физическое разделение сети или VLan?
 

Есть сеть в которой объеденены компютеры и специальное оборудование. К сети подключён Интернет.
Поставлено требование физически отделить сеть с оборудованием от сети компютеров.
В отделённую сеть с оборудованием "подать" Интернет.
Обоснованием такого требования есть то, что на оборудованию нет антивирусной защиты и туда могут попасть вирусы с компютеров.

Не хочу делить физически!
Думаю, что надо далить логически-разбить на VLan-ы.
Помогут ли VLan-ы? Что надо дополнительно для того чтобы реализовать это через виланы?
Какие приемущиства и недостатки применения в етой ситуации виланов?

Я тоже.
Однако тебе придётся объяснять проверяющим, что такое VLan. А потом будет, как в фильме "Карты, деньги, два ствола", когда "Смитти с объяснениями не справился" :)

Если в это "оборудование" будут втыкаться флэшки, вирусы проникнут 100%.

Три раза "ха-ха". Как раз таки интернеты и есть самый большой рассадник вирусов.

А что за "оборудование" и какое ПО стоит на нём? Может, проще будет объяснить начальству, что вирусы это оборудование вообще не испортят?

В первую очередь меня интересует решает ли ету задачу вилан?

>Если в это "оборудование" будут втыкаться флэшки, вирусы проникнут 100%.
>Три раза "ха-ха". Как раз таки интернеты и есть самый большой рассадник вирусов.

С интернету они планируют прописать определённые ip с которого можна будет заходить, порты позакрывать, логины пароли и т.д. Интнрнет там нужен для тех. поддержки оборудования.
Но ето не важно, и не мои ето проблемы, вопрос не о том как защитить оборудование, а о том возможно ли с помощью вилан ето сделать или всё таки надо делить физически.



А что за "оборудование" и какое ПО стоит на нём? Может, проще будет объяснить начальству, что вирусы это оборудование вообще не испортят?
Медицинское оборудование, что там стоит не знаю, да и мало меня ето волнует счас...

Отделить - возможно. Главное, чтобы общий для обоих VLan'ов маршрутизатор никакая зараза из основной сети не заразила.

Если там стоит классово правильный Linux или BSD, то windows-вирусы ему ничего не сделают.
Хотя "прописать определённые ip с которого можна будет заходить, порты позакрывать, логины пароли и т.д." конкретно на этом оборудовании нужно будет сделать в любом случае.

Ну а если Windows... :) :) :)

1)
Расшифруйте понятие "отделить"
Варианты:
- чтобы вообще не пересекались
- чтобы пересекались только через межсетевой экран
- что-то третье


2) Недостатки следующие:
- Механизм VLAN не сертифицирован как средство защиты информации, соответсвенно если данные "пляски" предназначены, для удовлетворения требований по формальной безопасности (например аттестация объекта по ФСТЭК) - то придется покорячится;
- Механизм VLAN не балансирует нагрузку (хотя, с другой стороны, я не припомню вариантов загадить сеть на втором уровне);
- Механизм VLAN, особенно в полнофункциональных его проявлениях, не является интуитивно понятным, по сравнению с отдельными коммутаторами и шнурочками;
- Требуется гораздо более дорогое оборудование;
- требуется более тщательное планирование сети.