Страница 1 из 1
Изоляция групп портов
Добавлено: 13 июл 2016, 23:09
Dmitry_K
Подскажите, пожалуйста, как разделить две группы портов 2-5 и 6-12 так чтобы они не видели друг-друга, и между собой не взаимодействовали, но внутри группы- без ограничений, и при этом одно адресное пространство раздаваемое dhcp?
Сервер раздает адреса, Интернет бегает, но как изолировать группы в одном адресном- не врубился. Спасибо.
Re: CAPsMAN - повсеместное внедрение и плюшки
Добавлено: 14 июл 2016, 08:31
gmx
Если одна большая подсеть, но нужно две группы в ней, то подсеть делится маской:
например
начальный IP 192.168.1.1 маска 255.255.255.192 последний IP будет 192.168.1.126
далее
начальный IP 192.168.1.129 маска 255.255.255.192 последний IP будет 192.168.1.254
Соответственно в фаерволле указывая Scr и Dst Addres подсесть с маской 25 вы одну большую подсеть можете разбить на два сегмента, которые не будут видеть друг друга. При желании и больше сегментов можно сделать. Читайте в интернете статьи про "маску подсети".
Далее вы создаете два бриджа с ражными портами. Два DHCP, соответственно, отдельный DHCP на каждом бридже, они раздают адреса из разных диапазонов (пулов). Если в DHCP Leases задать фиксированные записи для MAC адресов всей вашей сети, то можно все сделать на одном DHCP и даже без пула.
Одно не могу понять, почему это в теме про CAPsMAN написано??? Админы перенесите в отдельную тему.
Re: CAPsMAN - повсеместное внедрение и плюшки
Добавлено: 14 июл 2016, 09:42
Dmitry_K
gmx писал(а):
Одно не могу понять, почему это в теме про CAPsMAN написано???
Благодарю за ответ. В теме про Капсман-потому, что я его и пытаюсь настроить. Четыре АР сгруппированы в одной группе портов, видеонаблюдение- в другой группе портов. Хочу, что бы каждая группа имела выход в Интернет, но не видела друг-друга.
Вариант с масками я рассматривал, но мне не очень подходит.
А если использовать возможности Switch-Port Isolation ? Или реализовать как Вы советуете бриджами, с отдельными DHCP, разным адресным пространством- и не заморачиваться? Спасибо.
Re: CAPsMAN - повсеместное внедрение и плюшки
Добавлено: 14 июл 2016, 11:32
gmx
Я все делаю всегда через бриджи. Так повелось.
Re: CAPsMAN - повсеместное внедрение и плюшки
Добавлено: 14 июл 2016, 12:13
Dmitry_K
gmx писал(а):Я все делаю всегда через бриджи. Так повелось.
Ладно, спасибо. Я знаю; чтобы задать правильный вопрос, нужно знать большую часть ответа. Я же, пока, даже сформулировать кроме как "в общем" не могу.
Не улавливаю суть. Зачем бриджами гнать через процессор когда встроенный свич и изоляция портов- в принципе решают мою задачу и не напрягают процессор. Мост между LAN-овским свичем и WAN чтобы шейперить, ограничивать, дропать и прочие файрволы- это куда ни шло. Другой вопрос, что я это практически не понимаю как сделать. За этим и пришел. А стратегию я и сам понимаю.
Еще раз спасибо.
Re: Изоляция групп портов
Добавлено: 14 июл 2016, 17:01
podarok66
Dmitry_K , без всяких оговорок предупреждаю, что подобное замусоривание темы ведет к удалению мусора и бану для сорящего.
Пока вывел в отдельную тему, рекомендую воспользоваться поиском по форуму для решения своей задачи.
vqd вопрос изоляции-разрешений при помощи фаервола расписал до предела просто и понятно. Даже я начал понимать, что фаевол не только для запрета атак на 53 порт
Re: Изоляция групп портов
Добавлено: 14 июл 2016, 22:37
Dmitry_K
podarok66 писал(а):Dmitry_K , без всяких оговорок предупреждаю, что подобное замусоривание темы ведет к удалению мусора и бану
Сперва расстыковываешь приборный и аккумуляторный, затем ставишь ПК, МАГ и УКВП, соединяешь отсеки цангой, пристыковываешь БЗО и голову, забиваешь воздух- и на качалку. Обратить внимание на отработку угла 15 и 30 градусов, крена и дифферента, засечь дистанцию выхода на активный режим. Потом купать, обдуть, задуть азот и в контейнер.
Я сейчас достаточно подробно написал "абсолютно понятную инструкцию" по сборке, проверке и приготовлению противолодочной торпеды- "Изд. 260".
Усекаете? Каждый- профессионал в своем деле. Я- не сисадмин и настройка роутеров- это игра, хобби в котором выражение "создать мост"- вообще ни о чем не говорит. Хотел помощи, а получил- общие советы. Советы- я и сам могу... Удачи!
Re: Изоляция групп портов
Добавлено: 15 июл 2016, 09:55
Vladimir22
Dmitry_K писал(а):Я- не сисадмин и настройка роутеров- это игра
значит на игру у вас есть время. вот и читайте правила игры .
Dmitry_K писал(а):Каждый- профессионал в своем
усекаем !!!!
вот и займитесь своим делом , остальнео оставте людям кто в этом понимает . а то все хотят и жать и рвать и на трубе играть ;-)
прям люди комбаины ;-)
если уж хотите - то придется искать читать , понимать , пробовать , ошибатся , начинать заново
Re: Изоляция групп портов
Добавлено: 15 июл 2016, 17:30
podarok66
Тема закрыта, как не имеющая логического продолжения.
Dmitry_K , вам я предлагаю заняться самообразованием по RouterOs, как и подавляющее большинство посетителей форума на начальном этапе использования данного оборудования. Либо, если сие занятие вам претит, нанять специалиста для настройки его за вас. Без обид, ибо термины "мост", "фаервол", "NAT", "маскарад" и еще полтора десятка таких же есть базовая терминология, априори считающаяся всеми , имеющими дело с Тиками, понимаемой. Ну как в WOW все знают, что такое вар, кайтить, инст, рога, лок, абилка, скил и т. д.
Еще раз напоминаю, что написание инструкций и FAQ'ов на этом форуме дело абсолютно добровольное. Все претензии по поводу невыполненных пожеланий и заявок я автоматически отношу к интеллектуальному вымогательству и соответственно отношусь к авторам заявок. Заявку на платные услуги по теме Микротиков (в том числе и создание инструкций) можно оставить в разделе Барахолка ветка Услуги. При любом раскладе форум не может выступать гарантом сделок и помогает лишь наладить связь.
Во избежание досужих сплетен, сам я подобных услуг не оказывал, хотя и советовал, к кому обратиться.