Организация доступа в Интернет в объединенной сети

[garald50]

Есть три территориально удаленных подразделения А, B и C.

Между A и B, A и С заказана услуга L2VPN.

В связи с этим планируется единое адресное пространство 192.168.0.0/22

Вопрос - как организовать предоставление доступа в интернет клиентам объединенной сети:

1. Всем раздавать интернет через шлюз в сети А?

2. В каждом подразделении свой интернет шлюз (как на схеме)? Какие в таком случае делать настройки на клиентских ПК в подразделениях B и С?

Edited May 28, 2015 by garald50

[xcme]

Если у вас DHCP общий, значит вы подразумеваете, что канал надежный. Тогда шлюз пусть будет один.

 

А вообще, на таких то расстояниях, лучше делать три автономных офиса.

[Ivan_83]

Автономные офисы, впн поднять можно и самому, нужно смотреть по деньгам/потребностям.

Общий л2 - плохо, будут проблемы не в одном офисе а везде сразу, при случае.

Но если там офисы на две колеки то в принципе наверно оно так и лучше.

[garald50]

Общий л2 - плохо, будут проблемы не в одном офисе а везде сразу, при случае.

Например, какая ситуация?

на таких то расстояниях, лучше делать три автономных офиса.

Хочется безгеморойно организовать возможность обращаться по NetBIOS именам ПК из одного офиса в другой

[Ivan_83]

Например, какая ситуация?

Например петля, флудящий порт, вирус который занимается arp спуфингом.

 

Хочется безгеморойно организовать возможность обращаться по NetBIOS именам ПК из одного офиса в другой

Не совместимо.

Делайте файлопомойку и цепляйте по IP всем желающим сетевым диском.

[garald50]

Делайте файлопомойку и цепляйте по IP всем желающим сетевым диском.

netbios имена для файлообмена в меньшей степени. В большей степени это для более простой поддержки клиентов. Например, для удаленного подключения к DHCP-клиентам для оказания поддержки в работе.

Edited May 29, 2015 by garald50

[ShyLion]

Есть три территориально удаленных подразделения А, B и C.

Между A и B, A и С заказана услуга L2VPN.

В связи с этим планируется единое адресное пространство 192.168.0.0/22

 

В корне неверное решение! Плохой дизайн. Так делать нельзя.

В каждое подразделение роутер Cisco начиная от 1841, в зависимости от пропускной способности. Поверх VPN тунели точка-точка, динамический роутинг EIGRP, резервирование через интернет.

Подсети нарезать из 10.0.0.0/8.

В копроративном сегменте использовать 192.168.0.0 и 192.168.1.0 нельзя.

[garald50]

В корне неверное решение!

С возможностью работы в сети по именам ПК что делать? Забыть? Edited May 29, 2015 by garald50

[garald50]

В копроративном сегменте использовать 192.168.0.0 и 192.168.1.0 нельзя.

А то что?

[danilbal]

В корне неверное решение!

С возможностью работы в сети по именам ПК что делать? Забыть?

Используйте DNS - для ваших задач должно хватить с головой. У вас же AD в структуре есть, надо думать?

В конце-концов, на DHCP сервере всегда можно посмотреть кому какой адрес присвоен.

 

В копроративном сегменте использовать 192.168.0.0 и 192.168.1.0 нельзя.

А то что?

А то воткнет какое-нибудь существо какой-нибудь роутер в дальнем-дальнем офисе и будете ловить глюки в центре:)

[NikAlexAn]

В корне неверное решение!

С возможностью работы в сети по именам ПК что делать? Забыть?

А у Вас домен или рабочая группа?

Вообще говоря для работы по именам вовсе не обязательно один L2 домен.

Если есть домен и сервера то поднять на серверах WINS(хоть и устаревшая технология но работает), настроить репликацию и поделить домен на сайты. В таком случае и броузинг будет работать при условии уникальности имён компов и юзеров.

Есди рабочая группа - то ip закреплять за компами и все имена в lmhost. Броузинг сети лучше не использовать в этом случае.

А насчёт того почему решение не верное с общим L2 - если по пути где то порвётся l2vpn до одного из удалённых офисов то работники этого офиса вам будут особо благодарны за невозможность даже автономной работы.

[Saab95]

А вообще, на таких то расстояниях, лучше делать три автономных офиса.

 

Нужно в каждом офисе поставить по микротику, выдать в каждом по своей подсети, например 10.10.0.0/24, 10.10.1.0/24 и так далее, один роутер сделать центральным, а нем поднять L2TP сервер и завести учетки. Удаленные офисы подключатся через интернет к центральному, по OSPF обменяются маршрутами. Локальные адреса будут передаваться по туннелю, в интернет каждый офис пойдет через свой канал. Если что-то где-то сломается, то пропадет связь только с одним офисом, если сломается центральное устройство, удаленные офисы смогут работать в интернете.

 

Можно подключить много провайдеров в каждом офисе, поставить много микротиков и все зарезервировать. При этом цена одного микротика, подходящие под установку в удаленном офисе всего 3000р.

 

netbios имена для файлообмена в меньшей степени. В большей степени это для более простой поддержки клиентов. Например, для удаленного подключения к DHCP-клиентам для оказания поддержки в работе.

 

Админ сможет зайти на роутер, посмотреть какие адреса получили компы по DHCP, дальше подключиться к ним по удаленке.

 

С возможностью работы в сети по именам ПК что делать? Забыть?

 

Зачем? Создаете ярлыки, принтеры подключаете по IP и никаких проблем.

[garald50]

Нужно в каждом офисе поставить по микротику

 

То есть предлагаете отказатьс от канала L2?

[alibek]

Да, сети лучше сегментировать.

Сетевой доступ по имени/IP сделать будет несложно.

А возможных сетевых проблем станет намного меньше.

[Ivan_83]

То есть предлагаете отказатьс от канала L2?

Здесь все именно это и предлагают.

[Saab95]

То есть предлагаете отказатьс от канала L2?

 

Конечно, ведь этим вы создаете проблемы сами себе. Кроме всего, арендуя канал L2, бывают проблемы с ограничением на количество мак адресов и заворот левого трафика. Так же аренда L2 обычно дороже интернета и не каждый оператор ее сможет предоставить. Именно поэтому и выгодно делать туннели самому через интернет.