Лучший вариан для разбивки одной сети
Модераторы: Trinity admin`s, Free-lance moderator`s
Лучший вариан для разбивки одной сети
Вопросу по разбиению сети на отдельные сети или подсети.
-Исходные данные:
есть одна общая корпоративная сеть с количеством рабочих станций 110, сетевых принтеров 12, серверов 12 (адресация сети192.168.1.1-254) в сети сервак 2003R2 один домен (все рабочие станции в домене) с DC AD DNS DHCP, сервера баз данных, сервер почты Exchange 2007 и прокси сервер он же фаервол Isa 2006 которая стоит на границе инет-лвс.
Есть три отдела, которые работают с ограниченной информацией.
1 отдел - 16 рабочих станций + 2 сетевых принтера + 1 сервер баз данных
2 отдел - 5 рабочих станций + 1 сетевой принтер + 1 сервер баз данных
3 отдел - 5 рабочих станций + 1 сетевой принтер + 1 сервер баз данных
И 4 общая сеть где располагается сервера с AD, DNS, DHCP, File Servers, Date base servers, Exchange 2007, Isa 2006.
-Необходимо:
отделить все эти три отдела от общей сети организации и друг от друга согласно прикрепленному рисунку и защитить их межсетевыми экранами Isa2006.
- Необходимо выполнение условий:
выделенные отделы (рабочие станции в них и сервера) работали в корпоративном домене, проходили авторизацию в контроллере домена, получали автоматически IP адреса, могли использовать корпоративную почту, файловые сервера пользоваться Интернетом, а из других отделов к ним не имел доступ никто (для этого и ставиться ISA 2006).
-Решение:
1- разбить всю сеть на четыре подсети (на какие именно?)
2- выделить каждый отдел в собственную сеть класса С т.е. общая сеть остается с адресацией как есть, 1 отдел 192.168.2.х, 2 отдел 192.168.3.х и 3 отдел 192.168.4.х.
-какое решение из этих вариантов самое рациональное менее ресурсоемкое для выполнения заданных условий?
-какие варианты еще могут быть?
Спасибо.
-Исходные данные:
есть одна общая корпоративная сеть с количеством рабочих станций 110, сетевых принтеров 12, серверов 12 (адресация сети192.168.1.1-254) в сети сервак 2003R2 один домен (все рабочие станции в домене) с DC AD DNS DHCP, сервера баз данных, сервер почты Exchange 2007 и прокси сервер он же фаервол Isa 2006 которая стоит на границе инет-лвс.
Есть три отдела, которые работают с ограниченной информацией.
1 отдел - 16 рабочих станций + 2 сетевых принтера + 1 сервер баз данных
2 отдел - 5 рабочих станций + 1 сетевой принтер + 1 сервер баз данных
3 отдел - 5 рабочих станций + 1 сетевой принтер + 1 сервер баз данных
И 4 общая сеть где располагается сервера с AD, DNS, DHCP, File Servers, Date base servers, Exchange 2007, Isa 2006.
-Необходимо:
отделить все эти три отдела от общей сети организации и друг от друга согласно прикрепленному рисунку и защитить их межсетевыми экранами Isa2006.
- Необходимо выполнение условий:
выделенные отделы (рабочие станции в них и сервера) работали в корпоративном домене, проходили авторизацию в контроллере домена, получали автоматически IP адреса, могли использовать корпоративную почту, файловые сервера пользоваться Интернетом, а из других отделов к ним не имел доступ никто (для этого и ставиться ISA 2006).
-Решение:
1- разбить всю сеть на четыре подсети (на какие именно?)
2- выделить каждый отдел в собственную сеть класса С т.е. общая сеть остается с адресацией как есть, 1 отдел 192.168.2.х, 2 отдел 192.168.3.х и 3 отдел 192.168.4.х.
-какое решение из этих вариантов самое рациональное менее ресурсоемкое для выполнения заданных условий?
-какие варианты еще могут быть?
Спасибо.
Последний раз редактировалось ADMT 26 ноя 2009, 12:32, всего редактировалось 2 раза.
-
- Advanced member
- Сообщения: 507
- Зарегистрирован: 17 апр 2009, 00:49
- Откуда: Yerevan
Re: Лучший вариан для разбивки одной сети
ADMT
Не знаю, как другим, а мне очень тяжело читать. Нельзя ли немного причесать текст, разделить на абзацы и т.д. И начать с того, чего надо получить в итоге, а не что есть сейчас.
Не знаю, как другим, а мне очень тяжело читать. Нельзя ли немного причесать текст, разделить на абзацы и т.д. И начать с того, чего надо получить в итоге, а не что есть сейчас.
Re: Лучший вариан для разбивки одной сети
извеняюсь, просто очень спешил, надеюсь так лучше и понятнее.
Re: Лучший вариан для разбивки одной сети
1. 192.168.1.0/24
2. 192.168.2.0/24
3. 192.168.3.0/24
4. 192.168.4.0/24
В сети поставить коммутатор третьего уровня с поддержкой ACL или на худой конец одну ISA, но с кучей сетевух или с настроенной поддержкой VLAN.
Правила хождения трафика прописываются либо на коммутаторе третьего уровня, либо на ISA, смотря что выберите.
Вот, собственно и все.
Трудоемкость? Ну мне на день работы. А за сколько вы управитесь, да кто ж его знает?
2. 192.168.2.0/24
3. 192.168.3.0/24
4. 192.168.4.0/24
В сети поставить коммутатор третьего уровня с поддержкой ACL или на худой конец одну ISA, но с кучей сетевух или с настроенной поддержкой VLAN.
Правила хождения трафика прописываются либо на коммутаторе третьего уровня, либо на ISA, смотря что выберите.
Вот, собственно и все.
Трудоемкость? Ну мне на день работы. А за сколько вы управитесь, да кто ж его знает?
Re: Лучший вариан для разбивки одной сети
а зачем ставить камутатор или ису с кучей интерфейсов, если ужно то что бы так
1 отдел смотрит только в общую сеть, из общей доступ в 1 отдел доступ закрыт,а о другич отделах ему знать не нужно, такая же схема и для остальных двух отделов, соответсвенно все справиться пограничная иса между отделом и общей сетью (см.рисунок) т.е. по факту получаеться взаимоотношение двух сетей (как локалка и инет тоже самое).
Ок. если разбивать как вы сказали т.е. каждомый отдел выделять в свою адресацию сети, огда получаеться что на домене контроллере нужно присваивать IP адреса каждой сети, что бы он смог обслуживать этикомпьютеры, соответственно в DHCP создавать 4-е область и объеденять их в супероблать. Или это не так?
Что еще необходимо будет сделать???
1 отдел смотрит только в общую сеть, из общей доступ в 1 отдел доступ закрыт,а о другич отделах ему знать не нужно, такая же схема и для остальных двух отделов, соответсвенно все справиться пограничная иса между отделом и общей сетью (см.рисунок) т.е. по факту получаеться взаимоотношение двух сетей (как локалка и инет тоже самое).
Ок. если разбивать как вы сказали т.е. каждомый отдел выделять в свою адресацию сети, огда получаеться что на домене контроллере нужно присваивать IP адреса каждой сети, что бы он смог обслуживать этикомпьютеры, соответственно в DHCP создавать 4-е область и объеденять их в супероблать. Или это не так?
Что еще необходимо будет сделать???
Re: Лучший вариан для разбивки одной сети
Нарисуйте на схеме сетевое оборудование, которым вы располагаете. Тогда наверно будет более понятна ваша текущая сетевая конфигурация.
Re: Лучший вариан для разбивки одной сети
схема звезда, из сетевого оборудования D-Link DES-3624-2шт DES-3624i-3 шт. соедененные между собой, другог оборудования нет и не будет.
Re: Лучший вариан для разбивки одной сети
Разбейте сеть на VLAN-ы, ISA будет роутером. На ISA правила куда кто может ходить.
Re: Лучший вариан для разбивки одной сети
А можно чуть подробнее, как это все сделать на VLANах??? Иса получаеться смотрит во все сети (т.е. в четырмя сетевыми интефесами)???
Re: Лучший вариан для разбивки одной сети
А если сделать как у меня на схеме? Это реально? Будет ли работать?
-
- Advanced member
- Сообщения: 507
- Зарегистрирован: 17 апр 2009, 00:49
- Откуда: Yerevan
Re: Лучший вариан для разбивки одной сети
В принципе, можно сделать ещё сложнее, но нужно, наоборот, стремиться к простоте. Зачем вам 4 ISA в сети?!ADMT писал(а):А если сделать как у меня на схеме? Это реально? Будет ли работать?
К тому же, разве они бесплатны?
Re: Лучший вариан для разбивки одной сети
ИСА это не проблемма, (они есть уже в наличие), все из-за того что необходимо по требованием безопасности ФСТЭК разграничить ИС разных классов сертифицированными фаерволами (ИСА один из самых дешевых получеться т.к. оборудование осталось от филиалов,которых щас нет, во вторых и лицензии остались, просто купили дистрибудивы сертифицированные и все) из того что есть я и могу использовать ИСЫ на границах подсетей для разграничения доступа, а всю сеть разбить на эти подсети...
Re: Лучший вариан для разбивки одной сети
С этого вообще говоря и начинать надо было. Если есть требования к безопасности, то их озвучивают сразу. Это может сильно изменить способы построения сети. Я на вашу сеть смотрел как на типичный офис, ответы были соответственные.
Стройте на ISA. Рекомендацию по VLAN можете пропустить мимо ушей. Эта рекомендация годилась только для сокращения числа ISA-серверов.
Для обеспечения надежности советую отказать от DHCP. При ваших объемах оно просто ни к чему.
Стройте на ISA. Рекомендацию по VLAN можете пропустить мимо ушей. Эта рекомендация годилась только для сокращения числа ISA-серверов.
Для обеспечения надежности советую отказать от DHCP. При ваших объемах оно просто ни к чему.
Re: Лучший вариан для разбивки одной сети
Мне когда постоновку задания делали...про это ничего не говорили т.к. наши безопасники слишком безопасные поэтому сказали только то что я излагал в начале поста, а потом выяснилось что и как и куда.
Спасибо за предложенные варианты и помощь, очень полезно. Спасибо Вам Всем.
Значит бду делать как в последней блок схеме.
Только не ясен один вопрос до конца, что бы Контроллер домена мог распознавать пользователей из другой подсети? у меня два варианта решения:
1-на сетевом интерфейсе DC добавить IP адреса всех подсетей, а на ICA сделать отношение между сетями Маршрутизация (это более удобный варианты, но непонятны пока какие минусы будт для DC)??
2- просто в отношении на ИСЕ между сетями ставить NAT (тогда не понятна как настроить нормально DNS) т.к. клиенты из подсети буду все с IP адресом ИСЫ.??
Спасибо за предложенные варианты и помощь, очень полезно. Спасибо Вам Всем.
Значит бду делать как в последней блок схеме.
Только не ясен один вопрос до конца, что бы Контроллер домена мог распознавать пользователей из другой подсети? у меня два варианта решения:
1-на сетевом интерфейсе DC добавить IP адреса всех подсетей, а на ICA сделать отношение между сетями Маршрутизация (это более удобный варианты, но непонятны пока какие минусы будт для DC)??
2- просто в отношении на ИСЕ между сетями ставить NAT (тогда не понятна как настроить нормально DNS) т.к. клиенты из подсети буду все с IP адресом ИСЫ.??
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 6 гостей