Разбиение сети класса С на подсети
Модераторы: Trinity admin`s, Free-lance moderator`s
Разбиение сети класса С на подсети
Добрый день! Вот стоит задача по разбиение своей сети на три подсети.
В данный момент имеется сеть 192.168.1.х с маской 255.255.255.0 стоит DC w2k3, Isa2006 и прочие сервера всего машин в сети вместе с сетевыми принтерами выходит где-то 120. В подсети №1 будет 30 машин, вподсети №2 будет 6 машин, а в подсети №3 все остальные,но
подсети №1 и №2 являються закрытыми (в них обрабатываються конфиденциальные данные) т.е. они (каждая подсеть) буду отделены фаерволом Isa Serer 2006 а подсеть №3 это основная рабочая сети где расположены все остальные машины и сервера в том числе контроллер домена с DNS и DHCP и почтовый сервак.
Подскажите как мне правильно разбить мою сеть на три таких подсети(имеется ввиду адресация в подсетях с маской) к тому же что бы юзеры в подсетях №1 и №2 могли проходить авторизицию через брадмауер в сеть №3 (все машины входят в один домен)??? На исе понятно два сетевых интерфейса с IP адресами той сети в которую они смотрят и отношения между сетями маршрутизация а доступы к сервисам из сети в сеть настраивается в политике межсетевого экрана.
В данный момент имеется сеть 192.168.1.х с маской 255.255.255.0 стоит DC w2k3, Isa2006 и прочие сервера всего машин в сети вместе с сетевыми принтерами выходит где-то 120. В подсети №1 будет 30 машин, вподсети №2 будет 6 машин, а в подсети №3 все остальные,но
подсети №1 и №2 являються закрытыми (в них обрабатываються конфиденциальные данные) т.е. они (каждая подсеть) буду отделены фаерволом Isa Serer 2006 а подсеть №3 это основная рабочая сети где расположены все остальные машины и сервера в том числе контроллер домена с DNS и DHCP и почтовый сервак.
Подскажите как мне правильно разбить мою сеть на три таких подсети(имеется ввиду адресация в подсетях с маской) к тому же что бы юзеры в подсетях №1 и №2 могли проходить авторизицию через брадмауер в сеть №3 (все машины входят в один домен)??? На исе понятно два сетевых интерфейса с IP адресами той сети в которую они смотрят и отношения между сетями маршрутизация а доступы к сервисам из сети в сеть настраивается в политике межсетевого экрана.
Re: Разбиение сети класса С на подсети
192.168.1.0/255.255.255.128
192.168.1.128/255.255.255.192
192.168.1.192/255.255.255.192
http://www.google.ru/#hl=ru&source=hp&q ... 15002854a0
192.168.1.128/255.255.255.192
192.168.1.192/255.255.255.192
http://www.google.ru/#hl=ru&source=hp&q ... 15002854a0
Три сетевых интерефейса.На исе понятно два сетевых интерфейса с IP адресами той сети в которую они смотрят
Re: Разбиение сети класса С на подсети
спасибо...а при такой адресации и масками, машины в подсетях №1 и №2 смуг получать IP адреса от DHCP и авторизовываться на DC который находяться в подсети№3..???
Насчет исы...их всего будет три, получается между подсетью №1 и №3 стоит иса, между подсетями №2 и №3 стоит иса и пограничная иса у сети №3 выход в инет.
Еще подскажите пожалуйста реально ли настоить DHCP в подсети №3 на работу совсеми подсетями т.е. выдавать адреса во все 3-и подсети те которые необходимы для каждой подсети?
Насчет исы...их всего будет три, получается между подсетью №1 и №3 стоит иса, между подсетями №2 и №3 стоит иса и пограничная иса у сети №3 выход в инет.
Еще подскажите пожалуйста реально ли настоить DHCP в подсети №3 на работу совсеми подсетями т.е. выдавать адреса во все 3-и подсети те которые необходимы для каждой подсети?
-
- Advanced member
- Сообщения: 507
- Зарегистрирован: 17 апр 2009, 00:49
- Откуда: Yerevan
Re: Разбиение сети класса С на подсети
Чтобы DHCP работал для всех трёх сетей, надо чтобы роутер(ы) между сетями поддерживали DHCP Relay (или BootP relay).
Теоретически, это возможно также, если DHCP сервер будет смотреть сразу во все 3 сети, но я не уверен в работоспособности MultiHomed DHCP сервера.
Что касается назначения ПК из каждой подcетки своих адресов, то как минимум можно сделать резервирование по MAC-ам (что неудобно), а вообще по идее роутер через ip helper-address должен давать знать серверу из какой подсетки запрос, и сервер выдаст адрес из правильной подсети.
При этом, естественно, на DHCP сервере должны существовать соответствующие три отдельные области.
Теоретически, это возможно также, если DHCP сервер будет смотреть сразу во все 3 сети, но я не уверен в работоспособности MultiHomed DHCP сервера.
Что касается назначения ПК из каждой подcетки своих адресов, то как минимум можно сделать резервирование по MAC-ам (что неудобно), а вообще по идее роутер через ip helper-address должен давать знать серверу из какой подсетки запрос, и сервер выдаст адрес из правильной подсети.
При этом, естественно, на DHCP сервере должны существовать соответствующие три отдельные области.
-
- Advanced member
- Сообщения: 507
- Зарегистрирован: 17 апр 2009, 00:49
- Откуда: Yerevan
Re: Разбиение сети класса С на подсети
По авторизации на КД: достаточно, чтобы правильно работала маршрутизация и был верно задан адрес DNS сервера на клиентах.
Это потому, что в AD КД находятся через специальные DNS запросы DNS серверу. (Просто к сведению).
Это потому, что в AD КД находятся через специальные DNS запросы DNS серверу. (Просто к сведению).
-
- Advanced member
- Сообщения: 507
- Зарегистрирован: 17 апр 2009, 00:49
- Откуда: Yerevan
Re: Разбиение сети класса С на подсети
Спасибо.
Я так думаю, если на DHCP сервере создать все три области а на Исах разрешить из этих сетей правилами как раз ДХЦП запросы и обратно то в принцепе должно работать, можно поднять для надежности на исах маршрутизацию и удаленный доступ с DHCP агентом и будет наверное шоколад. Насчет ДНС он находиться как на том же сервере что и ДХЦП т.е. на контроллере, всего скорее проблем не будет если правильно настройть правила на Исах которые и должны будут пересылать все ити запросы от клиентов к серверу и обратно.
А что за специальные DNS запросы DNS серверу? немоного не понял?
Я так думаю, если на DHCP сервере создать все три области а на Исах разрешить из этих сетей правилами как раз ДХЦП запросы и обратно то в принцепе должно работать, можно поднять для надежности на исах маршрутизацию и удаленный доступ с DHCP агентом и будет наверное шоколад. Насчет ДНС он находиться как на том же сервере что и ДХЦП т.е. на контроллере, всего скорее проблем не будет если правильно настройть правила на Исах которые и должны будут пересылать все ити запросы от клиентов к серверу и обратно.
А что за специальные DNS запросы DNS серверу? немоного не понял?
Re: Разбиение сети класса С на подсети
Имеется ввиду, что рабочая станция получает ip адрес контроллера домена через запрос к DNS серверуА что за специальные DNS запросы DNS серверу? немоного не понял?
Re: Разбиение сети класса С на подсети
А это понятно..для этого же DHCP сервер авторизуется на в AD на DC.diz писал(а):Имеется ввиду, что рабочая станция получает ip адрес контроллера домена через запрос к DNS серверуА что за специальные DNS запросы DNS серверу? немоного не понял?
-
- Advanced member
- Сообщения: 507
- Зарегистрирован: 17 апр 2009, 00:49
- Откуда: Yerevan
Re: Разбиение сети класса С на подсети
В смысле "для этого"?ADMT писал(а):для этого же DHCP сервер авторизуется на в AD на DC.
Кстати, на самом деле, DHCP не на W2kx вовсе не обязательно авторизовываться в AD, чтоб раздавать адреса. Т.е. защититься тут особо не получается.
Но это так, тоже к сведению.
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 12 гостей