Ситуация такая:
Имеется 4 отдельных здания, териториально удаленных друг от друга в пределах города, в каждом из которых на данный момент имеется собственная локальная сеть и выход в интернет через разных провайдеров. Компания-провайдер предложила начальству объеденить эти отдельные сети через свое оборудование путем подведения своих коммуникаций и создания VLAN 2-го уровня, плюс в основном здании помимо кабеля для VLAN завсти еще один по которому будет только доступ к Internet который потом уже будет делиться на всех.
В связи с этим теперь требуется подобрать необходимое оборудование чтобы все это функционировало.
На данный момент в основном здании имеется контроллер домена на Win2003, терминальный сервер с 1С и Консультантом+, плюс шлюз на FreeBSD для раздачи Internet и контроля за трафиком. Машины в основном здании входят в домен Active Diretectory и находятся в одной подсети с адресацией 192.168.0.0/24.
В остальных зданиях одноранговые сети. Планируется все машины завести в домен, некоторым машинам в этих сетях предоставить доступ к терминальному серверу, некоторым предоставить только доступ в интеренет, некоторым доступ только к сетевым принтерам и обновлениям на файловом сервере.
Причем в некоторых зданиях сеть в будущем планируется расширить на несколько этажей. Всего объединить в сеть планируется примерно 70-80 машин, максимум до 100 в ближайшее будущее.Под такие нужды начальство согласилось профинансировать покупку оборудования в разумных пределах. Проблема в том что иметь дело с VLAN 2-го уровня мне еще не приходилось, да и с оборудованием CISCO тоже.
На данный момент я додумался только до следущего:
- В каждое здание поставить по Cisco 871.
- Выделить каждому зданию подсеть садресацией 192.168.х.0/24, или несколько подсетей если к примеру сеть будет на нескольких этажах.
- В центральном здании на 871 поднять NAT и настроить firewall.
- Настроить DHCP на каждой циске на тот случай чтобы при проблемах со связью сегменты сети продолжали нормально функционировать.
- Если получится организовать учет трафика через NetFlow.Поскольку раньше на практике с я маршрутизацией дел не имел, то я возможно я совсем не правильно представляю как все это организовать.
В связи этим хотелось бы услышать по этому поводу мнение людей лучше меня разбирающихся в данных вопросах.
> Компания-провайдер предложила начальству
> объеденить эти отдельные сети через свое оборудование путем подведения своих коммуникаций
> и создания VLAN 2-го уровня, плюс в основном здании помимо кабеля
> для VLAN завсти еще один по которому будет только доступ к
> Internet который потом уже будет делиться на всех.
> В связи с этим теперь требуется подобрать необходимое оборудование чтобы все это
> функционировало.Вы делаете что-то противоестественное. Это головная боль компании провайдера а не ваша. Для вас - объединение сетей прозрачно и о такой вещи как VLAN вы вообще зря проговорились. Этот VLAN бегает только на оборудовании провайдера и к вам в сеть никогда не попадает. оконечное оборудование- провайдер обычно ставит сам, поскольку он его АДМИНИСТРИРУЕТ. Ибо вы в это оборудование лазить своими руками не должны(да и с какого перепуга он вас туда пускать должен???).
> Вы делаете что-то противоестественное. Это головная боль компании провайдера а не ваша.
> Для вас - объединение сетей прозрачно и о такой вещи как
> VLAN вы вообще зря проговорились. Этот VLAN бегает только на оборудовании
> провайдера и к вам в сеть никогда не попадает. оконечное оборудование-
> провайдер обычно ставит сам, поскольку он его АДМИНИСТРИРУЕТ. Ибо вы в
> это оборудование лазить своими руками не должны(да и с какого перепуга
> он вас туда пускать должен???).Я так понимаю, товарища интересует вопрос - как не делать один броадкастный домен на 4 офиса. Лезть в железки провайдера он не собирается.
>[оверквотинг удален]
> - Выделить каждому зданию подсеть садресацией 192.168.х.0/24, или несколько подсетей если
> к примеру сеть будет на нескольких этажах.
> - В центральном здании на 871 поднять NAT и настроить firewall.
> - Настроить DHCP на каждой циске на тот случай чтобы при проблемах
> со связью сегменты сети продолжали нормально функционировать.
> - Если получится организовать учет трафика через NetFlow.
> Поскольку раньше на практике с я маршрутизацией дел не имел, то я
> возможно я совсем не правильно представляю как все это организовать.
> В связи этим хотелось бы услышать по этому поводу мнение людей
> лучше меня разбирающихся в данных вопросах.Важно понять толком исходные данные:
1. Провайдер предоставляет vpn между зданиями с какой пропускной способностью? Это на производительность оборудования влияет.
2. Хотите ли вы шифровать данные, передаваемые через VPN провайдера?
3. Хотите ли вы настроить в сети между зданиями некие файервольные функции?Вариантов решений вообще тьма.
Если каналы порядка 100 мб/с - и шифрования с файервольными функциями не требуется - то можно взять L3 коммутатор (3560, 3750). На них поднять динамическую маршрутизацию, фильтрацию по портам/IP по необходимости.Если нужно шифрование и файервольный функционал - нужен рутер. С покупкой шифрующих железок и узаканиванием шифрования - сейчас все оч сложно(
Можно на юниксовом рутере сделать. Если вы привыкли с ними работать.Указанный вами 871 - железка на офис из 10 человек с 2-3 мб/с трафика.
В вашем варианте точно не потянет.
>[оверквотинг удален]
>> В связи этим хотелось бы услышать по этому поводу мнение людей
>> лучше меня разбирающихся в данных вопросах.
> Важно понять толком исходные данные:
> 1. Провайдер предоставляет vpn между зданиями с какой пропускной способностью? Это на
> производительность оборудования влияет.
> 2. Хотите ли вы шифровать данные, передаваемые через VPN провайдера?
> 3. Хотите ли вы настроить в сети между зданиями некие файервольные функции?
> Вариантов решений вообще тьма.
> Если каналы порядка 100 мб/с - и шифрования с файервольными функциями не
> требуется - то можно взять L3 коммутатор (3560, 3750).Наверное это совсем другой уровень цен?
Как альтернатива.
Управляемые L2 коммутаторы с поддержкой VLAN.
Software маршрутизиаторы по потребности.
Смотря какая пропускная способность сети.> На
> них поднять динамическую маршрутизацию, фильтрацию по портам/IP по необходимости.
> Если нужно шифрование и файервольный функционал - нужен рутер. С покупкой шифрующих
> железок и узаканиванием шифрования - сейчас все оч сложно(Подскажите почему?
> Можно на юниксовом рутере сделать. Если вы привыкли с ними работать.
> Указанный вами 871 - железка на офис из 10 человек с 2-3
> мб/с трафика.
> В вашем варианте точно не потянет.
> Как альтернатива.
> Управляемые L2 коммутаторы с поддержкой VLAN.
> Software маршрутизиаторы по потребности.Нафиг ему Управляемые L2 коммутаторы - человек же сказал - в офисах плоские подсети. Что он с ними делать будете?
Ему маршрутизация нужна между офисами.Софтрутер цисковый/на нормальном сервере - дороже самого простого L3 свича (800 и 1800 серии не считаем). Угадайте у кого производительность выше?
>> С покупкой шифрующих
>> железок и узаканиванием шифрования - сейчас все оч сложно(
> Подскажите почему?А в попробуйте циску с K9 в россии купить:) И законадательство почитайте по защите информации.
>> Как альтернатива.
>> Управляемые L2 коммутаторы с поддержкой VLAN.
>> Software маршрутизиаторы по потребности.
> Нафиг ему Управляемые L2 коммутаторы - человек же сказал - в
> офисах плоские подсети. Что он с ними делать будете?
> Ему маршрутизация нужна между офисами.
> Софтрутер цисковый/на нормальном сервере - дороже самого простого L3 свича (800 и
> 1800 серии не считаем). Угадайте у кого производительность выше?Ну если на нормальном сервере.
Если маршрутизация не нужна, хотя вроде об этом где-то речь была, тогда зачем тем более L3, тем более другая цена. Наверное плохо понимаю назначение коммутаторов L3.
>>> С покупкой шифрующих
>>> железок и узаканиванием шифрования - сейчас все оч сложно(
>> Подскажите почему?
> А в попробуйте циску с K9 в россии купить:) И законадательство почитайте
> по защите информации.Я же не спорю, не знаю вот и спрашиваю)
> Важно понять толком исходные данные:
> 1. Провайдер предоставляет vpn между зданиями с какой пропускной способностью? Это на
> производительность оборудования влияет.
> 2. Хотите ли вы шифровать данные, передаваемые через VPN провайдера?
> 3. Хотите ли вы настроить в сети между зданиями некие файервольные функции?Скорость между зданиями порядка 100 мб/с, однако не думаю что нагрузка на каналы будет столь велика, все-таки подключение к терминальному серверу не требует высокой пропускной способности сети, а ширина канала интернет который будет делиться на всех порядка 4-6 Мбит/с. Трафик шифровать не планируется, если я не ошибаюсь VLAN организованый провайдером уже сам по себе выполняет некие функции по безопасности.
> Вариантов решений вообще тьма.
> Если каналы порядка 100 мб/с - и шифрования с файервольными функциями не
> требуется - то можно взять L3 коммутатор (3560, 3750). На
> них поднять динамическую маршрутизацию, фильтрацию по портам/IP по необходимости.Стоимость 3560 и 3750 совсем не маленькая,а если учитывать что нужно будет минимум 4 то затраты получаются очень большие.
> Если нужно шифрование и файервольный функционал - нужен рутер. С покупкой шифрующих
> железок и узаканиванием шифрования - сейчас все оч сложно(
> Можно на юниксовом рутере сделать. Если вы привыкли с ними работать.Смотреть в сторону роутеров стал потому что помимо файрвала хотелось бы еще в каждом сегменте иметь собственный DHCP-сервер чтобы каждую машину вручную не настраивать. На первый взгляд экономичней в каждый сегмент выделить по машине, и поднять на ней роуер на базе юникса и установить на него фарвал, dhcp. Но при проблемах с электричеством очень не хочется потом ездить и налаживать все это. В основном здании я себе еще могу позволить покопаться с тем-же FreeBSD, почитать документацию, поискать в нете к примеру причину возникновения какого-нибудь panic kernel, или корректно завершить работу системы когда низкий заряд батарей в бесперебойнике. А постоянно кататься в другую часть города очень не хочется, а удаленный доступ на юнксах не всегда может помочь.
В других зданиях есть есть люди которые занимаются администрированием рабочих машин, но они умеют работать только с железом и софтом под windows, а познания о сетях у них совсем поверхностные. Именно по этому в других зданиях одноранговые сети.> Указанный вами 871 - железка на офис из 10 человек с 2-3
> мб/с трафика.
> В вашем варианте точно не потянет.Я когда смотрел на 871 думал, что если не будет использоваться VPN и шифрование то его мощности хватит на 20-30 машин.
Если не хватает мощности 871, может быть подойдет 1841?
> Я когда смотрел на 871 думал, что если не будет использоваться VPN
> и шифрование то его мощности хватит на 20-30 машин.
> Если не хватает мощности 871, может быть подойдет 1841?Как пример для маршрутизации между зданиями.
WS-C3560-8PC-S Catalyst 3560 Compact 8 10/100 PoE + 1 T/SFP; IP Base Image D $1,395,00
- Аппаратная line rate маршрутизация, умеет динамическую маршрутизацию (C IP Base помоему только RIP и EIGRP Stub), DHCP, Фильтрацию по IP, портам.Для раздачи интеренета с NAT - Я бы как минимум рекомендовал 2811. В худшем варианте.
Только нужен ли вам рутер - может лучше взять ASA 5505/5510? Из них самая простая по производительности NAT зарулит существенно более дорогие рутеры. Ее еще с не строгим шифрованием DES купить можно.
Рутер, по сути нужен - если актуальны DMVPN, хитрая работа с несколькими провами, телефонный функционал и т.д.
Если сеть "плоская", одна IP сеть на все здания, один выделенный сервер на все, зачем фаерволы между зданиями? зачем DHCP в каждое здание?
Если выключится электричество в одном из зданий, как это поможет сохранить работоспособность?
Если выключится электричество в основном здании через которое все получают доступ в Интернет, и в котором находится единственный сервер, как наличие сервера DHCP в других зданих пожожет? Да рабочие станции будут работать, но не доступа в Интернет, не терминального доступа, не доступа к файл-серверу все равно не будет.
> Если сеть "плоская", одна IP сеть на все здания, один выделенный сервер
> на все, зачем фаерволы между зданиями? зачем DHCP в каждое здание?
> Если выключится электричество в одном из зданий, как это поможет сохранить работоспособность?
> Если выключится электричество в основном здании через которое все получают доступ в
> Интернет, и в котором находится единственный сервер, как наличие сервера DHCP
> в других зданих пожожет? Да рабочие станции будут работать, но
> не доступа в Интернет, не терминального доступа, не доступа к файл-серверу
> все равно не будет.Да не будет доступа к интернет, терминалу пр., зато они смогут использовать принтеры находящиеся в своем здании и вести обмен документами через расшаренные папки.
Хотя возможно отдельные DHCP не так-уж и нужны.
>[оверквотинг удален]
>> Если выключится электричество в одном из зданий, как это поможет сохранить работоспособность?
>> Если выключится электричество в основном здании через которое все получают доступ в
>> Интернет, и в котором находится единственный сервер, как наличие сервера DHCP
>> в других зданих пожожет? Да рабочие станции будут работать, но
>> не доступа в Интернет, не терминального доступа, не доступа к файл-серверу
>> все равно не будет.
> Да не будет доступа к интернет, терминалу пр., зато они смогут использовать
> принтеры находящиеся в своем здании и вести обмен документами через расшаренные
> папки.
> Хотя возможно отдельные DHCP не так-уж и нужны.предположение делалось всего лишь из того, что файл-сервер,принт-сервер на одном сервере и никак иначе.