[El Scorpio]

Цитата shovgenyuk:

Не хочу делить физически! »

Я тоже.
Однако тебе придётся объяснять проверяющим, что такое VLan. А потом будет, как в фильме "Карты, деньги, два ствола", когда "Смитти с объяснениями не справился"

Цитата shovgenyuk:

Обоснованием такого требования есть то, что на оборудованию нет антивирусной защиты и туда могут попасть вирусы с компютеров. »

Если в это "оборудование" будут втыкаться флэшки, вирусы проникнут 100%.

Цитата shovgenyuk:

Поставлено требование физически отделить сеть с оборудованием от сети компютеров. В отделённую сеть с оборудованием "подать" Интернет. »

Три раза "ха-ха". Как раз таки интернеты и есть самый большой рассадник вирусов.

А что за "оборудование" и какое ПО стоит на нём? Может, проще будет объяснить начальству, что вирусы это оборудование вообще не испортят?

[shovgenyuk]

В первую очередь меня интересует решает ли ету задачу вилан?

>Если в это "оборудование" будут втыкаться флэшки, вирусы проникнут 100%.
>Три раза "ха-ха". Как раз таки интернеты и есть самый большой рассадник вирусов.

С интернету они планируют прописать определённые ip с которого можна будет заходить, порты позакрывать, логины пароли и т.д. Интнрнет там нужен для тех. поддержки оборудования.
Но ето не важно, и не мои ето проблемы, вопрос не о том как защитить оборудование, а о том возможно ли с помощью вилан ето сделать или всё таки надо делить физически.



А что за "оборудование" и какое ПО стоит на нём? Может, проще будет объяснить начальству, что вирусы это оборудование вообще не испортят?
Медицинское оборудование, что там стоит не знаю, да и мало меня ето волнует счас...

[El Scorpio]

Цитата shovgenyuk:

Но ето не важно, и не мои ето проблемы, вопрос не о том как защитить оборудование, а о том возможно ли с помощью вилан ето сделать или всё таки надо делить физически. »

Отделить - возможно. Главное, чтобы общий для обоих VLan'ов маршрутизатор никакая зараза из основной сети не заразила.

Цитата shovgenyuk:

Медицинское оборудование, что там стоит не знаю, да и мало меня ето волнует счас... »

Если там стоит классово правильный Linux или BSD, то windows-вирусы ему ничего не сделают.
Хотя "прописать определённые ip с которого можна будет заходить, порты позакрывать, логины пароли и т.д." конкретно на этом оборудовании нужно будет сделать в любом случае.

Ну а если Windows...

[kim-aa]

1)

Цитата shovgenyuk:

Поставлено требование физически отделить сеть с оборудованием от сети компютеров. »

Расшифруйте понятие "отделить"
Варианты:
- чтобы вообще не пересекались
- чтобы пересекались только через межсетевой экран
- что-то третье


2) Недостатки следующие:
- Механизм VLAN не сертифицирован как средство защиты информации, соответсвенно если данные "пляски" предназначены, для удовлетворения требований по формальной безопасности (например аттестация объекта по ФСТЭК) - то придется покорячится;
- Механизм VLAN не балансирует нагрузку (хотя, с другой стороны, я не припомню вариантов загадить сеть на втором уровне);
- Механизм VLAN, особенно в полнофункциональных его проявлениях, не является интуитивно понятным, по сравнению с отдельными коммутаторами и шнурочками;
- Требуется гораздо более дорогое оборудование;
- требуется более тщательное планирование сети.