@HoloTWW

Как запретить доступ к принтеру за пределами коммутатора в одной большой локальной сети?

Была спроектирована следующая экспериментальная модель сети.
66609440b6a22128048178.png

С помощью коммутаторов сеть была поделена на отделы. Хотя физически они расположены в разных помещениях, доступ к тому или иному устройству осуществляется из любой точки, т.к. всё находится в одной сети - 10.61.11.0\24

У данной модели есть ряд ограничений:
  • В сети нельзя использовать VLAN и сабинтерфейсы, т.е. технологии виртуальных сетей.
  • Сеть является "монолитной" - без подсетей, соответственно маску подсети 24бита трогать тоже нельзя.
  • Для доступа в "интернет" в отделах 1-3 конечным устройствам был выдан единый шлюз по умолчанию 10.61.11.1 (Router1). Соответственно, в остальных отделах такой шлюз не выставлен и тем самым "блокируется" доступ в "интернет"
  • Адресация в сети - статическая.

Нужно найти способ ограничить доступ к принтерам вне их отделов (т.е. вне коммутаторов отделов)

Мои догадки как это сделать (однако к полноценному решению я так и не пришел)
  • т.к. в сети связующим звеном выступает коммутатор L3, то (по моим предположениям) можно реализовать ACL, однако в моим попытках все access-листы выходили дырявыми и пропускали весь трафик. Я где-то читал, что, возможно, это из-за того, что трафик идущий по коммутаторам ориентируется в первую очередь по MAC-адресам.

  • Опять же, L3 (в моем понимании или непонимании) имеет возможности маршрутизации , следовательно можно попытаться реализовать на нем таблицу статической маршрутизации и тем самым перенаправлять трафик, идущий к принтеру на несуществующую сеть.


Заранее извиняюсь за свою некомпетентность. Надеюсь я описал большую часть важных моментов.
  • Вопрос задан
  • 113 просмотров
Решения вопроса 1
anthtml
@anthtml
Системный администратор программист радиолюбитель
1. На принтерах обычно есть White-листы, или и разграничивал, когда винда из соседнего отдела по uphp надискаверила себе половину принтеров организации.
2. Маску нельзя трогать только на свичах? По идее, если принтерам не нужен доступ вне, то можно на них жахнуть какую /26 маску, а компы отдела посадить в этот диапазон в /24 маске, тогда принтеры не смогут нормально видеть чужие компы и соответственно ответные, подтверждающие пакеты с них не убегут
3. Костыль конечно, но если на L3 поддерживается фильтры по портам, то можно создать правила запрещающие протоколы печати или ip принтеров между портов
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 3
@mvv-rus
Настоящий админ AD и ненастоящий программист
Судя по тому, что коммутаторы у вас от Cisco, от вас хотят Cisco Private VLANs (читайте, например, здесь).
Ответ написан
@Stariyded
Сетевой админ
Проблему уровня L2 не решить средствами уровня L3
Ответ написан
Комментировать
@rPman
посмотри, может ip whitelist есть в самом принтере?
Либо поставь между принтером и сетью 'любой' дешевый роутер (т.е. управляемый) и разруливай ограничения либо NAT-ом либо подсетку сделай исключительно для принтера
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы