Деление сети
shworker
Специалист
9/26/2006, 3:24:28 AM
Задумался я вот над каким вопросом:
Есть сетка, примерно 30 машин.
Есть желание разделить ее на подсети, типа - админа отдельно, бухгалтерию отдельно, технарей.. ну и тд. Это, на мой взгляд, позволит повысить безопасность, ибо трафик создаваемый внутри подсети (или как сейчас модно говорить VLAN-ом) будет локализован внутри своей подсети. Также вирусные атаки, инициированные в отдельной подсети не распространяться за пределы своей подсети.
Серверы как правило тоже свои.
Внешние ресурсы - почта, инет, общие файловые ресурсы (в основном это бекапы) и файлопомойка будут вынесены в DMZ. Центром сети станет маршрутизатор. В него будет заведен VLAN транк, туда же войдет инет.
Также на роутере будет настроен файрвол, который не позволит "ходить в гости" друг к дружке отдельным подсетям.
Ну и собственно вопрос - занимался ли кто-либо у себя подобным ?
Если да, то каковы результаты ? Вопли типа "а как мне зайти на комп к Васе фотки скинуть ?!" оставим на совести автора воплей :)
Есть сетка, примерно 30 машин.
Есть желание разделить ее на подсети, типа - админа отдельно, бухгалтерию отдельно, технарей.. ну и тд. Это, на мой взгляд, позволит повысить безопасность, ибо трафик создаваемый внутри подсети (или как сейчас модно говорить VLAN-ом) будет локализован внутри своей подсети. Также вирусные атаки, инициированные в отдельной подсети не распространяться за пределы своей подсети.
Серверы как правило тоже свои.
Внешние ресурсы - почта, инет, общие файловые ресурсы (в основном это бекапы) и файлопомойка будут вынесены в DMZ. Центром сети станет маршрутизатор. В него будет заведен VLAN транк, туда же войдет инет.
Также на роутере будет настроен файрвол, который не позволит "ходить в гости" друг к дружке отдельным подсетям.
Ну и собственно вопрос - занимался ли кто-либо у себя подобным ?
Если да, то каковы результаты ? Вопли типа "а как мне зайти на комп к Васе фотки скинуть ?!" оставим на совести автора воплей :)
aC^dreik
Специалист
9/26/2006, 3:45:13 AM
Использую... правда деление не по отделам, а по несколько иным принципам, в т.ч. и по географическим. Всё работает нормально :) Вся фильтрация согласована и все exclusions так же согласованы.
Главное подходить к разделению с головой.
Главное подходить к разделению с головой.
BarsikM
Новичок
10/18/2006, 3:56:35 AM
Два года назад в сетке в 57 машин. сделал я такое. Сделал молча без особых объяснений. Разделял я по подразделениям. Всё было чисто и пушисто.
Одна беда. Предприятие развивающиееся. Многое изменятеся - цели и задачи, принципы отдельно подразделений и отдельных людей ... Изменяется количство машин и их функциональных задач.
Сегодня я тяну 140 машин основного парка, плюс два десятка разбросанных географически.
Теперь понимаю свои ошибки при построении первого, второго и третьего варианта влана. И понимаю что без карандаша и бумаги ничего умного не построить. Всё документируется и составляется с перспективой на 250 машин.
Благо эксперементы ставить мне не запрещают. А вообще мне это всё напоминает строительство собственного государства.
Одна беда. Предприятие развивающиееся. Многое изменятеся - цели и задачи, принципы отдельно подразделений и отдельных людей ... Изменяется количство машин и их функциональных задач.
Сегодня я тяну 140 машин основного парка, плюс два десятка разбросанных географически.
Теперь понимаю свои ошибки при построении первого, второго и третьего варианта влана. И понимаю что без карандаша и бумаги ничего умного не построить. Всё документируется и составляется с перспективой на 250 машин.
Благо эксперементы ставить мне не запрещают. А вообще мне это всё напоминает строительство собственного государства.
shworker
Специалист
10/18/2006, 4:45:32 AM
Теперь понимаю свои ошибки при построении первого, второго и третьего варианта влана. И понимаю что без карандаша и бумаги ничего умного не построить. Всё документируется и составляется с перспективой на 250 машин.
И правильно ! Я всегда все сначала просчитываю, только не на бумаге, а рисую схемы в Visio. Там же прикидываю VLANы, прохождение трафика. В основном руководствуюсь правилом 80/20 (80% трафика локального, 20% - внешнего).
Правда с внедрением IP телефонии это правило постепенно реверсируется :)
Для снятия статистики по трафику использую MRTG (постепенно перехожу на RRDTOOL).
А вообще мне это всё напоминает строительство собственного государства.
В котором Админ - царь, "разделяет и властвует" :)
malef
Интересующийся
10/20/2006, 2:24:53 AM
А вот тут не согласен , админ не царь , херовый админ кто так думает , админ эт президент - ибо слуга народа :) и народ с него может спросить , причем строго :)
DELETED
Акула пера
10/21/2006, 4:18:59 PM
(shworker @ 25.09.2006 - время: 23:24) Также на роутере будет настроен файрвол, который не позволит "ходить в гости" друг к дружке отдельным подсетям.
А про роутинг уже не думаем? :)
А про роутинг уже не думаем? :)
malef
Интересующийся
10/22/2006, 2:03:28 AM
а чо думать прально всё пацаны написали делить и управлять чо еще писать или ожидаются конкретные схемы и решения ? так сказали же тут без ватмана , набора карандашей разной жесткости и поллитры не разберешся :)
shworker
Специалист
10/25/2006, 4:42:21 AM
nix0n
Новичок
11/14/2006, 5:08:35 PM
Если по-хорошему, то рабочие станции втыкаются в свитчи второго уровня, на портах прописываются VLANы, дальше - транк на свитч третьего уровня или роутер, на нем разруливаешь ACL.
ИМХО, так безопасней и производительней.
ИМХО, так безопасней и производительней.
shworker
Специалист
11/15/2006, 12:18:49 AM
Ну я же написал, что это пример :) Просто так понятнее и нагляднее.
По-хорошему конечно надо использовать VLAN-ы.
Собственно говоря у меня так и сделано.
По-хорошему конечно надо использовать VLAN-ы.
Собственно говоря у меня так и сделано.
shworker
Специалист
1/5/2007, 5:48:07 AM
(chrys @ 04.01.2007 - время: 18:08) (shworker @ 24.10.2006 - время: 23:42) Вам пример ?
Их есть у нас :)
Просьба рассматривать ЭТО только как пример :)
Пример сети
Не открывается что-то :-( А тема и для меня актуальной станет через пару недель
У меня все открывается.
Будут вопросы - стучитесь в асю, личку, почту...
Их есть у нас :)
Просьба рассматривать ЭТО только как пример :)
Пример сети
Не открывается что-то :-( А тема и для меня актуальной станет через пару недель
У меня все открывается.
Будут вопросы - стучитесь в асю, личку, почту...
redrik
Новичок
7/16/2007, 9:02:13 PM
(shworker @ 05.01.2007 - время: 03:48) (chrys @ 04.01.2007 - время: 18:08) (shworker @ 24.10.2006 - время: 23:42) Вам пример ?
Их есть у нас :)
Просьба рассматривать ЭТО только как пример :)
Пример сети
Не открывается что-то :-( А тема и для меня актуальной станет через пару недель
У меня все открывается.
Будут вопросы - стучитесь в асю, личку, почту...
да, у меня тоже всё открывается..
Их есть у нас :)
Просьба рассматривать ЭТО только как пример :)
Пример сети
Не открывается что-то :-( А тема и для меня актуальной станет через пару недель
У меня все открывается.
Будут вопросы - стучитесь в асю, личку, почту...
да, у меня тоже всё открывается..