Как спроектировать сеть?

Question

[Иван Решетняк]

Здравствуйте. Сетями не занимался, но сейчас от меня требуется собрать небольшую рабочую локалку.

Что имеется:
1) Группа ПК на зоопарке ОС, (есть иногда "гости" с ноутбуками, вешаются на DHCP), которые не должны иметь расшаренных ресурсов, но на них разрешен выход в интернет
2) Группа ПК (точнее 4 шт), которые должны быть в локальной сети и иметь доступ к общим каталогам друг друга, но выход в интернет для них запрещен
3) Один системник в стене, с линуксом на борту и двумя сетевыми картами (файлопомойка), у каждого ПК из любой группы должна быть возможность писать в расшаренный персонально для него каталог, т. е. по папке на клиента, и read-only доступ к каталогам, расшаренным на другие ПК. Доступ должны иметь как 1, так и 2 группы, и "гости" тоже.
4) 2 простеньких маршрутизатора
5) Ведро обжатой витухи разной длины, в заведомо достаточном количестве на любые варианты.
6) Один ADSL-модем
7) Бюджет нулевой

Подскажите, пожалуйста, советом, в каком виде лучше собрать такую сеть - что требуется на сервак (и примет ли samba разные грппы, т. к. не сталкивался), и что за чем должно идти, начиная от модема.

Comments

[Армянское Радио]

Расскажите подробно про пункт 4. Что за маршрутизаторы.

[Иван Решетняк]

Армянское Радио:
Первый - Alled Telesis AT-FS716E
Второй - пройстенький хаб Tenda S108

Answer 1

[Павел Елизарьев]

С нулевым бюджетом такие задачи не решаются. То есть Вы можете сделать иллюзию работы, запустив сеть и предоставив доступ. Однако без надежного специального оборудования (серваков и маршрутизаторов) Ваша сеть в скором времени развалится, а виноваты в этом будите Вы.

По своему опыту могу сказать, что если клиенты сети - Windows машины, то лучше всего собирать сеть на котроллере домена Windows Server'а. В случае использования Linux у Вас появится ряд проблемм с совместимостью, которые, однако, можно обойти, но потребуется дополнительное время.

Answer 2

[Армянское Радио]

Так как свитчи неуправляемые и vlan делать не умеют, придется изыскать где-то еще одну сетевую карту.

Тогда первую группу втыкаем в один свитч и в первую карту
Вторую - во второй и во вторую карту
Интернет - в третью карту.

Далее DHCP с разными зонами для первых двух карт.
Далее samba с acl по ip адресам и логинам для не-гостей.

Интернет через nat и squid. Комментируйте, спрашивайте, будем уточнять.

Comments

[Иван Решетняк]

Так, теоретически, есть ли возможность организовать так:
Модем -> хаб -> Первая группа (интернет)
______________ -> 1 сетевушка "Сервака" -> Вторая сетевушка -> Хаб (группа 2)

Внутри сервака запретить доступ к интернету со второго хаба, но оставить доступ к ресурсам

[Армянское Радио]

Иван Решетняк: Это очень костыльное решение, но возможное. Лучше так не поступать.

Answer 3

[Сергей Петриков]

Начните с нормального маршрутизатора с поддержкой vlan, но если бюджет нулевой, то советовать тут особо нечего. Пункт 1 - решается именно настройкой маршрутизатора, пункт 2 - тоже, пункт 3 можно решить как на Linux через samba, так и на windows через AD, пункт 4 - модели в студию. Мне не совсем понятен момент, почему исполнителем назначен человек с нулевым уровнем компетенций в вопросе, понятно что можно научиться, но это время на эксперименты, чтение документации и правки конфигов, если времени вагон - дерзайте, но если нужно чтоб работало вчера - отказывайтесь. Любая сеть начинается с ядра сети, в вашем случае маршрутизатора, так что без описания моделей маршрутизаторов, которые есть в наличии - советовать особо нечего.

Comments

[АртемЪ]

Если честно то не вижу как можно решить первый пункт средствами маршрутизатора. Там же надо идентировать пользователя, а потом уже решать гость он или нет.
В общем AD надо, или RADIUS как минимум.

[Сергей Петриков]

В чем проблема то, для гостей гостевая сетка в отдельном вилане, для нее разрешен маскарадинг в мир, но запрещен доступ к внутренним ресурсам, выдана по дефолту туда, откуда подключаются гости. Из вопроса не совсем ясно подключаются ли гости по вайфаю или кабелем, но в любом случае это разруливается со стороны маршрутизатора без радиусов и АД.

Answer 4

[Алексей Черемисин]

Ха, всё достаточно просто. Единственное - я не вижу в наборе юного администратора простенького коммутатора. Но не беда, бежим в магазин за dlink des-1016 ( 16 портов за ~3000 рублей) или des 1008 (8 портов за ~1500 рублей), они как раз поддерживают vlan, а это нам хорошо.

Теперь делаем так:
1) internet -> ADSL -> (eth0) Linux (eth1) -> switch
2) switch (VLAN 1) - > клиенты офиса
3) switch (VLAN 2) - > гости

На линуксе:
- поднимаем cамбу и две сетевые шары
- два виртуальных интерфейса под два вилана на eth1
- DCHP + BIND (или dnsmasq как простая замена)
- делаем маскарад на eth0

На коммутаторе делаем два вилана, на порты одного подключаем офис, на порты второго - гостей.

Миссион комплете.

PS. Можно конечно и без виланов обойтись, а авторизовать в сети по запросу через разрешение iptables по web-страничке, но дешевле купить коммутатор.
Ну а так, вот готовы captive portal для авторизации - www.andybev.com/index.php/Using_iptables_and_PHP_t...