Dneska uz mi to moc nemysli a potreboval bych konzultovat to, jak co nejlepe (nejbezpecneji) oddelit dva segmenty site LAN. V soucasny dobe je funkcni jen jeden segment a je to takova "klasika" v konfiguraci: router (DHCP, firewall) -> switch -> pocitace. Ted tam potrebuju zakomponovat dalsich asi 5 PC (nejspise thin klientu) s tim, aby se v zadnem pripade nedostala zadna komunikace thin klientu mezi dalsi klasicky PC (a samozrejme take naopak). Switch je managovatelnej, tak jsem uvazoval o tom, ze na nem nastavit proste jen dve VLAN. Bude to stacit? Je nejake lepsi reseni?
Je lepšie riešenie, avšak to by ti bolo iste nanič, pretože predpokladám, že sa chceš cez ten router pripájať na Internet. V tom prípade nemôžeš oba segmenty fyzicky oddeliť. :)
Mě se to zdá dobré, segmenty se oddělit dají. Nemusí mezi nimi být routování, jen default gateway na internet. Eraser asi myslí, že když se dva lidé v různých segmentech domluví, tak se spojí a nezabráníš jim v tom.
Nie, ja mám na mysli nerealizovateľnosť fyzického oddelenia segmentov, tzn. žiadne fyzické prepojenie.
[QUOTE=eraser;65769]Je lepšie riešenie, avšak to by ti bolo iste nanič, pretože predpokladám, že sa chceš cez ten router pripájať na Internet. V tom prípade nemôžeš oba segmenty fyzicky oddeliť. :)[/QUOTE]
[QUOTE=pavel_p;65770]Mě se to zdá dobré, segmenty se oddělit dají. Nemusí mezi nimi být routování, jen default gateway na internet. Eraser asi myslí, že když se dva lidé v různých segmentech domluví, tak se spojí a nezabráníš jim v tom.[/QUOTE]
Ano, z obou segmentu by se melo dat pripojit na net pres onen jeden router. Takze ani konfigurace VLAN mi nepomuze?
[QUOTE=pavel_p;65770]Mě se to zdá dobré, segmenty se oddělit dají. Nemusí mezi nimi být routování, jen default gateway na internet. Eraser asi myslí, že když se dva lidé v různých segmentech domluví, tak se spojí a nezabráníš jim v tom.[/QUOTE]
Ano, z obou segmentu by se melo dat pripojit na net pres onen jeden router. Takze ani konfigurace VLAN mi nepomuze?
Mám za to že VLAN pomůže díky tomu, že na VLANech bude jiný rozsah IP. Pokud na routeru zadáš, že má na VLAN1 zahodit pakety co nepochází ze 192.168.1.0/24 a na VLAN2 má zahodit vše co nepochází z 192.168.2.0/24 a mezi těmito sítěmi neuděláš pravidla pro routování, tak to musí fungovat tak jaxi přeješ (... no aspoň doufám)
Práve Virtual LAN je vhodné riešenie, takže určite to vyskúšaj nakonfigurovať.
When using 802.1Q protocol, frames leaving a host are tagged with a VLAN ID. The VLAN ID causes the packet to be recognized only by other hosts that have adapters activated to recognize that same VLAN ID. The result is that more than one VLAN can exist completely independent of each other on single physical segment. The advantage to this is that congestion on a LAN segment can be reduced and security can be improved by isolation of the traffic.
When using 802.1Q protocol, frames leaving a host are tagged with a VLAN ID. The VLAN ID causes the packet to be recognized only by other hosts that have adapters activated to recognize that same VLAN ID. The result is that more than one VLAN can exist completely independent of each other on single physical segment. The advantage to this is that congestion on a LAN segment can be reduced and security can be improved by isolation of the traffic.
Souhlasím s těmi VLANy. Pokud se o nich chcete dozvědět více, doporučuji tuto přednášku (dole)
http://ols.vsb.cz/2005-11-10/index.php od p. Grygárka.
Video:
http://ols.vsb.cz/2005-11-10/vlan/grygarek-vlan.wmv
Prezentace:
http://ols.vsb.cz/2005-11-10/vlan/vlan.pdf
http://ols.vsb.cz/2005-11-10/index.php od p. Grygárka.
Video:
http://ols.vsb.cz/2005-11-10/vlan/grygarek-vlan.wmv
Prezentace:
http://ols.vsb.cz/2005-11-10/vlan/vlan.pdf
