[DarkPagan]

Хотим в компании сделать маршрутизируемую сетку, то есть чтобы все отделы были каждые в своем сегменте (подсети), и могли бы выходить только на общие ресурсы, и в тоже время с серверов и компов администраторов можно бы было обратиться к любому отдельскому компу. В принципе, подобное раньше было реализована с помощью выделения в каждые отдел спец. компа - маршрутизатора, с двумя сетевыми адаптерами (один наружу, другой внутри отдела), и соответствующей настройкой таблицы роутинга на этом маршрутизаторе, и на всех клиентах. Но это было когда-то. Сейчас, покупать специально компы (или искать где-то старые) под эти цели не совсем выгодно, так как лишний шум, расход энергии, ТБ и т.д. Наверняка ведь существуют компактные аппаратные роутеры, подходящие ддля наших целей. Вот только найти бы их. Обощенная схема сети вот тут, обсуждал варианты возможного использования маршрутизаторов D-Link тут.

[fox_m]

Linux машина с одним сетевым интерфейсов, плюс коммутатор, понимающий vlan. На Linux машине поднимается нужное количество vlan интерфейсов. Сетки подключаются к портам коммутатора.

[Vanger_]

DarkPagan, сколько тысяч компов в сети? (смайлег)

 

p.s. сейчас тебя еще спросят, сколько мегабит трафика должно проходить через роутер ))

[IvanI]

управляемый свич L3 с АКЛ L3 - L4 - L4+ (гонять траф к сервакам через PC роутер - не гуд)

[alcool]

сколько сегментов? какая производительность?

linksys wrt может такое (ультрабюджетно)

Изменено 7 мая, 2008 пользователем alcool

[straus]

Хотим в компании сделать маршрутизируемую сетку, то есть чтобы все отделы были каждые в своем сегменте (подсети), и могли бы выходить только на общие ресурсы, и в тоже время с серверов и компов администраторов можно бы было обратиться к любому отдельскому компу. В принципе, подобное раньше было реализована с помощью выделения в каждые отдел спец. компа - маршрутизатора, с двумя сетевыми адаптерами (один наружу, другой внутри отдела), и соответствующей настройкой таблицы роутинга на этом маршрутизаторе, и на всех клиентах. Но это было когда-то. Сейчас, покупать специально компы (или искать где-то старые) под эти цели не совсем выгодно, так как лишний шум, расход энергии, ТБ и т.д. Наверняка ведь существуют компактные аппаратные роутеры, подходящие ддля наших целей. Вот только найти бы их. Обощенная схема сети вот тут, обсуждал варианты возможного использования маршрутизаторов D-Link тут.

А сделать это на свитче с VLAN религия не позволяет?

Вон у меня допотопные Intel 510T это исполняют, благо в них можно задавать комбинированные условия для VLAN.

Или я неправильно понял задачу?

[DarkPagan]

На обощенную схему сети я в первом посте линк дал

С VLAN конечно хотелось бы все замутить, у нас даже есть два DES-3828(L3) и один DGS-3024(L2) но тут несколько есть но:

1. На серверных платформах интегрированные сетевые адаптеры, которые не поддерживают в полном объеме стандарт VLAN, и нет дополнительных слотов чтобы их заменить, равно как не на всех рабочих станциях есть сетевухи с поддержкой VLAN (или я что-то путаю?)

2. Я вообще-то прикладной программер, с сетевой кухней столкнулся только на новой работе, т.к. выполняю сейчас ф-ции сист.инженера, и разобраться во всех премудростях настроек коммутаторов сложновато, и инфа которая есть в инете в основном расчитана налюдей имеющих уже какое-то представление обо всех тонкостях (да и терминология специфичная, стандарты тут всякие, голова кругом идет). Если бы мне кто объяснил как это дело реализовать (типа ткни туда, введи то-то, и т.д.).

3. Дело в том что покупать коммутаторы L3 для каждого отдела дорого, максимум можем закупить L2.

Конкретно с VLAN мне не понятно, как реализовать чтобы на одном порту коммутатора было сразу несколько VLAN? Ведь у того же DES-3828 28 портов, а в спецификачии написано что он поддерживает до 4048 стат. VLAN, и до 255 динамических, то есть по любому должно быть можно делать несколько VLAN на одном порту. Кроме того, у нас DES-3828 стоят на уровне распределения(магистрали), между ними и раб. станциями есть еще 1-2 коммутатора уровня додступа (может я что-то с уровнями напутал, но в общем так: сервера<->DGS-1016D(коммутатор ядра)<->DES-3828(коммутаторы здания)<->DGS-1008(16)D (этажные коммутаторы)<->DES-1008(5) или Compex PS2208B (комнатные коммутаторы) ). Причем один отдел может быть территориально разбросан по нескольким этажам, и даже зданиям (у нас 2 здания: 4-этажное и 9-этажное). В принципе можно при необходимости закупить в качестве этажных коммутаторов, какие нибудь коммутаторы L2, если это понадобится. Короче в итоге нужно обеспечить нормальную работу в домене всех раб. станций, ну и чтобы трафф был порезанный по отделам.

 

ЗЫ: Забыл сказать, у нас поднят домен AD, на серверах Win2k3 se r2 sp2, на раб. станциях winxp pro sp2, компов всего чуть более 200, но планируется закупать ещё.

ЗЗЫ: Люди не обижайтесь, сам понимаю что полный чайник, но надо же что-то делать... Помогите пожалуйста.

[m_medved]

Ни серверы, ни пользователи не должны уметь vlan'ы — только маршрутизатор и свитчи, через которых пойдет трафик разных отделов.

С помошью vlan как раз и объедините территориально раскиданные сети в цельные логические.

Вот, кстати:

http://wiki.nag.ru/wiki/index.php/%22%D0%9...%BD%D0%B8%D1%8F

Изменено 8 мая, 2008 пользователем m_medved

[DarkPagan]

Т.е. сетевые адаптеры с поддержкой 802.1q не нужны?

Ну а как всё же можно было бы реализовать мою задачу. С учетом имеющихся DES-3828. Приведите пожалуйста пример, что как где настроить. Какое сетевое оборудование может понадобится? Хотя бы приблизительно.

[alcool]

дайте подробный ответ на два вопроса, и мы тут вам с удовольствием накидаем варианты:

- что будет роутером? (писюк или какаято железка)

- нарисуйте нам схему сети (с указанием устройств, компьютеров.. вобщем максимально подробно)

[DarkPagan]

1. Роутером должны быть какие-нидь железки, т.е. не компы (шеф компы роутерами не хочет)

2. Схема сети обобщенная тут (88Кб). Есть подробная в Visio, но она дома, только после праздников могу показать. Хотя из обобщенной суть д.б. понятна.

 

[english.voodoo]

Вариант №1. "Если в здании есть нормальная СКС, то есть линк от каждого рабочего места до этажной серверной".

Ставим в серверной коммутатор(ы) 3-го уровня, допустим, 1-3 штуки 48-портовых AT-8648/2SP, втыкаем в них напрямую клиентов, нарезаем VLAN'ы по отделам, на каждому VLAN'е - роутинговый интерфейс с подсетью /24. Этажные коммутаторы гигабитными линками сводятся в коммутатор ядра L3 (допустим, AT 97-ой или 99-й серии), в него же подключаются серверы (в своем серверном VLAN'е и, соответственно, подсети). Все рады и счастливы.

Минусы: не будет жесткой изоляции одного отдела от другого, то есть они будут в разных подсетях, но никто не запретит им пинговать друг друга, видеть в сетевом окружении и . т. д. Но тут вступает в дело AD, юзерам запрещается шарить папки, все данные переносятся на центральный сервер, расставляются правильные разрешения и все такое. Второй минус - L3 железо достаточно дорого, но тут его и нужно не так много.

Плюс один, но большой: надежная и масштабируемая сеть.

 

Вариант №2 "Если нет нормальной СКС, то есть до этажной серверной есть по одному линку из кабинета, а внутри кабинета на подоконниках лежат свитчи и юзеры спотыкаются о витую пару".

В общем-то, все то же самое, что и в первом варианте, с изменениями: в этажной серверной ставится одна железка L3, в нее сводятся линки из кабинетов- один линк = один порт = один VLAN = одна подсеть. В кабинетах ставятся любые свитчи вплоть до самых тупых и дешевых (в соответствии с твоими представлениями о допустимом геморрое в единицу времени), в которые включаются рабочие места.

Плюсы и минусы, в принципе, те же самые, что и в первом варианте. Железо тут будет дешевле, но и надежность будет чуть ниже, да и удовлетворения от работы получишь чуть меньше :)

 

В обоих вариантах на центральном сервере запускаются DHCP и DNS, на коммутаторах настраиваются DHCP-relay и далее по вкусу.

 

Как-то так.

[english.voodoo]

Кстати, если совсем нет желания что-то сильно и дорого менять, то в природе есть компактные машинки типа Soekris, EBOX и прочих (см. ipc2u.ru), на которые можно поставить линукс или БСД по вкусу и кинуть в угол кабинета, чтоб была роутером. В них есть от двух сетевых интерфейсов, нет вентиляторов, винчестеров и других движущихся частей. Но и по цене их к совсем бюджетным решениям не отнесешь. Зато вся мощь и управляемость *nix-систем.

[jab]

 

Soekris даже врагам стыдно советовать...

[BETEPAH]

ведь уже есть DES-3828, вот и бейте с его помощью на сегменты, а с помощью ACL настраиваете нужные доступы каждому отделу, но по вашей схеме не получится разбить на отделы, а только на этажи

[DarkPagan]

Пока СКС нету, и кабеля от кабинетов протащить пока что не реально. Но шеф собирается в будущем делать СКС, именно по этому он DES-3828 и закупил.

Кстати, если совсем нет желания что-то сильно и дорого менять, то в природе есть компактные машинки типа Soekris, EBOX и прочих (см. ipc2u.ru), на которые можно поставить линукс или БСД по вкусу и кинуть в угол кабинета, чтоб была роутером. В них есть от двух сетевых интерфейсов, нет вентиляторов, винчестеров и других движущихся частей. Но и по цене их к совсем бюджетным решениям не отнесешь. Зато вся мощь и управляемость *nix-систем.

А нету чисто аппаратных роутеров, т.е. маленькая дешевая железка с двумя или более интерфейсами которая могли бы маршрутизировать трафф и все? Никакие дополнительные ф-ции больше не нужны. Т.е. чтобы не закупать компактные ПК(КПК), а поставить чисто такие простенькие роутеры, т.к. идея с КПК конечно хорошая но для нас дороговато, посмотрел что самый дешевый КПК стоит 390$, а мы можем себе позволить максимум на железку 150$.

Изменено 8 мая, 2008 пользователем DarkPagan

[english.voodoo]

Soekris даже врагам стыдно советовать...

а что с ними не так? выглядят вроде нормально. есть печальный опыт? поделитесь, не держите в себе :)

[english.voodoo]

мы можем себе позволить максимум на железку 150$.

10 кабинетов по $150 = $1500 на нормальный этажный коммутатор L3 + на мыльницы в кабинеты.

[alcool]

нужны не роутеры а роутер. один. хоть с одним интерфейсом.

[DarkPagan]

По 1 варианту: Необходимо именно разграничить трафф, чтобы физически пользователь из другого отдела немог проснифать трафф пользователя из другого отдела, с учетом того что пользователи могут притащить свои ноуты, политики доменной GPO на который не будут действовать.

По 2 варианту: Хороший вариант, только для нас пока дорого, это же минимум 10 свичей L3 надо.

Короче я так понял, что сэкономить не получится... По любому придется много потратить $$$. Эх...

 

Оффтоп: Почему не делают простых дешевых роутеров? Чё за жисть такая...

[prema]

роутер простой дешёвый есть. и делает их длинк. тока он работает х...во. так работает, что почти как не работает. т.е. его почти нету.

комп (мат плата і945г, память, +сетевуха и юсб винт (флеша) = 200уе. тока настраивать долго. (я файлсервер 1с для филиала сделал))

зайсель л2 24 портовый c поддержкой вланов 500уе. подключаете всех через коммутаторы с поддержкой вланов, как вам и советовали.

либо отдел через мыльницу и в порт DES-3828 по влану на порт. и усьо.

а вабще в такой сети должна быть отдельная штатная единица для таких задач.

[english.voodoo]

DarkPagan,

Во-первых: в пределах одного коммутатора прослушивание трафика либо невозможно, либо весьма затруднительно, либо сопряжено с пытками/подкупом администратора этого коммутатора.

 

Во-вторых: если действительно речь идет о столь серьезных требованиях к безопасности, то есть другие пути защиты, в частности аутентификация 802.1x (с установкой локального центра сертификации, RADIUS-сервера, выдачей сертификатов на всех машины и всем, что к этому прилагается) + перенос всех пользовательских данных на центральный сервер + шифрование трафика от клиентов до сервера и запрет клиентам общаться друг с другом напрямую. Плюс - все сопутствующие организационные меры, регламенты, инструкции и т. д. Пока трафик не зашифрован, можно хоть каждую машину включить через отдельный роутер, а этот роутер включить еще через два роутера - толку не будет. И да, безопасность - это вопрос, требующий тщательной проработки, начиная с определения собственно защищаемых данных, составления модели злоумышленника, нахождения компромисса между безопасностью и удобством работы и только потом - проектирование технических решений.

 

And last but not least: экономить чужие деньги в ущерб надежности и управляемости сети, обрекая себя на бесконечное скакание по этим 12 этажам - это последняя мысль, из тех, что должны придти в твою голову. Лучше вложить деньги в хорошее оборудование и кабельные системы, чем сэкономить 5 баксов (которые ведь не в твой карман упадут?) и иметь от этого постоянную головную боль, пинки от руководства и лучи поноса от тех, кто придет на все это хозяйство, когда ты оттуда уволишься.

 

И это правда.

 

[lugoblin]

Soekris даже врагам стыдно советовать...

а что с ними не так? выглядят вроде нормально. есть печальный опыт? поделитесь, не держите в себе :)

+1

Я прикупил по рекомендации людей которые их на мачты забрасывают на предмет измерения атмосферных параметров. Говорят, очень надежно работают.

 

Ближайшее к нареканиям что имею это:

1. Нехватка процессорной мощности (без аппаратного акселератора net5501-70 шифрует со скоростью 4-5 МБ/сек).

2. Обида что приходится ухищрятся для доступа ко второму ком-порту и второму USB, в штатном корпусе их вывод наружу предусмотрен только как альтенарива PCI карточке.

По моему претензии такого типа надо класифицировать как "с жиру".

 

[KoloBok]

По 1 варианту: Необходимо именно разграничить трафф, чтобы физически пользователь из другого отдела немог проснифать трафф пользователя из другого отдела, с учетом того что пользователи могут притащить свои ноуты, политики доменной GPO на который не будут действовать.

По 2 варианту: Хороший вариант, только для нас пока дорого, это же минимум 10 свичей L3 надо.

Короче я так понял, что сэкономить не получится... По любому придется много потратить $$$. Эх...

 

Оффтоп: Почему не делают простых дешевых роутеров? Чё за жисть такая...

Ва же написали уже: "ведь уже есть DES-3828, вот и бейте с его помощью на сегменты, а с помощью ACL настраиваете нужные доступы каждому отделу"

Весь запрошенный Вами функционал можно получить на этой железке. С минимальными изменениями приведенной топологии сети.

С применением DHCP relay - с достаточно высоким уровнем безопасности.

 

[DarkPagan]

Да на счет DES-3828 понятно, но на данный момент нет возможности протянуть все необходимые кабели чтобы можно было каждый отдел воткнуть в DES-3828. Вернемся к нашим "баранам"... prema написал что у Д-Линка есть простые коммутаторы, что за модель? К тому же у нас есть DI-808HV, и подобную конфигурацию (правда машин было по меньше всего 30 шт) летом прошлом года с помощью 808 реализовывал один знакомый, но дело в том что он точно не помнит как, так как это было на другой работе, и знакомый этот за 1000 с лишним км. сейчас. Вроде бы у DI-808HV есть какие-то не документированные возможности, точнее есть странички конфигурации к которым нельзя получить доступ из основного меню... ну например syslog2.htm, sysp.htm и т.п. Может быть есть такие же странички на которых можно было бы отключить NAT, и включить роутинг из WAN в LAN? Или может быть какие-нибудь были настройки в старых прошивках, которых в новых нету? У нас сейчас эти роутеры с ноябрьскими прошивками v.1.50