Разбиение сети класса С на подсети

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
ADMT
Advanced member
Сообщения: 147
Зарегистрирован: 18 апр 2005, 10:23
Откуда: Санкт-Петербург

Разбиение сети класса С на подсети

Сообщение ADMT » 25 сен 2009, 10:24

Добрый день! Вот стоит задача по разбиение своей сети на три подсети.
В данный момент имеется сеть 192.168.1.х с маской 255.255.255.0 стоит DC w2k3, Isa2006 и прочие сервера всего машин в сети вместе с сетевыми принтерами выходит где-то 120. В подсети №1 будет 30 машин, вподсети №2 будет 6 машин, а в подсети №3 все остальные,но
подсети №1 и №2 являються закрытыми (в них обрабатываються конфиденциальные данные) т.е. они (каждая подсеть) буду отделены фаерволом Isa Serer 2006 а подсеть №3 это основная рабочая сети где расположены все остальные машины и сервера в том числе контроллер домена с DNS и DHCP и почтовый сервак.
Подскажите как мне правильно разбить мою сеть на три таких подсети(имеется ввиду адресация в подсетях с маской) к тому же что бы юзеры в подсетях №1 и №2 могли проходить авторизицию через брадмауер в сеть №3 (все машины входят в один домен)??? На исе понятно два сетевых интерфейса с IP адресами той сети в которую они смотрят и отношения между сетями маршрутизация а доступы к сервисам из сети в сеть настраивается в политике межсетевого экрана.

Аватара пользователя
diz
Advanced member
Сообщения: 1189
Зарегистрирован: 12 янв 2009, 12:09
Откуда: Пермь

Re: Разбиение сети класса С на подсети

Сообщение diz » 25 сен 2009, 11:50

192.168.1.0/255.255.255.128
192.168.1.128/255.255.255.192
192.168.1.192/255.255.255.192

http://www.google.ru/#hl=ru&source=hp&q ... 15002854a0
На исе понятно два сетевых интерфейса с IP адресами той сети в которую они смотрят
Три сетевых интерефейса.

ADMT
Advanced member
Сообщения: 147
Зарегистрирован: 18 апр 2005, 10:23
Откуда: Санкт-Петербург

Re: Разбиение сети класса С на подсети

Сообщение ADMT » 25 сен 2009, 12:21

спасибо...а при такой адресации и масками, машины в подсетях №1 и №2 смуг получать IP адреса от DHCP и авторизовываться на DC который находяться в подсети№3..???
Насчет исы...их всего будет три, получается между подсетью №1 и №3 стоит иса, между подсетями №2 и №3 стоит иса и пограничная иса у сети №3 выход в инет.
Еще подскажите пожалуйста реально ли настоить DHCP в подсети №3 на работу совсеми подсетями т.е. выдавать адреса во все 3-и подсети те которые необходимы для каждой подсети?

Black-Dragon
Advanced member
Сообщения: 507
Зарегистрирован: 17 апр 2009, 00:49
Откуда: Yerevan

Re: Разбиение сети класса С на подсети

Сообщение Black-Dragon » 25 сен 2009, 14:54

Чтобы DHCP работал для всех трёх сетей, надо чтобы роутер(ы) между сетями поддерживали DHCP Relay (или BootP relay).
Теоретически, это возможно также, если DHCP сервер будет смотреть сразу во все 3 сети, но я не уверен в работоспособности MultiHomed DHCP сервера.

Что касается назначения ПК из каждой подcетки своих адресов, то как минимум можно сделать резервирование по MAC-ам (что неудобно), а вообще по идее роутер через ip helper-address должен давать знать серверу из какой подсетки запрос, и сервер выдаст адрес из правильной подсети.
При этом, естественно, на DHCP сервере должны существовать соответствующие три отдельные области.

Black-Dragon
Advanced member
Сообщения: 507
Зарегистрирован: 17 апр 2009, 00:49
Откуда: Yerevan

Re: Разбиение сети класса С на подсети

Сообщение Black-Dragon » 25 сен 2009, 14:58

По авторизации на КД: достаточно, чтобы правильно работала маршрутизация и был верно задан адрес DNS сервера на клиентах.
Это потому, что в AD КД находятся через специальные DNS запросы DNS серверу. (Просто к сведению).


ADMT
Advanced member
Сообщения: 147
Зарегистрирован: 18 апр 2005, 10:23
Откуда: Санкт-Петербург

Re: Разбиение сети класса С на подсети

Сообщение ADMT » 25 сен 2009, 15:06

Спасибо.
Я так думаю, если на DHCP сервере создать все три области а на Исах разрешить из этих сетей правилами как раз ДХЦП запросы и обратно то в принцепе должно работать, можно поднять для надежности на исах маршрутизацию и удаленный доступ с DHCP агентом и будет наверное шоколад. Насчет ДНС он находиться как на том же сервере что и ДХЦП т.е. на контроллере, всего скорее проблем не будет если правильно настройть правила на Исах которые и должны будут пересылать все ити запросы от клиентов к серверу и обратно.
А что за специальные DNS запросы DNS серверу? немоного не понял?

Аватара пользователя
diz
Advanced member
Сообщения: 1189
Зарегистрирован: 12 янв 2009, 12:09
Откуда: Пермь

Re: Разбиение сети класса С на подсети

Сообщение diz » 25 сен 2009, 15:25

А что за специальные DNS запросы DNS серверу? немоного не понял?
Имеется ввиду, что рабочая станция получает ip адрес контроллера домена через запрос к DNS серверу

ADMT
Advanced member
Сообщения: 147
Зарегистрирован: 18 апр 2005, 10:23
Откуда: Санкт-Петербург

Re: Разбиение сети класса С на подсети

Сообщение ADMT » 25 сен 2009, 15:30

diz писал(а):
А что за специальные DNS запросы DNS серверу? немоного не понял?
Имеется ввиду, что рабочая станция получает ip адрес контроллера домена через запрос к DNS серверу
А это понятно..для этого же DHCP сервер авторизуется на в AD на DC.

Black-Dragon
Advanced member
Сообщения: 507
Зарегистрирован: 17 апр 2009, 00:49
Откуда: Yerevan

Re: Разбиение сети класса С на подсети

Сообщение Black-Dragon » 25 сен 2009, 15:59

ADMT писал(а):для этого же DHCP сервер авторизуется на в AD на DC.
В смысле "для этого"?

Кстати, на самом деле, DHCP не на W2kx вовсе не обязательно авторизовываться в AD, чтоб раздавать адреса. Т.е. защититься тут особо не получается.
Но это так, тоже к сведению.

Ответить

Вернуться в «Сети - Вопросы конфигурирования сети»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 13 гостей