[wertyg]

так как ты хочешь реализовать невозможно(учитывая что используеться ПО от МС). и это уже обсуждалось на этом фороме.

чтоб узлы отображались в "сетевом окружении" они должны быть в одной IP сети. а следовательно все видны всем и никак иначе.)

в твоём случае нужно отказаться от "сетевого окружения" и сделать так:

создать пять сетей соединённых маршрутизатором. на маршрутизаторе в правилах реализовать возможность доступа к инету и из сети в сеть. при этом станет невозможным видеть всех участников сети в "сетевом окружении" но сетевое взаимодействие между ними останится неизменным(если не учитывать правила маршрутизатора).

маршрутизатор с двумя интерфейсами один в инет другой в локальную сеть. на том что в локальной сети алиасами помимо основного IP прописываешь дополнительных четыре. ставишь программу сетевого экрана (если маршрутизатор у тебя не аппаратный) пишешь правила. всё легко и просто.) условно.)

видеть узлы находящиеся в разных IP сетях в "сетевом кружениии" возможно только при наличии домена.

разбор полёта.)

Цитата ldima:

почему прописал маршрут один, по идее, первый ПК должен видеть второй ПК, а второй ПК не должен видеть первый, пока я маршрут не пропишу для него, но он тоже видит первый ПК и имеет доступ к его ресурсам? »

.)))) а ты в такой схеме можешь вообще маршруты не писать. просто поставь шлюзом по-умолчанию на клиентских ПК IP шлюза(ПК с двумя картами) соответственно настройкам для каждой сети и всё заработает. и помни любое сетевое взаимодействие двунаправленное! и никак иначе! если первый пингует второй то и второй непременно пингует первый! иначе нельзя(правила сетевого экрана не всчёт)

Цитата ldima:

Как сделать так, чтобы второй ПК отображался в сетевом окружении первого ПК (второй ПК не должен видеть первый)? »

никак нельзя сделать. выше обьяснил почему.

[ldima]

wertyg, спасибо за такой подробный ответ!

Но у меня еще есть вопрос.

Цитата:

видеть узлы находящиеся в разных IP сетях в "сетевом кружениии" возможно только при наличии домена.

Поднял домен - ничего не изменилось. может какую настройку покрутить на контролёре домена?

Цитата:

Цитата: почему прописал маршрут один, по идее, первый ПК должен видеть второй ПК, а второй ПК не должен видеть первый, пока я маршрут не пропишу для него, но он тоже видит первый ПК и имеет доступ к его ресурсам? » .)))) а ты в такой схеме можешь вообще маршруты не писать. просто поставь шлюзом по-умолчанию на клиентских ПК IP шлюза(ПК с двумя картами) соответственно настройкам для каждой сети и всё заработает.

Пробовал - не получается. Подробнее:

К ПК с двумя картами (192.168.1.1 и 192.168.10.1) подклучаю два ПК (маршутизацию на ПК с двумя картами вырубил):

Первый:

IP: 192.168.1.2
М: 255.255.255.0
Ш: нет
днс: нет

Второй:

IP: 192.168.10.2
М: 255.255.255.0
Ш: нет
днс: нет


Естественно, первый ПК пингует только 192.168.1.1 и 192.168.1.2
и не пингует вторую подсеть 192.168.10.1 и 192.168.10.2

То же касается и второго ПК - он пингует только 192.168.10.1 и 192.168.10.2
и не видит 192.168.1.1 и 192.168.1.2

Теперь пропишем шлюз у первого ПК: 192.168.1.1
Он начинает пинговать 192.168.10.1, но пропинговать второй ПК не может 192.168.10.2

При этом, второй ПК все равно не видит 192.168.1.1, пока не пропишу ему шлюз 192.168.10.1

Почему не сработала маршутизация?

[El Scorpio]

Цитата:

Получается, что сеть должна состоять из 5 сегментов (подсетей), причем, начальство может иметь доступ к ПК и ресурсам всех ниже стоящих подразделений (Бухгалтерия, отдел кадров, преподаватели, учебная часть). Бухгалтерия имеет доступ только в кадры. Кадры работают сами по себе и никому больше доступа не имеют. Преподаватели только к учебной части. Учебная часть - никому доступа не имеет.

Такая схема доступа легко реализуется путём использования домена. Правда, для этого нужно иметь на отдельном сервере контроллер домена с соответствующей операционной системой, которая стоит чуть меньше, чем дохрена.

Альтернативный вариант - с головняком - возможен в рамках рабочей группы. Нужно внутри одной подсети 192,168,1,0/255,255,255,0 назначать адреса компьютерам в виде нескольких диапазонов (для простоты, кратных 2). Потом во встроенном файрволле адреса (соответственно планируемой схеме доступа) добавляются в список разрешённых для службы "Общий доступ к файлам и принтерам" (как-то так называется).
Головняк тут вот в чём:
1) Нужно будет вручную настраивать ВСЕ*компьютеры
2) Какой-нибудь хитрожопый студентик может поменять адрес своего компьютера на адрес директорского (если тот выключен) и получить доступ ко всем файлам.

[ldima]

Цитата:

Такая схема доступа легко реализуется путём использования домена. Правда, для этого нужно иметь на отдельном сервере контроллер домена с соответствующей операционной системой, которая стоит чуть меньше, чем дохрена.

Как им образом это сделать? Всех клиентов в одну сеть включить и прописать политику доступа к ресурсам (дискам, файлам, принтерам) или разбивать их на подсети (дирекция, бухгалтерия, кадры...)?

[wertyg]

Цитата ldima:

маршутизацию на ПК с двумя картами вырубил »

я думал ты на ПК пишешь маршруты. на маршршрутизаторе маршруты быть должны прописаны иниче некак.

Цитата El Scorpio:

Альтернативный вариант - с головняком »

почитал, почитал и не совсем понял.

в первом посте я думал про вариант с использованием масок переменной длины. и теоритически мне казалось что будет работать и описания написал дохрена. но потом прикинул всё это на бумажечке и увидил почему работать небудет.( пришлось первый пост переписывать сзаново.)

Цитата ldima:

Всех клиентов в одну сеть включить и прописать политику доступа к ресурсам (дискам, файлам, принтерам) »

да с использованием домена можно так, это будет самый простой способ но с взаимодоступом не уступающий остальным. но можно и в разные сети и прописать права на доступ. в любом случае в сетевом кружении они будут видны. относительно настройки домена на этом форуме много тем.

[ldima]

Спасибо за ответы.

Еще вопрос - для чего используются программируемые коммутаторы?
В чем их преимущества перед обычными, непрограммируемыми?
Могу ли я применить такой коммутатор в описанной выше сети и получить от этого какую-то пользу?

[wertyg]

управляемые ты хотел сказать.)

наиболее используемая функция управляемых коммутаторов это VLAN. суть в том чтоб разделить\сдлать независимыми канальные сети.

сеть состоит из нескольких уровней. если к одному коммутатору подключить два ПК и назначить им IP из разных IP сетей т.е. наприммер 1-му 192.168.10.1 а 2-му 10.12.10.2 то взаимодействия на сетевом уровне у них не получиться. но на уровне канальной сети оба ПК будут видить данные передаваемые соседом, что является не очень хорошо в контексте безопасности.) и в действительно больших сетях с помощью VLAN можно и нужно локализовать широковещательный траффик(например по отделам или этажам) что способствует увелечению производительности сети и повышению безопасности. ну это так на вскидку.)

в твоём случае ты с помощью настройки управляемого коммутатора можешь реализовать вот это:

Цитата wertyg:

создать пять сетей »

и избежать вот этого

Цитата El Scorpio:

Какой-нибудь хитрожопый студентик может поменять адрес своего компьютера на адрес директорского (если тот выключен) и получить доступ ко всем файлам. »

разделение канальных сетей это очень полезная вешь.

у управляемых коммутаторов есть ещё много полезных функций просто эта пришла в голову первой.)

[ldima]

Всем спасибо за ответы!
Буду разбираться!

[Ingolder]

Непойму зачем морочиться с управляемыми комутаторами и прочим железом, и разбивать на сети, если можно всё сделать легко и просто в одной сети, как советовалось выше: поднимаем на серваке винду (можно и 2003 но я бы сделал 2008 ), поднимаем там домен, если бюджет тугой, то прям на том компе поднимаем dhcp, dns и всё что нужно, пользователей бьём на группы, делаем для них политики, всё, шоколад.
А комп с двумя сетевухами можно было бы использовать как програмный фаервол типа isa.