Разделить сеть на 2 подсети...

[kfor]

а если так на комп зайти к примеру \\192.168.1.5 (ну или любой другой)

[Fepsis]

Цитата:

Сообщение от kfor

а если так на комп зайти к примеру \\192.168.1.5 (ну или любой другой)

Помему всё-таки нет, завтра точно напришу... По крайней мере если на компьютере, настроенном под "GOOD", зайти в сетевой ресурс, а потом перенастроить на "BAD" и попвтаться обновить содержимое ресурса, то выдаёт ошибку доступа...

[Demon1X]

Цитата:

Сообщение от Fepsis

В общем проблему решил, получилось всё красиво...


Я хоть и предполагал, что с помощью настройки маски можно проблему решить, но как точно не знал (нужно будет почитать про это дело)... Спасибо destiny за маску "255.255.252.0"

Собственно сначала попробовал перенастроить компы группы "BAD" так:

Код:

IP-адрес: 192.168.2.xxx
Маска подсети: 255.255.252.0
Основной шлюз: 192.168.1.1
DNS-сервер: 192.168.1.1

хз почему, но не прокатило... Интернета не было... Потом подумал, раз "255.255.252.0" охватывает и 192.168.1.xxx и 192.168.2.xxx, попробую вбить эту маску на роутере... И О ЧУДО!!!!!!

В данный момент компьютеры группы "BAD":

Код:

IP-адрес: 192.168.2.xxx
Маска подсети: 255.255.255.0
Основной шлюз: 192.168.1.1
DNS-сервер: 192.168.1.1

группы "GOOD":

Код:

IP-адрес: 192.168.1.xxx
Маска подсети: 255.255.255.0
Основной шлюз: 192.168.1.1
DNS-сервер: 192.168.1.1

роутер:

Код:

IP-адрес: 192.168.1.1
Маска подсети: 255.255.252.0

Причём пинговать они друг друга пингуют, но в сетевом окружении доступа друг к другу у них нет, что мне, собственно и было нужно... Надеюсь такая настройка не повлечёт за собой каких либо глюков...


Всем спасибо за помошь!!!

Не совсем понял как это работает. ПК из подсетки BAD не смогут достучаться до инета т.к. дефолтный шлюз должен ВСЕГДА быть в той же подсетки что и ПК.

Как я понимаю сетка на хабах. Можно 2 портам маршрутизатора назначить разные айпи
192.168.1.1\24 на одном порту, этот ип будет для подсетки 192.168.1.0\24 GOOD дефолтным шлюзом
192.168.2.1\24 на другом порту, этот ип будет для подсетки 192.168.2.0\24 BAD дефолтным шлюзом

Из роутера будет выходить 2 нитки, с этих 2 портов. Их засовываем в хаб (который будет центральным объеденяющим), в остальные порты которого будут приходить нитки со всех др. концентраторов
На самом маршрутизаторе создать маршруты на инет для каждой подсетки.

Это с условием, что юзеры из BAD и GOOD вперемешку. И нет возможности менять физ. структуру сетки. В этом случае юзер может поменять себе ип в ручную и получить доступ к др. группе.

Иначе можно было бы сделать, чтоб из каждого порта роутера выходящая нитка приходила в свой хаб т.е. в голове будет 2 хаба один BAD другой GOOD хаб. Юзеров из группы BAD подключать к хабу BAD, а
юзеров группы GOOD к хабу GOOD. Тогда даже при смени ипа юзером, он не сможет получить доступ к др. группе (т.к. на роутере ты будешь фильтровать все пакеты с неверным исходящим ипом).

[destiny]

Цитата:

Сообщение от Demon1X

Не совсем понял как это работает. ПК из подсетки BAD не смогут достучаться до инета т.к. дефолтный шлюз должен ВСЕГДА быть в той же подсетки что и ПК.

даже если это и так (может и так, не знаю, не могу представить, как реализовать по-другому), то подсетка у них одна и та же. RTFM по слову маска.

[kavabango]

Цитата:

Сообщение от Demon1X

Не совсем понял как это работает. ПК из подсетки BAD не смогут достучаться до инета т.к. дефолтный шлюз должен ВСЕГДА быть в той же подсетки что и ПК.

Теоретически группа гуд и шлюз могут обмениваться пакетами. У шлюза маска подсети "шире" и поэтому он может маршрутизировать пакеты. Хотя это не правильно. У них как минимум разные широковещательные адреса. Кстати думаю из-за разных broadcast ресурсы одной группы не видит другая. Стоит вам поставить маску 255.255.252.0 на всех компьютерах и ресурсы снова будут открыты.
А вот группа bad

Код:

IP-адрес: 192.168.2.xxx
Маска подсети: 255.255.255.0
Основной шлюз: 192.168.1.1

вообще не понятно как в интернет выходит. Шлюз сам находится за пределами этой подсети

Цитата:

Сообщение от Demon1X

Это с условием, что юзеры из BAD и GOOD вперемешку. И нет возможности менять физ. структуру сетки. В этом случае юзер может поменять себе ип в ручную и получить доступ к др. группе.

Я думаю тут такой вариант не рассматривается по начальным условиям.

[Fepsis]

Пользователи группы BAD имеют ограниченные учётки, поэтому не поменяют настройки сетевух...

А по поводу того, что это не должно работать, ничего не могу сказать.. У меня всё работает, и глюков никаких не наблюдается..

[Demon1X]

Цитата:

В данный момент компьютеры группы "BAD":

Код:

IP-адрес: 192.168.2.xxx
Маска подсети: 255.255.255.0
Основной шлюз: 192.168.1.1
DNS-сервер: 192.168.1.1

группы "GOOD":

Код:

IP-адрес: 192.168.1.xxx
Маска подсети: 255.255.255.0
Основной шлюз: 192.168.1.1
DNS-сервер: 192.168.1.1

роутер:

Код:

IP-адрес: 192.168.1.1
Маска подсети: 255.255.252.0

Исходя из этих параметров у ПК группы BAD и роутера разные подсетки. Роутер видет всех, его только группа GOOD.

Логика работы ip модуля следующая.
При необходимости отправки ip пакета, ip модуль накладывает маску своей подсети на ip адрес назначения. Если адрес находится в его же подсетке, направляет ARP запрос для установления его mac-адреса. Далее уже пакует его ethernet кадр и отправляет непосредственно нужному ПК. Если ip адрес находится не в его подсетке, то смотрит по табице маршрутизации через какой хост отправлять пакет (в данном случае у нас только один дефолтный шлюз), этот шлюз должен ВСЕГДА находится в той же подсетки, потому что этому шлюзу будет отправлен arp запрос на установление его мака и отправка ему этого пакета для последующего транзита.

Если ip адрес шлюза не будет принадлежать подсеткt самого узла отправителя, то весь вопрос в том как себя поведет в этом случае ip модуль отправителя.
Если решит все же отправить пакет, не смотря на то, что шлюз, не в его подсетки. То пошлет арп запрос и он дойдет до роутер (т.к. если я правильно понял все ПК сети ТС находятся в одном широковещательном домене) и тот ответит. Затем ip пакет упакуется в ethernet фрейм и будет отправлен как обычно. Но это нарушение самой логики работы. По правильному он НЕ должен отправлять arp запрос на установление mac-адреса шлюза, так как тот находится не в его подсетке.

Цитата:

Я думаю тут такой вариант не рассматривается по начальным условиям.

ТС ничего не сказал про структуру сетке и возможность ее изменения.

[Demon1X]

Цитата:

Сообщение от Fepsis

А по поводу того, что это не должно работать, ничего не могу сказать.. У меня всё работает, и глюков никаких не наблюдается..

Значит в Windows ip модуль отправляет арп запрос не смотря на то, что шлюз находится не в его подсетке.

[Karantin]

А может BAD сеть вообще стоит загнать в DMZ?

[aLEEXanDR]

Цитата:

Сообщение от Demon1X

Значит в Windows ip модуль отправляет арп запрос не смотря на то, что шлюз находится не в его подсетке.

Настроенные адреса для Good и Bad находятся в одной подсети. Это достигнуто благодаря изменению маски подсети. Теперь адреса 192.168.0.0 - 192.168.3.255 будут в одной подсети. Мне непонятно лишь одно, почему тогда группа Good не может зайти на ресурсы Bad?!