Як правильно організувати громадську мережу підприємства

До речі, з приводу торрентів. Це взагалі болюче питання, але не у випадку з Вланєв. Просто ріжемо швидкість для кожного ВЛАН згідно "тарифу" і все. Але якщо робити саме так, то клієнт, який купив максимальну швидкість, згідно специфікації BitTorrent, зжере всю швидкість у інших (тут Андрій Ермаченок прав). Це вирішується обмеженням швидкості для конкретного типу даних. Як це зробити на циского - підкажу. На мікротіке - немає. Там якось з Фаєрвол треба мудрувати, але я жодного разу не робив. У будь-якому випадку, це було б самим вірним, хоч і складним рішенням.

Єдиний нюанс. Віктор Бєльський запропонував варіант, при якому в принципі можлива ARP атака. 0:25 - я не пам'ятаю назву) при якій можливі підміни MACов. Працює так. Сканія мережу на наявність хостів (роутер тут не потрібно, вже вибачте), потім усім їм розсилається інфа з MACом і IPом. Після чого новий ПК має повноцінні привілеї у внутрішній мережі, а якщо ПК з цим IPом вже був, то його більше немає. У сенсі, звертаються до нового. А тут і перехоплення пакетів, і т.д. Але це з неможливо. Якщо не хочете морочитися, то такий варіант підійде.

Василь. mac spoofing відсікається port-security на порту комутатора, з налаштуванням тільки одного маку (якщо користувач хоче кількох користувачів мережі, то ставить роутер з wan портом), arp spoofing лікується ARP Protection (який бере інфу з таблиці DHCP snooping)

Віктор Бєльський. Я з вами згоден. Варіантів захиститися безліч в принципі. Просто я не бачу сенсу робити так, щоб потім треба було додаткові бар'єри безпеки городити. Але буває, що тільки так і можна, а значить, ваш варіант цілком вірний.
Олександр Сергійович Так, абсолютно вірно. Ви коли прописуєте настройки від провайдера у себе вдома звертали увагу, що маска в кінці 248, 252. Це для таких же цілей зроблено. Чи безпечно і зручно в адмініструванні.

Навіщо ділити фізично, якщо є Віла. А раптом мені знадобиться доп. айпі камера на поверсі x, я ж не буду від свого комутатора туди тягнути кабель окремо.

Мережа клієнтів - це грубо кажучи орендарі приміщень, яким буде надаватися доступ до інтернету. Співробітники - це свої співробітники, обслуговуючий персонал тощо

Так ось клієнти будуть підключатися до Віланов X, співробітники в Віланов Y і т.п. Як і хто у клієнтів буде налаштовувати залізяки - невідомо, але з досвіду знаю, що простіше організувати DHCP, щоб було менше дзвінків в тех. підтримку. А ось як стежити за порядком в цьому Віланов з DHCP я і хочу дізнатися.

Андрій Ермаченок. справа не в тому, що влізе чи ні, а в безпеці. Навіщо мені паритися з приводу моєї локальної мережі, хто там куди лазить, якщо я можу відокремити Віланов. Власне в цьому не питання топіка.

Давайте абстрагуємося від клієнтів, співробітників і т.п. Є мережа, до якої різні люди будуть підключатися. Як організувати систему, бажано з DHCP, щоб на контролювати можливі косяки клієнтів в плані установки статики і т.п.