаторе "LAN", к которому подключён компьютер со службой. Помните, что, включая перенаправление портов на маршрутизаторе с выходом в Интернет, вам следует указывать IP-адрес WAN соответствующего маршрутизатора "LAN", а не IP-адрес клиента. А уже осуществляя перенаправление портов на маршрутизаторе "LAN", вы будете указывать IP-адрес непосредственно клиента.

Иcточник: http://toms-hardware.ru/  •  Опубликована: 28.01.2005
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.