Изменить схему ЛВС. Настроить маршрутизаm
-
Здравствуйте!
Кратко о моих настройках:
Версия: 2.1.5-RELEASE (i386) built on Mon Aug 25 07:44:26 EDT 2014 FreeBSD 8.3-RELEASE-p16
Четыре сетевые карточки:
1.LAN
2.WAN - анлим
3.WAN2 - мой местный инет, не анлим
4.Wireless - через точки доступа в инет выходят ноуты.Подскажите, у меня есть необходимость, с целью повышения общей безопасности, изменить схему ЛВС.
На картинке я грубо набросал схему, как есть и как надо, я думаю общая картина понятна :)
Хочу выделить компьютеры, которые обрабатывают перс данные, бухгалтерию и т.д. выделить в отдельную подсеть, так чтобы через интернет к ним пробраться было нельзя. Сейчас у меня есть общая локальная сеть 192.168.0.*.
Либо сделать это оставив схему нетронутой, либо же выделить отдельную сетевую плату на самом PfSense, и туда уже завести компы отдельно. (WAN2 перепрофилировать) Как будет грамотнее?
Естественно, надо чтобы две эти сети могли как то между собой общаться, например, через общую папку. (Файлами обмениваться)
Написал может сумбурно слегка, могу что либо уточнить.
![????? ???.jpg](/public/imported_attachments/1/????? ???.jpg)
![????? ???.jpg_thumb](/public/imported_attachments/1/????? ???.jpg_thumb) -
Коммутатор L2 и настройка vlan на коммутаторе и pfsense.
-
Смотря сколько компов. Я думаю если немного или в одном вилане будут IP телефоны и камеры, а в другом компы, тогда можно обойтись настройкой VLAN на самом сенсе.
-
Судя по схеме за pfsense стоит коммутатор. Если настраивать только на самом сабже (добалять сетевухи), то тогда для распределения по двум сетям, придется ставить два неуправляемых коммутатора. Запускать два влана в неуправляемый коммутатор вообще-то возможно (настраивать вланы на сетевухах клиентов), но возможны разные глюки (вплоть до того что ложиться вся сеть). Я думаю рациональней поставить один L2 коммутатор и настроить на нем влан.
P.S. Можно что-то типа Dlink DES-1100-16 и тп.
-
В целом, у меня есть два неуправляемых коммутатора! Поэтому, как вариант использовать две сетевухи! Между ними уже как то настроить связь, чуть позже почитаю про вланы! :)
То есть сделать как на рисунке?
![????? ???1.jpg](/public/imported_attachments/1/????? ???1.jpg)
![????? ???1.jpg_thumb](/public/imported_attachments/1/????? ???1.jpg_thumb) -
Что то сайт с названием какую-то муть сделал… И не исправляет...
-
В целом, у меня есть два неуправляемых коммутатора! Поэтому, как вариант использовать две сетевухи! Между ними уже как то настроить связь, чуть позже почитаю про вланы! :)
То есть сделать как на рисунке?
В Вашем случае правильно разделить сети физически. Они не должны пересекаться общими неуправляемыми свичами и т.д. Как выше сказали, две отдельные сетевые карты. Никаких вланов не нужно (у вас неуправляемые свичи), достаточно разрешить/запретить правилами на интерфейсах доступ из сети в сеть.
-
Ага, спасибо!)) Буду пробовать..