Здравствуйте, уважаемые эксперты!

Мне необходимо сделать сеть с доступом в интернет в учебном заведении.
Как ее создать -я не знаю. Предполагаю, что это должна быть сеть, состоящая из следующий сегментов (подсетей):

1) Начальство - 5 ПК, принтеры, общие файлы
2)Бухгалтерия - 5 ПК, принтеры, общие файлы
3)Отдел кадров - 3 ПК, принтеры, общие файлы
4)Преподаватели - 25 ПК, принтеры, общие файлы
5)Учебная часть - 25 ПК, принтеры, общие файлы.

Получается, что сеть должна состоять из 5 сегментов (подсетей), причем, начальство может иметь доступ к ПК и ресурсам всех ниже стоящих подразделений (Бухгалтерия, отдел кадров, преподаватели, учебная часть). Бухгалтерия имеет доступ только в кадры. Кадры работают сами по себе и никому больше доступа не имеют. Преподаватели только к учебной части. Учебная часть - никому доступа не имеет. Должен быть общий доступ к интернет.

Вопрос первый: Как такую схему реальзовать?

Я думаю, что здесь нужно иметь сервер с Win2003, настроенный как маршутизатор и имеющий доп. интерфейс для подключения к интернет.

Провел эксперимент:

1) Настроил один ПК с двумя картами (192.168.1.1 и 192.168.10.1) как маршутизатор.
2) Подклучил к каждой карточке по ПК (192.168.1.2 и 192.168.10.2)

2) Прописал маршрут на первой карточке:

сеть 192.168.10.0
маска 255.255.255.0
шлюз 192.168.10.1

Компы стали друг друга пинговать через маршутизатор. Но в сетевом окружении друг друга не видят.
Но если задать поиск ПК по имени (через меню кнопки "ПУСК"-"Поиск")- они находят друг друга и имеют доступ к ресурсам друг друга.

В связи с этим ваозникает второй вопрос - почему прописал маршрут один, по идее, первый ПК должен видеть второй ПК, а второй ПК не должен видеть первый, пока я маршрут не пропишу для него, но он тоже видит первый ПК и имеет доступ к его ресурсам?

Как сделать так, чтобы второй ПК отображался в сетевом окружении первого ПК (второй ПК не должен видеть первый)?

Может быть, для реализации данной сети необходим программируемый коммутатор? Если имеет смысл применять его, то что в нем настраивать?

так как ты хочешь реализовать невозможно(учитывая что используеться ПО от МС). и это уже обсуждалось на этом фороме.

чтоб узлы отображались в "сетевом окружении" они должны быть в одной IP сети. а следовательно все видны всем и никак иначе.)

в твоём случае нужно отказаться от "сетевого окружения" и сделать так:

создать пять сетей соединённых маршрутизатором. на маршрутизаторе в правилах реализовать возможность доступа к инету и из сети в сеть. при этом станет невозможным видеть всех участников сети в "сетевом окружении" но сетевое взаимодействие между ними останится неизменным(если не учитывать правила маршрутизатора).

маршрутизатор с двумя интерфейсами один в инет другой в локальную сеть. на том что в локальной сети алиасами помимо основного IP прописываешь дополнительных четыре. ставишь программу сетевого экрана (если маршрутизатор у тебя не аппаратный) пишешь правила. всё легко и просто.) условно.)

видеть узлы находящиеся в разных IP сетях в "сетевом кружениии" возможно только при наличии домена.

разбор полёта.)

почему прописал маршрут один, по идее, первый ПК должен видеть второй ПК, а второй ПК не должен видеть первый, пока я маршрут не пропишу для него, но он тоже видит первый ПК и имеет доступ к его ресурсам? »

.)))) а ты в такой схеме можешь вообще маршруты не писать. просто поставь шлюзом по-умолчанию на клиентских ПК IP шлюза(ПК с двумя картами) соответственно настройкам для каждой сети и всё заработает. и помни любое сетевое взаимодействие двунаправленное! и никак иначе! если первый пингует второй то и второй непременно пингует первый! иначе нельзя(правила сетевого экрана не всчёт)

Как сделать так, чтобы второй ПК отображался в сетевом окружении первого ПК (второй ПК не должен видеть первый)? »

никак нельзя сделать. выше обьяснил почему.

wertyg, спасибо за такой подробный ответ!

Но у меня еще есть вопрос.

видеть узлы находящиеся в разных IP сетях в "сетевом кружениии" возможно только при наличии домена.

Поднял домен - ничего не изменилось. может какую настройку покрутить на контролёре домена?



почему прописал маршрут один, по идее, первый ПК должен видеть второй ПК, а второй ПК не должен видеть первый, пока я маршрут не пропишу для него, но он тоже видит первый ПК и имеет доступ к его ресурсам? »

.)))) а ты в такой схеме можешь вообще маршруты не писать. просто поставь шлюзом по-умолчанию на клиентских ПК IP шлюза(ПК с двумя картами) соответственно настройкам для каждой сети и всё заработает.

Пробовал - не получается. Подробнее:

К ПК с двумя картами (192.168.1.1 и 192.168.10.1) подклучаю два ПК (маршутизацию на ПК с двумя картами вырубил):

Первый:

IP: 192.168.1.2
М: 255.255.255.0
Ш: нет
днс: нет

Второй:

IP: 192.168.10.2
М: 255.255.255.0
Ш: нет
днс: нет


Естественно, первый ПК пингует только 192.168.1.1 и 192.168.1.2
и не пингует вторую подсеть 192.168.10.1 и 192.168.10.2

То же касается и второго ПК - он пингует только 192.168.10.1 и 192.168.10.2
и не видит 192.168.1.1 и 192.168.1.2

Теперь пропишем шлюз у первого ПК: 192.168.1.1
Он начинает пинговать 192.168.10.1, но пропинговать второй ПК не может 192.168.10.2

При этом, второй ПК все равно не видит 192.168.1.1, пока не пропишу ему шлюз 192.168.10.1

Почему не сработала маршутизация?

Получается, что сеть должна состоять из 5 сегментов (подсетей), причем, начальство может иметь доступ к ПК и ресурсам всех ниже стоящих подразделений (Бухгалтерия, отдел кадров, преподаватели, учебная часть). Бухгалтерия имеет доступ только в кадры. Кадры работают сами по себе и никому больше доступа не имеют. Преподаватели только к учебной части. Учебная часть - никому доступа не имеет.
Такая схема доступа легко реализуется путём использования домена. Правда, для этого нужно иметь на отдельном сервере контроллер домена с соответствующей операционной системой, которая стоит чуть меньше, чем дохрена.

Альтернативный вариант - с головняком - возможен в рамках рабочей группы. Нужно внутри одной подсети 192,168,1,0/255,255,255,0 назначать адреса компьютерам в виде нескольких диапазонов (для простоты, кратных 2). Потом во встроенном файрволле адреса (соответственно планируемой схеме доступа) добавляются в список разрешённых для службы "Общий доступ к файлам и принтерам" (как-то так называется).
Головняк тут вот в чём:
1) Нужно будет вручную настраивать ВСЕ*компьютеры
2) Какой-нибудь хитрожопый студентик может поменять адрес своего компьютера на адрес директорского (если тот выключен) и получить доступ ко всем файлам.

Такая схема доступа легко реализуется путём использования домена. Правда, для этого нужно иметь на отдельном сервере контроллер домена с соответствующей операционной системой, которая стоит чуть меньше, чем дохрена.

Как им образом это сделать? Всех клиентов в одну сеть включить и прописать политику доступа к ресурсам (дискам, файлам, принтерам) или разбивать их на подсети (дирекция, бухгалтерия, кадры...)?

маршутизацию на ПК с двумя картами вырубил »

я думал ты на ПК пишешь маршруты. на маршршрутизаторе маршруты быть должны прописаны иниче некак.

Альтернативный вариант - с головняком »
почитал, почитал и не совсем понял.

в первом посте я думал про вариант с использованием масок переменной длины. и теоритически мне казалось что будет работать и описания написал дохрена. но потом прикинул всё это на бумажечке и увидил почему работать небудет.( пришлось первый пост переписывать сзаново.)

Всех клиентов в одну сеть включить и прописать политику доступа к ресурсам (дискам, файлам, принтерам) » да с использованием домена можно так, это будет самый простой способ но с взаимодоступом не уступающий остальным. но можно и в разные сети и прописать права на доступ. в любом случае в сетевом кружении они будут видны. относительно настройки домена на этом форуме много тем.

Спасибо за ответы.

Еще вопрос - для чего используются программируемые коммутаторы?
В чем их преимущества перед обычными, непрограммируемыми?
Могу ли я применить такой коммутатор в описанной выше сети и получить от этого какую-то пользу?

управляемые ты хотел сказать.)

наиболее используемая функция управляемых коммутаторов это VLAN. суть в том чтоб разделить\сдлать независимыми канальные сети.

сеть состоит из нескольких уровней. если к одному коммутатору подключить два ПК и назначить им IP из разных IP сетей т.е. наприммер 1-му 192.168.10.1 а 2-му 10.12.10.2 то взаимодействия на сетевом уровне у них не получиться. но на уровне канальной сети оба ПК будут видить данные передаваемые соседом, что является не очень хорошо в контексте безопасности.) и в действительно больших сетях с помощью VLAN можно и нужно локализовать широковещательный траффик(например по отделам или этажам) что способствует увелечению производительности сети и повышению безопасности. ну это так на вскидку.)

в твоём случае ты с помощью настройки управляемого коммутатора можешь реализовать вот это:

создать пять сетей »

и избежать вот этого

Какой-нибудь хитрожопый студентик может поменять адрес своего компьютера на адрес директорского (если тот выключен) и получить доступ ко всем файлам. »

разделение канальных сетей это очень полезная вешь.

у управляемых коммутаторов есть ещё много полезных функций просто эта пришла в голову первой.)

Всем спасибо за ответы!
Буду разбираться!

Непойму зачем морочиться с управляемыми комутаторами и прочим железом, и разбивать на сети, если можно всё сделать легко и просто в одной сети, как советовалось выше: поднимаем на серваке винду (можно и 2003 но я бы сделал 2008 :) ), поднимаем там домен, если бюджет тугой, то прям на том компе поднимаем dhcp, dns и всё что нужно, пользователей бьём на группы, делаем для них политики, всё, шоколад.
А комп с двумя сетевухами можно было бы использовать как програмный фаервол типа isa.

потому что домен это более сложная структура чем просто сеть. его не только поднять его ещё и админить надобно! настройка домена не так уж и проста. также решать проблемы вдруг возникшие. а у автара собственно говоря не очень то и большой опыт, если ты не обратил внимание.

з.ы. хотя откуда опыт то возьмётся если не делать ничего.)

потому что домен это более сложная структура чем просто сеть. его не только поднять его ещё и админить надобно! »
Что-то мне подсказывает, что поднять домен окажется намного проще, чем собрать тот велосипед, который пытается изобрести автор.
К тому же, для поднятия можно один раз пригласить специалиста со стороны. А опыт, сын ошибок трудных, приходит со временем. В конце-концов, для дальнейшей настройки можно купить пару умных книг, а для разрешения проблем тот же Гугль почитать

Добрый день всем.

Опыт создания и администрирования домена у меня есть. На одном из предприятий я создал сеть так, как и описал El Scorpio. Прописан доступ к тем или иным ресурсам сети для разных пользователей. Домен создается легко и админится легко.

Но для учебного заведения мне хотелось создать сеть без доменов. Но проанализировав все сообщения, понимаю, что без них создать достаточно надежную и защищенную сеть не получится.

Специалист мне не нужен. Мне достаточно ваших сообщений и идей, дележки опытом.

Давайте не будем зацикливаться на стоимости продуктов от MS. Для учебных заведений стоимость на них должна быть ниже. Но в любом случае, сейчас речь не о стоимости, а в реализации данной задачи.

Поэтому, предлагаю упростить задачу. Пусть учебное заведение состоит всего из двух отделов - администрация (директор, бухгалтерия, кадры) и учебная часть (преподаватели, студенты).


Необходимо создать сеть, в которой администрация видит учебную часть и имеет длоступ к ресурсам учебной части, а учебная часть не видит административную часть и не имеет доступа к ресурсам этой подсети. Так более надежно.

Пихать всех пользователей в один линейный домен в данном случае смысла нет.

Появилась идея создать сеть, состоящую из дочерних поддоменов (или лес доменов) и прописать между доменами неравные доверительные отношения. У кого-то есть опыт создания таких сетей?

Минус такой сети - затраты на дополнительные контролеры домена и серверную винду, сложность администрирования нескольких доменов.

Еще есть вариант, чтобы не тратитится на контролеры домена и не создавать поддомены - создавать организационные единицы (не группы пользователей, а организационные единицы). Организационные единицы позволяют не создавать дополнительные домены и, следовательно, не тратится на пртиобретение серверов и серверной оськи.

У кого-то есть опыт создания таких сетей?

Пихать всех пользователей в один линейный домен в данном случае смысла нет.
»
как это понять смысла нет? вы не правы. Нет смысла делать домен на домене в таком маленьком предприятии.
Правльно будет сделать - создать один домен и разнести всё по юнитам и группам. И уж тем более без ненужных затрат на многодоменную структуру.

Многодоменная структура нужна в больших корпорациях с огромными далеко разнесёнными филиалами, чтобы создавать леса или доверительные отношения. А в вашем случае одного домена будет вполне, и всё, что вы хотите можно реализовать с помощью групповых политик.

На счет многодоменной структуры согласен - затратно.
Но также полагаю, что студеyту, сидящему в учебном классе не нужно видеть сетевые ресурсы директора, бухгалтерии, учебной части и т.д. Даже если у него доступа к ним не будет - ему их видеть не нужно, зачем его искушать? Все что он должен видеть - это сетевые ресурсы ПК таких же студентов как и он - не более того.