1 обычный неуправляемый свич на 2 группы компов
Модераторы: Al_lexx, Sharp, ionika, Happy_MAN, 0xFF, Atom, Serega S.U.
1 обычный неуправляемый свич на 2 группы компов
Вот такой глупый чисто теоретический вопрос:
Можно на одном обычном неуправляемом свиче сделать две разные независимые рабочие группы компов с разными масками статических IP, без всяких VPN или глючить будет? Как в этом случае быть с Обозревателем сети? Или таки два свича надо.
Можно на одном обычном неуправляемом свиче сделать две разные независимые рабочие группы компов с разными масками статических IP, без всяких VPN или глючить будет? Как в этом случае быть с Обозревателем сети? Или таки два свича надо.
Глупый пингвин робко прячет, умный - смело достаёт...
Мне вот с теоретическим обоснованием хотелось бы, а не так, априори. Это я так понимаю, что на каком-то из уровней модели OSI рассматривать/копать надо? С точки зрения нижнего физического уровня, вроде должно работать?Al_lexx писал(а):Скорее всего нет.
Вот на хоботе http://forum.ixbt.com/topic.cgi?id=7:35160 нашёл, что вроде бы можно так делать, только надо меры "хитрозамудрёные" принимать, чтобы из одной группы в другую залезть нельзя было.
Глупый пингвин робко прячет, умный - смело достаёт...
Честно скажу, что совершенно не понимаю, как можно управлять неуправляемым свичем.
Нет, бывает, что у них есть rs232, для простейшей конфигурации (ремап портов, свой ац-пи), но и всё. Да и то редко.
Я же писАл, что неуправляемый - тот же хаб, с той разницей, что их можно ставить много, без риска, что сеть встанет колом. Других достоинств у неупр свичей нет.
Я бы иначе поставил вопрос: стоимость современного управляемого свича, на 100мбит -> к нулю. Ну оч дешево. Зачем сверлить себе моск, когда всё решается воздержанием от пива в течении недели?;)
Тем более (и очевидно), что не домашнее задание, но...
Нет, бывает, что у них есть rs232, для простейшей конфигурации (ремап портов, свой ац-пи), но и всё. Да и то редко.
Я же писАл, что неуправляемый - тот же хаб, с той разницей, что их можно ставить много, без риска, что сеть встанет колом. Других достоинств у неупр свичей нет.
Я бы иначе поставил вопрос: стоимость современного управляемого свича, на 100мбит -> к нулю. Ну оч дешево. Зачем сверлить себе моск, когда всё решается воздержанием от пива в течении недели?;)
Тем более (и очевидно), что не домашнее задание, но...
- Sharp
- Сетевых дел мастер
- Сообщения: 1217
- Зарегистрирован: 28 июн 2006, 21:11
- Откуда: Москва, Восток (дело тонкое :)) )
Можно. Но если вы хотите чтоб разные группы не лазали друг к другу, придется настраивать клиентские машины. Если вы просто укажите разные раб. группы - то каждый из членов, будет видеть "только своих", но нажав на ссылочку "Вся сеть" в "Сетевом окружении", пользователь ессно увидит все группы. Чтобы он не смог попасть на компьютеры "чужой" группы, надо в на машинах "чужой" группы запрещать фаерволлом соединения от ненужных IP.
Небольшой финт ушами можно сделать таким образом - если сеть автономная, т.е. без шлюза, то назначаем одной рабочей группе IP из одной подсети, скажем 192.168.1.0/24, а другой - 192.168.2.0/24. Насколько я помню windows ищет себе подобных только в пределах одной подсети - соответственно рабочая группа у всех будет высвечиваться только нужная. При этом даже зная IP из другой группы попасть на него будет нельзя, ибо нет шлюза. Правда при этом остается одна дырка - если пользователю разрешено менять IP на машине - он сможет бродить по всем группам (для предотвращения этого придется настраивать фаерволл на каждой машине).
З.Ы. Я не понял про теоретическое обоснование - обычный неуправляемый свитч знает только про MAC адреса и коммутирует пакеты на основании своей таблицы MAC адресов - что до IP, рабочих груп, протокола SMB - ему все это до лампочки. Так что если у всех подключенных машин разные MAC - что и должно быть по умолчанию - то пакеты между ними коммутироваться будут. Что до уровней L3-L7 - это зависит от настроек машин
Небольшой финт ушами можно сделать таким образом - если сеть автономная, т.е. без шлюза, то назначаем одной рабочей группе IP из одной подсети, скажем 192.168.1.0/24, а другой - 192.168.2.0/24. Насколько я помню windows ищет себе подобных только в пределах одной подсети - соответственно рабочая группа у всех будет высвечиваться только нужная. При этом даже зная IP из другой группы попасть на него будет нельзя, ибо нет шлюза. Правда при этом остается одна дырка - если пользователю разрешено менять IP на машине - он сможет бродить по всем группам (для предотвращения этого придется настраивать фаерволл на каждой машине).
З.Ы. Я не понял про теоретическое обоснование - обычный неуправляемый свитч знает только про MAC адреса и коммутирует пакеты на основании своей таблицы MAC адресов - что до IP, рабочих груп, протокола SMB - ему все это до лампочки. Так что если у всех подключенных машин разные MAC - что и должно быть по умолчанию - то пакеты между ними коммутироваться будут. Что до уровней L3-L7 - это зависит от настроек машин
Ну там, как я почитал вкользь на http://forum.ixbt.com/topic.cgi?id=7:35160, даже без фаеров, средствами самой винды много разных способов "позапрещать", особенно со SCOPE ID интересный метод.Sharp писал(а):надо в на машинах "чужой" группы запрещать фаерволлом соединения от ненужных IP
Ну, эт само собой. Всего лишь не надо давать юзерам админские права.Sharp писал(а):Правда при этом остается одна дырка - если пользователю разрешено менять IP на машине - он сможет бродить по всем группам (для предотвращения этого придется настраивать фаерволл на каждой машине).
Во времена 98-й винды я кое-где практиковал для юзерской учётки метод закрывания входа в настройки сети и принтеров путём модификации определённых ключиков реестра (запрет на вход в винду без ввода пароля, естественно, тоже настраивался).
Сенькс за просвещение - может и пригодится где "на свичах съэкономить"Sharp писал(а):обычный неуправляемый свитч знает только про MAC адреса и коммутирует пакеты на основании своей таблицы MAC адресов - что до IP, рабочих груп, протокола SMB - ему все это до лампочки.
А разве нельзя через редактирование реестра убрать эту ссылку или запретить нажимать на неё?Sharp писал(а):нажав на ссылочку "Вся сеть" в "Сетевом окружении", пользователь ессно увидит все группы.
А вот не смогут ли юзеры по IP ходить вместо имени?
Глупый пингвин робко прячет, умный - смело достаёт...