изоляция сети общего пользования и сети персонала

В моем небольшом офисе есть две сети, каждая из которых подключена к коммутатору, затем эти коммутаторы подключаются к центральному коммутатору, который затем подключается к маршрутизатору с поддержкой ADSL.

Маршрутизатор подключен к глобальной сети, которая обеспечивает подключение к Интернету для всех устройств в этой сети.

Я планирую изолировать эти две сети, подключенные к одному центральному коммутатору, поскольку другая сеть является публичной. Мы не хотим, чтобы трафик был перепутан.

Поскольку обе сети используют одно и то же интернет-соединение. как я могу изолировать эти две сети?

Я ценю любые советы по этому вопросу.

Пока ваши IP-адреса четко определены, у вас может не быть коллизий, но хорошим подходом может быть использование масок подсети и списков ACL на маршрутизаторе, чтобы трафик из одной подсети не имел доступа к трафику другой подсети. Я знаю только, как настроить ACL на маршрутизаторах Cisco, поэтому, если это другой бренд, я не могу вам чем-то помочь. Но подсеть можно использовать (почти) на любом маршрутизаторе, вам просто нужно настроить сеть следующим образом:

Subnet A

Gateway: 192.168.1.127 and subnet 255.255.255.128

Только IP-адреса в диапазоне от .1 до .127 будут иметь прямой доступ между ними.

Subnet B

Gateway: 192.168.1.254 and subnet 255.255.255.128

Аналогично, только IP-адреса в диапазоне от .129 до .254 будут иметь прямой доступ между ними.

Если какой-либо компьютер в подсети А хочет установить связь с любым компьютером в подсети В, ему придется пройти через маршрутизатор, и именно здесь ACL вступают в действие, они могут заблокировать или разрешить доступ для определенных IP-адресов или заблокировать любой IP-адрес определенного подсеть полностью.

Конечно, коммутаторы должны подключаться к разным Ethernet-портам маршрутизатора (каждый из них является соответствующим шлюзом для каждой подсети, маршрутизатор должен позволять вам указывать IP-адрес для каждого порта), в противном случае вы должны реализовать VLAN и использовать магистральный порт для подключения. ,

Сейчас я немного заржавел относительно сетей, но я надеюсь, что это поможет вам.

Удачи.

Вы должны изучить использование VLAN. Может ли ваш маршрутизатор сделать это? Он может создавать две или более логических сетей, которые полностью отделены друг от друга. Две VLAN должны иметь разные подсети, чтобы одна сеть не могла подключаться к устройствам другой.

Примером устройства, которое может создавать виртуальные локальные сети по разумной цене (оно может использовать виртуальные локальные сети Wi-Fi и Ethernet), является DrayTek Vigor 2920n. Для малого бизнеса это нормально.

Если у вас есть Active Directory (Windows Server) в вашей сети, то это следует использовать для предоставления DHCP вашей офисной сети. Ваша гостевая сеть должна быть полностью отделена от этой сети.