>[оверквотинг удален]
>> ибо каждый ответственный за свой пароль, и если его пароль утечёт то и иметь будут его.
>> И не мудрите с сетями и масками, вы еще далеки от понимания этого, учитывая вашу писанину.
> Ну да, конечно же! 802.1x ему строго необходим, заодно с RADIUS разберется,
> его взаимодействие с LDAP/AD настроит... Повеселиться от души...
> Лучше уж разобраться с адресацией... И самое главное - с понятием интерфейса,
> физического и виртуального, чтоб не возникало вопроса "как сделать так чтоб
> устройство получало адрес из определенной подсети". А ответ простой - оно
> всегда получает адрес из той подсети, адрес которой присвоен тому интерфейсу
> (физическому или виртуальному - не важно), к которому подключено это устройство. Коллега имеет опыт работы с isc-dhcpd в линуксе/*бсд? Там я любому клиенту прописываю те параметры, которые _мне_ нужны для _решения_поставленной_задачи: адрес/маска/маршруты/DNS-ы/... Не знаю, противоречит ли это какому-нибудь из RFC, но клиент легко получает адрес, не соответствующий адресному пространству интерфейса сервера.
>[оверквотинг удален]
> адреса eth1 192.168.1.1/24 и eth2 192.168.2.1/24. Тогда устройство, подключенное к eth1
> получит по DHCP адрес из подсети 192.168.1.0/24, а к eth2 -
> из подсети 192.168.2.0/24
> А что делать если у нас на роутере всего два физических интерфейса
> L3 - eth0 и eth1? Создаем два VLAN? ну пусть это
> будет VLAN 10 и VLAN 20 (1й VLAN - особенной, это
> тоже самое что и отсуствие VLAN-ов). При этом в роутере создается
> два виртуальных интерфейса - vlan10 и vlan20. Далее - аналогично, назначаем
> им соответствующие подсетки и подключаем устройство к нужному VLAN - и
> он получает нужный IP.
Как работают vlan-ы я знаю. Драйвера не всех карт в винде умеют vlan. Мне кажется, проще разобраться с dhcp на микротике, чем городить vlan-ы на винде.
> Как подключить устройство к нужному VLAN? Правильный путь - использовать управляемый коммутатор,
> просто на нем назначаешь соответствующие порты соответствующим VLAN. Положим порты с
> 1-го по 10й - VLAN 10, а с 11-го по 20й
> - VLAN 20. Неправильный (но иногда единственно возможный) - прописать на
> оконечном устройстве номер VLAN, к которому он подключен.
Спасибо за советы, но...
Главный вопрос к участникам дискуссии: какой свитч из линейки дешёвого (10-50$) SOHO D-Link-a|TP-Linka умеет vlan-ы? Офис представляет собой, ну, скажем, трёхкомнатную квартиру с туалетом и кухней. Есть девочка на входе, отвечающая на звонки и принимающая почтовую/бумажную/факсовую корреспонденцию. Есть "комната" для гостей, где они могут подождать сотрудника или присесть за стол(ы) для переговоров, оформления документов/заказов, напечатать/отксерить на местном МФУ. Есть две "комнаты" для сотрудников, куда гостей водить "не рекомендуется, чтобы не отвлекать сотрудников от работы". Но жёсткого запрета нет - те, кто из сотрудников перешёл в партнёры - заходят туда без препятствий; те, кому нужно особое отношение при оформлении/выполнении задачи/заказа проходят туда после разрешения начальника (на время работы по заказу) без препятствий. Начальник имеет небольшую выгородку в одном из помещений, где стоит комп с общим доступом к рабочей документации по всем проектам, но сам не всегда сидит в офисе. В общем - демократия раннего гугла или эппла. Народ молодой, увлечённый, народу в коллективе не много. Друг друга знают и друг другу доверяют. На домен прав с разделением доступа ещё не созрели. Удочку начальнику я закинул, но насаждать насильно этого я им не буду.
Из аппаратных ресурсов есть на сегодня упомянутый микротик и два неуправляемых 16-портовых свича. Хочется выполнить задачу на имеющемся оборудовании. Чтобы "свои" не испытывали трудности при подключении к необходимым ресурсам, а условный школьник, подсмотревший пароль от ВиФи или воткнувший свободный шнурок в свой ноут, не смог запросто получить доступ в интернет.
Бесспорно, что создать абсолютно или даже серьёзно защищённую сеть непросто, недёшево, но здесь пока такая задача и не стоит.