Как запретить доступ к принтеру за пределами коммутатора в одной большой локальной сети?

Question

[HoloTWW]

Была спроектирована следующая экспериментальная модель сети.


С помощью коммутаторов сеть была поделена на отделы. Хотя физически они расположены в разных помещениях, доступ к тому или иному устройству осуществляется из любой точки, т.к. всё находится в одной сети - 10.61.11.0\24

У данной модели есть ряд ограничений:

• В сети нельзя использовать VLAN и сабинтерфейсы, т.е. технологии виртуальных сетей.
  
• Сеть является "монолитной" - без подсетей, соответственно маску подсети 24бита трогать тоже нельзя.
  
• Для доступа в "интернет" в отделах 1-3 конечным устройствам был выдан единый шлюз по умолчанию 10.61.11.1 (Router1). Соответственно, в остальных отделах такой шлюз не выставлен и тем самым "блокируется" доступ в "интернет"
  
• Адресация в сети - статическая.
  

Нужно найти способ ограничить доступ к принтерам вне их отделов (т.е. вне коммутаторов отделов)

Мои догадки как это сделать (однако к полноценному решению я так и не пришел)

• т.к. в сети связующим звеном выступает коммутатор L3, то (по моим предположениям) можно реализовать ACL, однако в моим попытках все access-листы выходили дырявыми и пропускали весь трафик. Я где-то читал, что, возможно, это из-за того, что трафик идущий по коммутаторам ориентируется в первую очередь по MAC-адресам.
  
  
• Опять же, L3 (в моем понимании или непонимании) имеет возможности маршрутизации , следовательно можно попытаться реализовать на нем таблицу статической маршрутизации и тем самым перенаправлять трафик, идущий к принтеру на несуществующую сеть.
  

Заранее извиняюсь за свою некомпетентность. Надеюсь я описал большую часть важных моментов.

Comments

[Wexter]

В сети нельзя использовать VLAN и сабинтерфейсы, т.е. технологии виртуальных сетей.

А если бы было можно то задача решилась бы за 5 минут. Ох уж эти воображаемые сети в которых нельзя отдел посадить в свой влан. Пусть лучше живут все вместе в одном и разносят вирусню друг другу, устраивают петли которые кладут всю сеть и спуфят ARP всем подряд

[HoloTWW]

Wexter, в этом как раз и кроется главная проблема и глупость этой задачи

Answer 1

[AntHTML]

1. На принтерах обычно есть White-листы, или и разграничивал, когда винда из соседнего отдела по uphp надискаверила себе половину принтеров организации.
2. Маску нельзя трогать только на свичах? По идее, если принтерам не нужен доступ вне, то можно на них жахнуть какую /26 маску, а компы отдела посадить в этот диапазон в /24 маске, тогда принтеры не смогут нормально видеть чужие компы и соответственно ответные, подтверждающие пакеты с них не убегут
3. Костыль конечно, но если на L3 поддерживается фильтры по портам, то можно создать правила запрещающие протоколы печати или ip принтеров между портов

Answer 2

[MVV]

Судя по тому, что коммутаторы у вас от Cisco, от вас хотят Cisco Private VLANs (читайте, например, здесь).

Comments

[HoloTWW]

К сожалению в полной мере воспользоваться P-VLAN невозможно в виду запрета на использование любого вида VLAN. Однако воспользоваться изоляцией портов можно считать в некоторой степени решением, но в таком случае теряется практическое использование принтера внутри отдела, + к этому возрастает число отделов, имеющих доступ к принтеру (3 вместо 2)

Answer 3

[Дмитрий]

Проблему уровня L2 не решить средствами уровня L3

Answer 4

[rPman]

посмотри, может ip whitelist есть в самом принтере?
Либо поставь между принтером и сетью 'любой' дешевый роутер (т.е. управляемый) и разруливай ограничения либо NAT-ом либо подсетку сделай исключительно для принтера

Comments

[HoloTWW]

Как раз таки в этом и кроется главная загвоздка - главным ограничением в модели сети является то, что нельзя создавать подсети, а также нельзя производить манипуляции с маской подсети (24 бита - не меньше и не больше) , соответственно нет возможности даже последний байт хотя бы как-то масками переменной/постоянной длины нарезать на дополнительные подсети, что в свою очередь исключает использование маршрутизатора т.к. в таком случае 2м интерфейсом в любом случае нужно определять новую подсеть.

[rPman]

Ты ставишь роутер только для одного устройства - принтер, wan порт в твою локальную сеть, принтер в своей сети, на роутере настаиваешь nat и перенаправление портов, отвечающих за к связь с принтером (гуглить протоколы).

С точки зрения архитектура сети у тебя принтер останется в той же сети, нет средствами роутера можно будет настраивать условия доступа к нему.

Настоятельно рекомендую роутере на базе openwrt.