asa8899 Posted December 15, 2010 Posted December 15, 2010 Здравствуйте. Есть сеть офиса: Ядро Dlink 3627 L3 (24x1гбит) между собой 10Гбит. 3шт Абоненты Dlink 3528 L2+ (24x100mbit + 4x1гбит) 22шт - Топология звезда. 20 сетевых от серверов и 250-300 абонентов . Нужно разбить на группы сотрудников (несколько отделов бухгалтерии, геодезия и т.д.) в группе от 1 до 30 компов. Та что бы бы они не видели друг друга на уровне ethernet. Далее изолировать каждой группе дать доступ только к определенным серверам. Например 1) "Экономисты" - контроллер домена, почта, И сервер экономистов. 2) Бухгалтеры - кД, почта, сервер 1с. и т.д. 3) Не все серверы должны видеть друг друга (Почтовик не должен пересекаться с терминалом и т.д) 4) Некоторые должны работать со всей сетью (админы и некоторые босы) Нужно сделать безопасно и по возможности просто. Думал сделать Vlan ми, но выходит что некторые серверы на винде должны обрабатывать по 40 вланов. Т.е. будет 40 виртуальных сетевушек и 40 айпишников. 1) усложняет администрирование серверов 2) мне не совсем понятно как будет работать AD с 40 вирт сетвушками и 40айпишинками и другие сервисы (terminal, exchange, ms sql, файловоя помойка и т.д.) Клиентские компы не умеют обрабатывать vlan тегированый трафик. Какие еще базовые вещи по безопасности можно сделать кроме? 1) Запрет DHCP серверов на абоненстких коммутаторах 2) Привязка MAC IP к порту коммутатора Подскажите куда копать . Заранее благодарен П.С, зеленые стрелки - трафик разрешен. Красные запрещен. Если нет стрелок - запрещен. Вставить ник Quote
darkagent Posted December 15, 2010 Posted December 15, 2010 зеленые и красные стрелки решаются средствами traffic segmentation на тех же длинках Вставить ник Quote
asa8899 Posted December 15, 2010 Author Posted December 15, 2010 traffic segmentation к сожалению не подойдет "Участники одной группы не могут быть подключены к разным коммутаторам" т.е. если бухгалтеры подключены в два разных коммутаторы то из них группу создать не выйдет. Или в одном коммутаторе больше одной группы.. Правильно ли я понял? Т.е. нужно много коммутаторов . Не гибко выходит http://www.dlink.ru/up/uploads_media/Traff...egmentation.pdf Вставить ник Quote
LiuPing Posted December 15, 2010 Posted December 15, 2010 (edited) У вас же L3 коммуторы в центре - затерминируйте на них VLAN, сегмент серверов в отдельный VLANили несколько VLAN и на центральных L3 напишите нужные ACL. Edited December 15, 2010 by LiuPing Вставить ник Quote
mukca Posted December 15, 2010 Posted December 15, 2010 (edited) 4 влана и один L3 свич или роутер + фаервол (ACL) первый влан абоненты второй влан бухгалтерия (с серваком их) третий влан еще ктото (непомню кто но сервак у них тоже есть) четвертый влан всякие серваки (вот та хрень где самый большой овал) все это на L3 свиче (роуторе) роутится и ACL (фаерволом) режится кому куда мона а куда нельзя че тут думать.. Edited December 15, 2010 by mukca Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.