Добрый день.
Помогите концептуально разобраться: допустим есть сеть небольшого офиса (см. картинку). Глобально: два NAS, две не связанные локальные сети, небольшой парк принтеров, 13-15 пользователей, беспроводные сети не предусмотрены. Железяки: RB2011UiAS-IN, GSW-2400S и DGS-2014D* (много розеток на рабочих местах).
Если на человеческом языке, то на картинке:
Default Users - обычные пользователи (СМК, ОТК и т.д.)
Advanced Users - конструкторский отдел с большим объемом файлов небольшого размера (CAD-файлы в общем доступе) и постоянным документооборотом через NAS.
Additional Users - бухгалтерия, радикально отрезанная от общей сети и с периодической работой на удаленке.
Special User - руководитель, активно вовлеченный в конструкторскую работу, но иногда выходящий по VPN в капризные системы торгов (в т.ч. те, которые не рекомендуют использовать локальные подсети
10.0.0.0/8,
11.0.0.0/8,
176.16.0.0/16, скажем).
Terminal/SRV* - двухпроцессорный сервер, которому скоро будет годиков 20, с мертвым RAID-контроллером и проблемами по здоровью. Какое-то время потупит на подхвате как интерфейс для Mikrotik-а и свитча.
В данный момент это проект. Коммуникации проведены в одну точку, но оборудование на столе в заводской конфигурации пока. Рассматриваю буду ли настраивать сам или же что писать в ТЗ потенциальному наемному настройщику - пока не решил что будет разумнее. 😇
Возникло два общих вопроса:
1.
Есть ли смысл использования VLAN в данном случае? Может я зря это задумал и хватит просто растащить сеть на пару независимых бриджей?
2. В составе LAN1 обнаружился коварный элемент - компьютер секретаря, к которому иногда надо подключаться удаленно. Так вот, когда это происходит, надо этот компьютер изолировать от локальной сети и, в частности, от обоих NAS. Т.е. ни при каких обстоятельствах нельзя позволить дотянуться до NAS снаружи, в т.ч. через RDP к одному из пользователей. И это второй вопрос:
как это правильно сделать? Это чисто правила Firewall или для таких вещей есть решения изящней?
