Максим Корнеев

самый простой и быстрый способ - установить на нужные ПК дополнительные сетевые карты (можно USB) и подключить их в сегмент видеонаблюдения.

при включении маршрутизации на коммутаторе она будет работать для всех. поэтому придется писать ACL чтобы доступ был только у тех, кому положено.

можно сервер выставить в обе сети и задать права на просмотр на нем. а доступ в интернет для сервера резать на граничном устройстве. я бы рекомендовал именно этот вариант - доступа к самим камерам тогда не будет, а это лучше.

VLAN на сетевой карте - не Ваш случай. рекомендую не рассматривать этот вариант. можете потестировать его, если интересно.

а каков бюджет проекта? хватит денег чтобы сделать нормально или хорошо, или будет конфетка из гувна с "тремя роутерами", "кабелем самой высокой категории" и прочими выдумками профанов которые не понимают что пишут?

Про питание. Существует такая штука - тройник. И ничего разбирать не придется. Можно пойти обратным путем и довести кабеля провайдеров до удобного места. Два " боченка" и два патчкорда. К этому два самых дёшевых роутера и проблема решается максимум за 1000 рублей и 20 минут.

Но если деньги не проблема и хочется через одно устройство. Елтекс ESR серии, длинк DFL, любой L3 коммутатор корпоративного уровня, фортигейт, аса или ее современный аналог. Поднимается два vrf за 5 минут и дело в шляпе за каких-то 200-800к.

В конторе из 6ти человек надо ставить 8ми портовый хаб. Все иное - выброшенные деньги. А те кто тут пишет про сегментацию и безопасность широковещательные домены - предложите собственнику все это сделать по модному на L3 и закупить оборудование по 300к за штуку. А ещё лучше поднять DCI и вся контора будет год работать без зарплаты и прибыли зато сеть будет красивой

А при чем тут сеть и маршрутизация, если архитектура решения кривая? Плюс полное непонимание работы сетей у персонала. С таким вопрос на фриланс надо. Ну или тут искать альтруиста, который не возьмёт ответственность за то что вы сделаете.

в сети2 есть срв2 имеет 192.168.2.2 и добавить для прямого доступа из сети1 192.168.1.3

вот это работать не будет так как все обращения из сети1 к 192.168.1.3 в сеть2 не попадут.
L2 тут вообще не при чем и не нужен. нужно или один DNS (с адресом сети в которой он расположен) поднимать и указывать его в обеих сетях. либо поднимать в каждой сети свой DNS и настраивать синхронизацию между ними.

Просто вписать статическую запись в днс не подходит

с чего это?

что бы на сервера можно было получать доступ по хосту

данная терминология - Ваша фантазия. то что Вы пишите понятно только Вам. постарайтесь придерживаться общепринятых терминов.

советую заплатить тому кто понимает как сделать то что вы хотите.
ну и в не надо в тз писать всякий бред как Вы сделали сейчас . пишите сразу что вам нужно получить. кстати подумайте зачем вам l2 VPN и какая топология вам нужна.

на некротике и так сойдет. а то грамотный ответ стоит дороже долгожданного оборудования которое не понятно как использовать :)
влом в очередной раз из глины и палок делать конфетку. купили - дерзайте!

спасибо - поржал от души.
когда тут спрашивают про оборудование все в один голос кричать "микротик! тплинк!" а в этом топике рассказывают что у всех поголовно "нормально настроенная сеть на хорошем оборудовании". при этом хоть сколько-нибудь внятно сказать за "правильные настройки" смогло полтора человека, да и те половину переврали...

спасибо тебе Bermut - твой вопрос показал уровень местных икспертов с огромным рейтингом но не понимающих что такое ICND1.

такое возможно. способов - огромное количество. базовая защита - неиспользуемые порты должны быть отключены на коммутаторе, на портах пользователей надо включать DHCP snooping, на оборудовании надо настраивать ограничение бродкаста, желательно включать Dynamic ARP Inspection и IP Source Guard, сегментировать сеть VLANами, порты пользователей должны быть в едж режиме.

1 не надо зацикливаться что на Л3 устройствах нужно обязательно использовать весь возможный функционал Л3 и только его.
как вариант. на пользовательских устройствах делим пользователей (при необходимости или желании) на группы и разделяем по VLAN. например можно отделить пользователей и принтеры, пользователей и принтеры по отделам/этажам. каждому VLAN отдельный диапазон/ широковещательный домен. VLAN живут только на коммутаторах доступа, дальше все на Л3 динамической маршрутизацией. соответсвенно на ядре бекбон, доступ - в stab. с другой стороны сервисы + оборудование так же делим на диапазоны которые так же маршрутизим на ядре.

к тому что выше надо добавить что в случае неправильного заземления экрана кабеля этот экран станет антенной и наводки будут не только во время сварки, а вообще всегда. в частности кабель заземляется только с одной стороны. если с кабелями к клиентам с этим проблем нет, то за кабелями между стойками придется внимательно следить. незаземленный экран - так же становится антенной.

начать наверно надо с изучения основ. например перечитать тут https://duckduckgo.com/?q=VPN+WAN+Technology+Desig... то что посвежее. https://onedrive.live.com/?authkey=%21APAj04WA5dU6... и это пересмотреть и перечитать https://cscomarathon.ru/materials#eventdaymaterial_229
https://www.cisco.com/c/dam/m/ru_ua/events/2017/ci... после ознакомления появится представление что делать сначала и какие вопросы задавать поставщику любимого тплинка. и помните что Вам придется отвечать на вопрос "ты просил денег и обещал что все будет. деньги тебе выданы, почему нихера не работает и кто будет платить?" а местным советчикам ничего подобного не будет.

адрес напиши сюда - тебе и ответят

Нанимаем того кто понимает что делать и может и платим ему. Ну или как всегда - из дерьма и палок времяночку за 100к миллионов и на канары

Проброс портов с адресом вообще никак не связан. Вопрос надо задавать - зачем, какой нужен результат? Исходя из этого подбирать решение а не читать бред профанов "правильно мыслишь". Есть дднс, есть химачи, можно выложить сервер наружу, можно статику купить, можно ещё много чего намутить, вопрос в том какой результат нужен и чего это будет тебе стоить.

А зачем? В чем сейчас проблема и почему решили что исправлять её нужно именно так? Почему не стали читать icnd1-2 а купили некротик? После удачной покупки надо бы перечитать последние новости о их взломе дабы предотвратить...

как вариант на госзакупках найдите ТЗ ДИТ Москвы на услуги связи и спишите оттуда.

то что у вас выделен сегмент для коммутации серверов - уже хорошо. но это подразумевает что имеется так же пул устройств для коммутации пользователей и все это объединяется через ядро. при такой схеме между коммутаторами порты должны быть в тегированном транке, дополнительные VLAN вроде vlan3458 не нужны. маршрутизация между пользовательским и серверным VLAN производится на ядре. если Вы хотите сделать через стыковочные сети, а то что Вы пишите подразумевает именно это, то лучше поднять OSFP. тогда vlan3458 у вас будет содержать все стыковочные сети, а OSFP маршрутизить все это.

не забывайте что маршрутизировать из сети С в сеть П не достаточно, обратные маршруты так же необходимы - без них ответ на пинг Вы никогда не получите. то есть где-то у Вас должен быть прописан маршрут из сети 10.78.140.0 в сеть 10.78.141.0

а я думал что для школьных вопросов майлру вопросы а не тут...