Две подсети в 1 ук. Snr 2940?

Question

[Ramul86]

Есть ук snr. Есть роутер.
Можно ли построить сеть так.
От провайдера кабель в 1 порт ук, далее со 2 порта подключаем роутер в wan порт (и должны получить настройки от провайдера) . Далее с роутера с лан порта тянем в 3 порт ук . Со всех следующих портов ук получаем ip который выдает именно роутер.

Возможно ли такая схема?
Если да, что для этого нужно?
Спасибо.

Comments

[Артём]

Скорее всего возможно. Смотреть в сторону vlan либо изоляции портов: идея в том, чтобы разграничить 1+2 порты УК, с 3 и последующим портами

Answer 1

[Akina]

Возможно ли такая схема?

Лехко. Вот простейшие настройки:

Один из портов, кроме 1-2, включаем в VLAN ZZZZ, и прописываем интерфейс управления именно через этот VLAN. В дальнейшем для работы с конфигом подключаемся именно в этот порт.
Порты 1 и 2 включаем в VLAN нумер XXXX.
Порты 3-N, кроме управляющего порта, включаем в VLAN нумер YYYY.
XXXX, YYYY, ZZZZ выбираем произвольные от 2 до 4094 включительно. Ясен пень, все разные.
Все порты untagged или access, ни в коем случае не tagged/trunk/hybrid. Точное название зависит от вендора коммутатора.

PS. Само собой, через управляющий порт порт ни в Инет, ни в сетку не попадёшь. Он - только для управления.
PPS. Никогда не используйте свои собственные сокращения, предварительно не указав, что и как будете сокращать. А то поди догадайся, что "ук" - это управляемый коммутатор...
PPPS. На всякий случай на портах 2 и 3 отключи STP.
PPPPS. Если будешь настраивать через консольный порт, то управляющий порт и VLAN ZZZZ не нужны.

Comments

[Ramul86]

Только познаю азы.
На тестовом стенде все получилось.
Я понял, что управление мы закидываем в отдельный vlan, это чисто безопасность?

Если я хочу попадать на коммутатор с внешки (есть белый ip) и так же с локалки. Естественно сменив пароль. Чем это грозит?

[SunTechnik]

Ramul86, Прошивки коммутаторов обновляются не часто, поэтому часто содержат незакрытые дыры безопасности. Бывают ошибки в управляющем ПО коммутаторах, когда от специально сформированных пактов к IP управления они могут зависнуть, перегрузиться.
(Бывает что и от вполне стандартных, вопрос в количестве).

Основное правило безопасности- уменьшайте периметр атаки. Все сервисы, которые не нужны для работы - должны быть закрыты/выключены.

Именно поэтому для управления выделяют отдельную подсеть / vlan, так как кроме админа там больше никому делать нечего. А Вы ее в мир хотите выставить...