DarkPagan Опубликовано 7 мая, 2008 · Жалоба Хотим в компании сделать маршрутизируемую сетку, то есть чтобы все отделы были каждые в своем сегменте (подсети), и могли бы выходить только на общие ресурсы, и в тоже время с серверов и компов администраторов можно бы было обратиться к любому отдельскому компу. В принципе, подобное раньше было реализована с помощью выделения в каждые отдел спец. компа - маршрутизатора, с двумя сетевыми адаптерами (один наружу, другой внутри отдела), и соответствующей настройкой таблицы роутинга на этом маршрутизаторе, и на всех клиентах. Но это было когда-то. Сейчас, покупать специально компы (или искать где-то старые) под эти цели не совсем выгодно, так как лишний шум, расход энергии, ТБ и т.д. Наверняка ведь существуют компактные аппаратные роутеры, подходящие ддля наших целей. Вот только найти бы их. Обощенная схема сети вот тут, обсуждал варианты возможного использования маршрутизаторов D-Link тут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fox_m Опубликовано 7 мая, 2008 · Жалоба Linux машина с одним сетевым интерфейсов, плюс коммутатор, понимающий vlan. На Linux машине поднимается нужное количество vlan интерфейсов. Сетки подключаются к портам коммутатора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vanger_ Опубликовано 7 мая, 2008 · Жалоба DarkPagan, сколько тысяч компов в сети? (смайлег) p.s. сейчас тебя еще спросят, сколько мегабит трафика должно проходить через роутер )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
IvanI Опубликовано 7 мая, 2008 · Жалоба управляемый свич L3 с АКЛ L3 - L4 - L4+ (гонять траф к сервакам через PC роутер - не гуд) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alcool Опубликовано 7 мая, 2008 (изменено) · Жалоба сколько сегментов? какая производительность? linksys wrt может такое (ультрабюджетно) Изменено 7 мая, 2008 пользователем alcool Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straus Опубликовано 8 мая, 2008 · Жалоба Хотим в компании сделать маршрутизируемую сетку, то есть чтобы все отделы были каждые в своем сегменте (подсети), и могли бы выходить только на общие ресурсы, и в тоже время с серверов и компов администраторов можно бы было обратиться к любому отдельскому компу. В принципе, подобное раньше было реализована с помощью выделения в каждые отдел спец. компа - маршрутизатора, с двумя сетевыми адаптерами (один наружу, другой внутри отдела), и соответствующей настройкой таблицы роутинга на этом маршрутизаторе, и на всех клиентах. Но это было когда-то. Сейчас, покупать специально компы (или искать где-то старые) под эти цели не совсем выгодно, так как лишний шум, расход энергии, ТБ и т.д. Наверняка ведь существуют компактные аппаратные роутеры, подходящие ддля наших целей. Вот только найти бы их. Обощенная схема сети вот тут, обсуждал варианты возможного использования маршрутизаторов D-Link тут. А сделать это на свитче с VLAN религия не позволяет? Вон у меня допотопные Intel 510T это исполняют, благо в них можно задавать комбинированные условия для VLAN. Или я неправильно понял задачу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DarkPagan Опубликовано 8 мая, 2008 · Жалоба На обощенную схему сети я в первом посте линк дал С VLAN конечно хотелось бы все замутить, у нас даже есть два DES-3828(L3) и один DGS-3024(L2) но тут несколько есть но: 1. На серверных платформах интегрированные сетевые адаптеры, которые не поддерживают в полном объеме стандарт VLAN, и нет дополнительных слотов чтобы их заменить, равно как не на всех рабочих станциях есть сетевухи с поддержкой VLAN (или я что-то путаю?) 2. Я вообще-то прикладной программер, с сетевой кухней столкнулся только на новой работе, т.к. выполняю сейчас ф-ции сист.инженера, и разобраться во всех премудростях настроек коммутаторов сложновато, и инфа которая есть в инете в основном расчитана налюдей имеющих уже какое-то представление обо всех тонкостях (да и терминология специфичная, стандарты тут всякие, голова кругом идет). Если бы мне кто объяснил как это дело реализовать (типа ткни туда, введи то-то, и т.д.). 3. Дело в том что покупать коммутаторы L3 для каждого отдела дорого, максимум можем закупить L2. Конкретно с VLAN мне не понятно, как реализовать чтобы на одном порту коммутатора было сразу несколько VLAN? Ведь у того же DES-3828 28 портов, а в спецификачии написано что он поддерживает до 4048 стат. VLAN, и до 255 динамических, то есть по любому должно быть можно делать несколько VLAN на одном порту. Кроме того, у нас DES-3828 стоят на уровне распределения(магистрали), между ними и раб. станциями есть еще 1-2 коммутатора уровня додступа (может я что-то с уровнями напутал, но в общем так: сервера<->DGS-1016D(коммутатор ядра)<->DES-3828(коммутаторы здания)<->DGS-1008(16)D (этажные коммутаторы)<->DES-1008(5) или Compex PS2208B (комнатные коммутаторы) ). Причем один отдел может быть территориально разбросан по нескольким этажам, и даже зданиям (у нас 2 здания: 4-этажное и 9-этажное). В принципе можно при необходимости закупить в качестве этажных коммутаторов, какие нибудь коммутаторы L2, если это понадобится. Короче в итоге нужно обеспечить нормальную работу в домене всех раб. станций, ну и чтобы трафф был порезанный по отделам. ЗЫ: Забыл сказать, у нас поднят домен AD, на серверах Win2k3 se r2 sp2, на раб. станциях winxp pro sp2, компов всего чуть более 200, но планируется закупать ещё. ЗЗЫ: Люди не обижайтесь, сам понимаю что полный чайник, но надо же что-то делать... Помогите пожалуйста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
m_medved Опубликовано 8 мая, 2008 (изменено) · Жалоба Ни серверы, ни пользователи не должны уметь vlan'ы — только маршрутизатор и свитчи, через которых пойдет трафик разных отделов. С помошью vlan как раз и объедините территориально раскиданные сети в цельные логические. Вот, кстати: http://wiki.nag.ru/wiki/index.php/%22%D0%9...%BD%D0%B8%D1%8F Изменено 8 мая, 2008 пользователем m_medved Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DarkPagan Опубликовано 8 мая, 2008 · Жалоба Т.е. сетевые адаптеры с поддержкой 802.1q не нужны? Ну а как всё же можно было бы реализовать мою задачу. С учетом имеющихся DES-3828. Приведите пожалуйста пример, что как где настроить. Какое сетевое оборудование может понадобится? Хотя бы приблизительно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alcool Опубликовано 8 мая, 2008 · Жалоба дайте подробный ответ на два вопроса, и мы тут вам с удовольствием накидаем варианты: - что будет роутером? (писюк или какаято железка) - нарисуйте нам схему сети (с указанием устройств, компьютеров.. вобщем максимально подробно) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DarkPagan Опубликовано 8 мая, 2008 · Жалоба 1. Роутером должны быть какие-нидь железки, т.е. не компы (шеф компы роутерами не хочет) 2. Схема сети обобщенная тут (88Кб). Есть подробная в Visio, но она дома, только после праздников могу показать. Хотя из обобщенной суть д.б. понятна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
english.voodoo Опубликовано 8 мая, 2008 · Жалоба Вариант №1. "Если в здании есть нормальная СКС, то есть линк от каждого рабочего места до этажной серверной". Ставим в серверной коммутатор(ы) 3-го уровня, допустим, 1-3 штуки 48-портовых AT-8648/2SP, втыкаем в них напрямую клиентов, нарезаем VLAN'ы по отделам, на каждому VLAN'е - роутинговый интерфейс с подсетью /24. Этажные коммутаторы гигабитными линками сводятся в коммутатор ядра L3 (допустим, AT 97-ой или 99-й серии), в него же подключаются серверы (в своем серверном VLAN'е и, соответственно, подсети). Все рады и счастливы. Минусы: не будет жесткой изоляции одного отдела от другого, то есть они будут в разных подсетях, но никто не запретит им пинговать друг друга, видеть в сетевом окружении и . т. д. Но тут вступает в дело AD, юзерам запрещается шарить папки, все данные переносятся на центральный сервер, расставляются правильные разрешения и все такое. Второй минус - L3 железо достаточно дорого, но тут его и нужно не так много. Плюс один, но большой: надежная и масштабируемая сеть. Вариант №2 "Если нет нормальной СКС, то есть до этажной серверной есть по одному линку из кабинета, а внутри кабинета на подоконниках лежат свитчи и юзеры спотыкаются о витую пару". В общем-то, все то же самое, что и в первом варианте, с изменениями: в этажной серверной ставится одна железка L3, в нее сводятся линки из кабинетов- один линк = один порт = один VLAN = одна подсеть. В кабинетах ставятся любые свитчи вплоть до самых тупых и дешевых (в соответствии с твоими представлениями о допустимом геморрое в единицу времени), в которые включаются рабочие места. Плюсы и минусы, в принципе, те же самые, что и в первом варианте. Железо тут будет дешевле, но и надежность будет чуть ниже, да и удовлетворения от работы получишь чуть меньше :) В обоих вариантах на центральном сервере запускаются DHCP и DNS, на коммутаторах настраиваются DHCP-relay и далее по вкусу. Как-то так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
english.voodoo Опубликовано 8 мая, 2008 · Жалоба Кстати, если совсем нет желания что-то сильно и дорого менять, то в природе есть компактные машинки типа Soekris, EBOX и прочих (см. ipc2u.ru), на которые можно поставить линукс или БСД по вкусу и кинуть в угол кабинета, чтоб была роутером. В них есть от двух сетевых интерфейсов, нет вентиляторов, винчестеров и других движущихся частей. Но и по цене их к совсем бюджетным решениям не отнесешь. Зато вся мощь и управляемость *nix-систем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 8 мая, 2008 · Жалоба Soekris даже врагам стыдно советовать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BETEPAH Опубликовано 8 мая, 2008 · Жалоба ведь уже есть DES-3828, вот и бейте с его помощью на сегменты, а с помощью ACL настраиваете нужные доступы каждому отделу, но по вашей схеме не получится разбить на отделы, а только на этажи Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DarkPagan Опубликовано 8 мая, 2008 (изменено) · Жалоба Пока СКС нету, и кабеля от кабинетов протащить пока что не реально. Но шеф собирается в будущем делать СКС, именно по этому он DES-3828 и закупил. Кстати, если совсем нет желания что-то сильно и дорого менять, то в природе есть компактные машинки типа Soekris, EBOX и прочих (см. ipc2u.ru), на которые можно поставить линукс или БСД по вкусу и кинуть в угол кабинета, чтоб была роутером. В них есть от двух сетевых интерфейсов, нет вентиляторов, винчестеров и других движущихся частей. Но и по цене их к совсем бюджетным решениям не отнесешь. Зато вся мощь и управляемость *nix-систем.А нету чисто аппаратных роутеров, т.е. маленькая дешевая железка с двумя или более интерфейсами которая могли бы маршрутизировать трафф и все? Никакие дополнительные ф-ции больше не нужны. Т.е. чтобы не закупать компактные ПК(КПК), а поставить чисто такие простенькие роутеры, т.к. идея с КПК конечно хорошая но для нас дороговато, посмотрел что самый дешевый КПК стоит 390$, а мы можем себе позволить максимум на железку 150$. Изменено 8 мая, 2008 пользователем DarkPagan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
english.voodoo Опубликовано 8 мая, 2008 · Жалоба Soekris даже врагам стыдно советовать... а что с ними не так? выглядят вроде нормально. есть печальный опыт? поделитесь, не держите в себе :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
english.voodoo Опубликовано 8 мая, 2008 · Жалоба мы можем себе позволить максимум на железку 150$. 10 кабинетов по $150 = $1500 на нормальный этажный коммутатор L3 + на мыльницы в кабинеты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alcool Опубликовано 8 мая, 2008 · Жалоба нужны не роутеры а роутер. один. хоть с одним интерфейсом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DarkPagan Опубликовано 8 мая, 2008 · Жалоба По 1 варианту: Необходимо именно разграничить трафф, чтобы физически пользователь из другого отдела немог проснифать трафф пользователя из другого отдела, с учетом того что пользователи могут притащить свои ноуты, политики доменной GPO на который не будут действовать. По 2 варианту: Хороший вариант, только для нас пока дорого, это же минимум 10 свичей L3 надо. Короче я так понял, что сэкономить не получится... По любому придется много потратить $$$. Эх... Оффтоп: Почему не делают простых дешевых роутеров? Чё за жисть такая... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
prema Опубликовано 8 мая, 2008 · Жалоба роутер простой дешёвый есть. и делает их длинк. тока он работает х...во. так работает, что почти как не работает. т.е. его почти нету. комп (мат плата і945г, память, +сетевуха и юсб винт (флеша) = 200уе. тока настраивать долго. (я файлсервер 1с для филиала сделал)) зайсель л2 24 портовый c поддержкой вланов 500уе. подключаете всех через коммутаторы с поддержкой вланов, как вам и советовали. либо отдел через мыльницу и в порт DES-3828 по влану на порт. и усьо. а вабще в такой сети должна быть отдельная штатная единица для таких задач. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
english.voodoo Опубликовано 8 мая, 2008 · Жалоба DarkPagan, Во-первых: в пределах одного коммутатора прослушивание трафика либо невозможно, либо весьма затруднительно, либо сопряжено с пытками/подкупом администратора этого коммутатора. Во-вторых: если действительно речь идет о столь серьезных требованиях к безопасности, то есть другие пути защиты, в частности аутентификация 802.1x (с установкой локального центра сертификации, RADIUS-сервера, выдачей сертификатов на всех машины и всем, что к этому прилагается) + перенос всех пользовательских данных на центральный сервер + шифрование трафика от клиентов до сервера и запрет клиентам общаться друг с другом напрямую. Плюс - все сопутствующие организационные меры, регламенты, инструкции и т. д. Пока трафик не зашифрован, можно хоть каждую машину включить через отдельный роутер, а этот роутер включить еще через два роутера - толку не будет. И да, безопасность - это вопрос, требующий тщательной проработки, начиная с определения собственно защищаемых данных, составления модели злоумышленника, нахождения компромисса между безопасностью и удобством работы и только потом - проектирование технических решений. And last but not least: экономить чужие деньги в ущерб надежности и управляемости сети, обрекая себя на бесконечное скакание по этим 12 этажам - это последняя мысль, из тех, что должны придти в твою голову. Лучше вложить деньги в хорошее оборудование и кабельные системы, чем сэкономить 5 баксов (которые ведь не в твой карман упадут?) и иметь от этого постоянную головную боль, пинки от руководства и лучи поноса от тех, кто придет на все это хозяйство, когда ты оттуда уволишься. И это правда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lugoblin Опубликовано 8 мая, 2008 · Жалоба Soekris даже врагам стыдно советовать...а что с ними не так? выглядят вроде нормально. есть печальный опыт? поделитесь, не держите в себе :) +1Я прикупил по рекомендации людей которые их на мачты забрасывают на предмет измерения атмосферных параметров. Говорят, очень надежно работают. Ближайшее к нареканиям что имею это: 1. Нехватка процессорной мощности (без аппаратного акселератора net5501-70 шифрует со скоростью 4-5 МБ/сек). 2. Обида что приходится ухищрятся для доступа ко второму ком-порту и второму USB, в штатном корпусе их вывод наружу предусмотрен только как альтенарива PCI карточке. По моему претензии такого типа надо класифицировать как "с жиру". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KoloBok Опубликовано 9 мая, 2008 · Жалоба По 1 варианту: Необходимо именно разграничить трафф, чтобы физически пользователь из другого отдела немог проснифать трафф пользователя из другого отдела, с учетом того что пользователи могут притащить свои ноуты, политики доменной GPO на который не будут действовать.По 2 варианту: Хороший вариант, только для нас пока дорого, это же минимум 10 свичей L3 надо. Короче я так понял, что сэкономить не получится... По любому придется много потратить $$$. Эх... Оффтоп: Почему не делают простых дешевых роутеров? Чё за жисть такая... Ва же написали уже: "ведь уже есть DES-3828, вот и бейте с его помощью на сегменты, а с помощью ACL настраиваете нужные доступы каждому отделу"Весь запрошенный Вами функционал можно получить на этой железке. С минимальными изменениями приведенной топологии сети. С применением DHCP relay - с достаточно высоким уровнем безопасности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DarkPagan Опубликовано 13 мая, 2008 · Жалоба Да на счет DES-3828 понятно, но на данный момент нет возможности протянуть все необходимые кабели чтобы можно было каждый отдел воткнуть в DES-3828. Вернемся к нашим "баранам"... prema написал что у Д-Линка есть простые коммутаторы, что за модель? К тому же у нас есть DI-808HV, и подобную конфигурацию (правда машин было по меньше всего 30 шт) летом прошлом года с помощью 808 реализовывал один знакомый, но дело в том что он точно не помнит как, так как это было на другой работе, и знакомый этот за 1000 с лишним км. сейчас. Вроде бы у DI-808HV есть какие-то не документированные возможности, точнее есть странички конфигурации к которым нельзя получить доступ из основного меню... ну например syslog2.htm, sysp.htm и т.п. Может быть есть такие же странички на которых можно было бы отключить NAT, и включить роутинг из WAN в LAN? Или может быть какие-нибудь были настройки в старых прошивках, которых в новых нету? У нас сейчас эти роутеры с ноябрьскими прошивками v.1.50 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...