Лучший вариан для разбивки одной сети

[ADMT]

Вопросу по разбиению сети на отдельные сети или подсети.
-Исходные данные:
есть одна общая корпоративная сеть с количеством рабочих станций 110, сетевых принтеров 12, серверов 12 (адресация сети192.168.1.1-254) в сети сервак 2003R2 один домен (все рабочие станции в домене) с DC AD DNS DHCP, сервера баз данных, сервер почты Exchange 2007 и прокси сервер он же фаервол Isa 2006 которая стоит на границе инет-лвс.
Есть три отдела, которые работают с ограниченной информацией.
1 отдел - 16 рабочих станций + 2 сетевых принтера + 1 сервер баз данных
2 отдел - 5 рабочих станций + 1 сетевой принтер + 1 сервер баз данных
3 отдел - 5 рабочих станций + 1 сетевой принтер + 1 сервер баз данных
И 4 общая сеть где располагается сервера с AD, DNS, DHCP, File Servers, Date base servers, Exchange 2007, Isa 2006.

-Необходимо:
отделить все эти три отдела от общей сети организации и друг от друга согласно прикрепленному рисунку и защитить их межсетевыми экранами Isa2006.
- Необходимо выполнение условий:
выделенные отделы (рабочие станции в них и сервера) работали в корпоративном домене, проходили авторизацию в контроллере домена, получали автоматически IP адреса, могли использовать корпоративную почту, файловые сервера пользоваться Интернетом, а из других отделов к ним не имел доступ никто (для этого и ставиться ISA 2006).

-Решение:
1- разбить всю сеть на четыре подсети (на какие именно?)
2- выделить каждый отдел в собственную сеть класса С т.е. общая сеть остается с адресацией как есть, 1 отдел 192.168.2.х, 2 отдел 192.168.3.х и 3 отдел 192.168.4.х.

-какое решение из этих вариантов самое рациональное менее ресурсоемкое для выполнения заданных условий?
-какие варианты еще могут быть?

Спасибо.

[Black-Dragon]

ADMT
Не знаю, как другим, а мне очень тяжело читать. Нельзя ли немного причесать текст, разделить на абзацы и т.д. И начать с того, чего надо получить в итоге, а не что есть сейчас.

[ADMT]

извеняюсь, просто очень спешил, надеюсь так лучше и понятнее.

[and3008]

1. 192.168.1.0/24
2. 192.168.2.0/24
3. 192.168.3.0/24
4. 192.168.4.0/24

В сети поставить коммутатор третьего уровня с поддержкой ACL или на худой конец одну ISA, но с кучей сетевух или с настроенной поддержкой VLAN.

Правила хождения трафика прописываются либо на коммутаторе третьего уровня, либо на ISA, смотря что выберите.

Вот, собственно и все.

Трудоемкость? Ну мне на день работы. А за сколько вы управитесь, да кто ж его знает?

[ADMT]

а зачем ставить камутатор или ису с кучей интерфейсов, если ужно то что бы так
1 отдел смотрит только в общую сеть, из общей доступ в 1 отдел доступ закрыт,а о другич отделах ему знать не нужно, такая же схема и для остальных двух отделов, соответсвенно все справиться пограничная иса между отделом и общей сетью (см.рисунок) т.е. по факту получаеться взаимоотношение двух сетей (как локалка и инет тоже самое).
Ок. если разбивать как вы сказали т.е. каждомый отдел выделять в свою адресацию сети, огда получаеться что на домене контроллере нужно присваивать IP адреса каждой сети, что бы он смог обслуживать этикомпьютеры, соответственно в DHCP создавать 4-е область и объеденять их в супероблать. Или это не так?
Что еще необходимо будет сделать???

[and3008]

Нарисуйте на схеме сетевое оборудование, которым вы располагаете. Тогда наверно будет более понятна ваша текущая сетевая конфигурация.

[ADMT]

схема звезда, из сетевого оборудования D-Link DES-3624-2шт DES-3624i-3 шт. соедененные между собой, другог оборудования нет и не будет.

[and3008]

Разбейте сеть на VLAN-ы, ISA будет роутером. На ISA правила куда кто может ходить.

[ADMT]

А можно чуть подробнее, как это все сделать на VLANах??? Иса получаеться смотрит во все сети (т.е. в четырмя сетевыми интефесами)???

[ADMT]

А если сделать как у меня на схеме? Это реально? Будет ли работать?

[Black-Dragon]

А если сделать как у меня на схеме? Это реально? Будет ли работать?

В принципе, можно сделать ещё сложнее, но нужно, наоборот, стремиться к простоте. Зачем вам 4 ISA в сети?!

К тому же, разве они бесплатны?

[and3008]

http://sinitsyn.org/2009/07/podderzhka- ... sa-server/

По-русски и с картинками.

[ADMT]

ИСА это не проблемма, (они есть уже в наличие), все из-за того что необходимо по требованием безопасности ФСТЭК разграничить ИС разных классов сертифицированными фаерволами (ИСА один из самых дешевых получеться т.к. оборудование осталось от филиалов,которых щас нет, во вторых и лицензии остались, просто купили дистрибудивы сертифицированные и все) из того что есть я и могу использовать ИСЫ на границах подсетей для разграничения доступа, а всю сеть разбить на эти подсети...

[and3008]

С этого вообще говоря и начинать надо было. Если есть требования к безопасности, то их озвучивают сразу. Это может сильно изменить способы построения сети. Я на вашу сеть смотрел как на типичный офис, ответы были соответственные.

Стройте на ISA. Рекомендацию по VLAN можете пропустить мимо ушей. Эта рекомендация годилась только для сокращения числа ISA-серверов.

Для обеспечения надежности советую отказать от DHCP. При ваших объемах оно просто ни к чему.

[ADMT]

Мне когда постоновку задания делали...про это ничего не говорили т.к. наши безопасники слишком безопасные поэтому сказали только то что я излагал в начале поста, а потом выяснилось что и как и куда.
Спасибо за предложенные варианты и помощь, очень полезно. Спасибо Вам Всем.
Значит бду делать как в последней блок схеме.
Только не ясен один вопрос до конца, что бы Контроллер домена мог распознавать пользователей из другой подсети? у меня два варианта решения:
1-на сетевом интерфейсе DC добавить IP адреса всех подсетей, а на ICA сделать отношение между сетями Маршрутизация (это более удобный варианты, но непонятны пока какие минусы будт для DC)??
2- просто в отношении на ИСЕ между сетями ставить NAT (тогда не понятна как настроить нормально DNS) т.к. клиенты из подсети буду все с IP адресом ИСЫ.??