Jump to content
Калькуляторы

Посоветуйте правильную конфигурацию сети среднего офиса. Нужно VLAN,

Здравствуйте.

Есть сеть офиса:

Ядро Dlink 3627 L3 (24x1гбит) между собой 10Гбит. 3шт

Абоненты Dlink 3528 L2+ (24x100mbit + 4x1гбит) 22шт -

Топология звезда.

20 сетевых от серверов и 250-300 абонентов .

 

Нужно разбить на группы сотрудников (несколько отделов бухгалтерии, геодезия и т.д.) в группе от 1 до 30 компов. Та что бы бы они не видели друг друга на уровне ethernet.

 

Далее изолировать каждой группе дать доступ только к определенным серверам. Например

1) "Экономисты" - контроллер домена, почта, И сервер экономистов.

2) Бухгалтеры - кД, почта, сервер 1с. и т.д.

3) Не все серверы должны видеть друг друга (Почтовик не должен пересекаться с терминалом и т.д)

4) Некоторые должны работать со всей сетью (админы и некоторые босы)

 

Нужно сделать безопасно и по возможности просто.

 

Думал сделать Vlan ми, но выходит что некторые серверы на винде должны обрабатывать по 40 вланов. Т.е. будет 40 виртуальных сетевушек и 40 айпишников.

1) усложняет администрирование серверов

2) мне не совсем понятно как будет работать AD с 40 вирт сетвушками и 40айпишинками и другие сервисы (terminal, exchange, ms sql, файловоя помойка и т.д.)

 

Клиентские компы не умеют обрабатывать vlan тегированый трафик.

 

Какие еще базовые вещи по безопасности можно сделать кроме?

1) Запрет DHCP серверов на абоненстких коммутаторах

2) Привязка MAC IP к порту коммутатора

 

 

 

Подскажите куда копать . Заранее благодарен

П.С, зеленые стрелки - трафик разрешен. Красные запрещен. Если нет стрелок - запрещен.

 

post-78363-1292416890_thumb.jpg

post-78363-1292416907_thumb.jpg

Share this post


Link to post
Share on other sites

ACL

Share this post


Link to post
Share on other sites

зеленые и красные стрелки решаются средствами traffic segmentation на тех же длинках

Share this post


Link to post
Share on other sites

traffic segmentation к сожалению не подойдет

 

"Участники одной группы не могут быть подключены к разным коммутаторам"

 

т.е. если бухгалтеры подключены в два разных коммутаторы то из них группу создать не выйдет. Или в одном коммутаторе больше одной группы.. Правильно ли я понял?

 

Т.е. нужно много коммутаторов . Не гибко выходит

 

http://www.dlink.ru/up/uploads_media/Traff...egmentation.pdf

 

Share this post


Link to post
Share on other sites

У вас же L3 коммуторы в центре - затерминируйте на них VLAN, сегмент серверов в отдельный VLANили несколько VLAN и на центральных L3 напишите нужные ACL.

Edited by LiuPing

Share this post


Link to post
Share on other sites

4 влана и один L3 свич или роутер + фаервол (ACL)

 

первый влан абоненты

 

второй влан бухгалтерия (с серваком их)

 

третий влан еще ктото (непомню кто но сервак у них тоже есть)

 

четвертый влан всякие серваки (вот та хрень где самый большой овал)

 

все это на L3 свиче (роуторе) роутится и ACL (фаерволом) режится кому куда мона а куда нельзя

 

че тут думать..

Edited by mukca

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this