Jump to content
Калькуляторы

Организация доступа в Интернет в объединенной сети Интернет в удаленных подразделениях

Есть три территориально удаленных подразделения А, B и C.

Между A и B, A и С заказана услуга L2VPN.

В связи с этим планируется единое адресное пространство 192.168.0.0/22

Вопрос - как организовать предоставление доступа в интернет клиентам объединенной сети:

1. Всем раздавать интернет через шлюз в сети А?

2. В каждом подразделении свой интернет шлюз (как на схеме)? Какие в таком случае делать настройки на клиентских ПК в подразделениях B и С?

post-89534-061146300 1432821358_thumb.png

Edited by garald50

Share this post


Link to post
Share on other sites

Если у вас DHCP общий, значит вы подразумеваете, что канал надежный. Тогда шлюз пусть будет один.

 

А вообще, на таких то расстояниях, лучше делать три автономных офиса.

Share this post


Link to post
Share on other sites

Автономные офисы, впн поднять можно и самому, нужно смотреть по деньгам/потребностям.

Общий л2 - плохо, будут проблемы не в одном офисе а везде сразу, при случае.

Но если там офисы на две колеки то в принципе наверно оно так и лучше.

Share this post


Link to post
Share on other sites

Общий л2 - плохо, будут проблемы не в одном офисе а везде сразу, при случае.

Например, какая ситуация?

на таких то расстояниях, лучше делать три автономных офиса.

Хочется безгеморойно организовать возможность обращаться по NetBIOS именам ПК из одного офиса в другой

Share this post


Link to post
Share on other sites
Например, какая ситуация?

Например петля, флудящий порт, вирус который занимается arp спуфингом.

 

Хочется безгеморойно организовать возможность обращаться по NetBIOS именам ПК из одного офиса в другой

Не совместимо.

Делайте файлопомойку и цепляйте по IP всем желающим сетевым диском.

Share this post


Link to post
Share on other sites

Делайте файлопомойку и цепляйте по IP всем желающим сетевым диском.

netbios имена для файлообмена в меньшей степени. В большей степени это для более простой поддержки клиентов. Например, для удаленного подключения к DHCP-клиентам для оказания поддержки в работе.

Edited by garald50

Share this post


Link to post
Share on other sites

Есть три территориально удаленных подразделения А, B и C.

Между A и B, A и С заказана услуга L2VPN.

В связи с этим планируется единое адресное пространство 192.168.0.0/22

 

В корне неверное решение! Плохой дизайн. Так делать нельзя.

В каждое подразделение роутер Cisco начиная от 1841, в зависимости от пропускной способности. Поверх VPN тунели точка-точка, динамический роутинг EIGRP, резервирование через интернет.

Подсети нарезать из 10.0.0.0/8.

В копроративном сегменте использовать 192.168.0.0 и 192.168.1.0 нельзя.

Share this post


Link to post
Share on other sites

В корне неверное решение!

С возможностью работы в сети по именам ПК что делать? Забыть?
Edited by garald50

Share this post


Link to post
Share on other sites

В копроративном сегменте использовать 192.168.0.0 и 192.168.1.0 нельзя.

А то что?

Share this post


Link to post
Share on other sites

В корне неверное решение!

С возможностью работы в сети по именам ПК что делать? Забыть?

Используйте DNS - для ваших задач должно хватить с головой. У вас же AD в структуре есть, надо думать?

В конце-концов, на DHCP сервере всегда можно посмотреть кому какой адрес присвоен.

 

В копроративном сегменте использовать 192.168.0.0 и 192.168.1.0 нельзя.

А то что?

А то воткнет какое-нибудь существо какой-нибудь роутер в дальнем-дальнем офисе и будете ловить глюки в центре:)

Share this post


Link to post
Share on other sites

В корне неверное решение!

С возможностью работы в сети по именам ПК что делать? Забыть?

А у Вас домен или рабочая группа?

Вообще говоря для работы по именам вовсе не обязательно один L2 домен.

Если есть домен и сервера то поднять на серверах WINS(хоть и устаревшая технология но работает), настроить репликацию и поделить домен на сайты. В таком случае и броузинг будет работать при условии уникальности имён компов и юзеров.

Есди рабочая группа - то ip закреплять за компами и все имена в lmhost. Броузинг сети лучше не использовать в этом случае.

А насчёт того почему решение не верное с общим L2 - если по пути где то порвётся l2vpn до одного из удалённых офисов то работники этого офиса вам будут особо благодарны за невозможность даже автономной работы.

Share this post


Link to post
Share on other sites

А вообще, на таких то расстояниях, лучше делать три автономных офиса.

 

Нужно в каждом офисе поставить по микротику, выдать в каждом по своей подсети, например 10.10.0.0/24, 10.10.1.0/24 и так далее, один роутер сделать центральным, а нем поднять L2TP сервер и завести учетки. Удаленные офисы подключатся через интернет к центральному, по OSPF обменяются маршрутами. Локальные адреса будут передаваться по туннелю, в интернет каждый офис пойдет через свой канал. Если что-то где-то сломается, то пропадет связь только с одним офисом, если сломается центральное устройство, удаленные офисы смогут работать в интернете.

 

Можно подключить много провайдеров в каждом офисе, поставить много микротиков и все зарезервировать. При этом цена одного микротика, подходящие под установку в удаленном офисе всего 3000р.

 

netbios имена для файлообмена в меньшей степени. В большей степени это для более простой поддержки клиентов. Например, для удаленного подключения к DHCP-клиентам для оказания поддержки в работе.

 

Админ сможет зайти на роутер, посмотреть какие адреса получили компы по DHCP, дальше подключиться к ним по удаленке.

 

С возможностью работы в сети по именам ПК что делать? Забыть?

 

Зачем? Создаете ярлыки, принтеры подключаете по IP и никаких проблем.

Share this post


Link to post
Share on other sites

Нужно в каждом офисе поставить по микротику

 

То есть предлагаете отказатьс от канала L2?

Share this post


Link to post
Share on other sites

Да, сети лучше сегментировать.

Сетевой доступ по имени/IP сделать будет несложно.

А возможных сетевых проблем станет намного меньше.

Share this post


Link to post
Share on other sites
То есть предлагаете отказатьс от канала L2?

Здесь все именно это и предлагают.

Share this post


Link to post
Share on other sites

То есть предлагаете отказатьс от канала L2?

 

Конечно, ведь этим вы создаете проблемы сами себе. Кроме всего, арендуя канал L2, бывают проблемы с ограничением на количество мак адресов и заворот левого трафика. Так же аренда L2 обычно дороже интернета и не каждый оператор ее сможет предоставить. Именно поэтому и выгодно делать туннели самому через интернет.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this