Админы нужна помощь:
Имеется: 2 сети друг с другом не соединенные: для 1С отдельно, для Инета отдельно кол-во компов более 255.
Требуется: Разбить все по отделам (5 отделов) на подсети, соеденить текущие сетки, 1С выделить как DMZ, инет раздать по определенным ип-адрессам. При этом отделы между собой не должны пинговаться. Обмен пакетами только через DMZ.
ИТ- отдел может видеть все компы сети.

ПыСы: Самое легкое это к каждому отделу циску подцепить - но бюджет вылазит под 270 тыс. руб. Хочу старый комп с 5-ю сетевухами поставить и прописать маршруты.

И ФриБСД на комп

Тебе нужно наше благословление?
Я тебе его даю.
Старый комп в руки и вперёд.

ЗЫ. Да, только жену предупреди...

(11) Ставь гигабитную сетевуху + гигабитных хаб и вешай на один MAC своей сетевухи сколько угодно IP адресов.

Как ты там а) будешь раздвать IP адреса по DHCP б) настраивать маршрутизацию это другой вопрос :)

(3) Ага... И всё это через старенький комп...
Как говорилось - удачи вам, мистер Горски...

(5) Старый комп предложил ты. Так что кто тут Горски это еще посмотреть.

(0) А может на кажду подсеть из 5 еще контроллер домена повесить? Ну чтоб окончательно замучиться?

Купить управляемый хаб подешевле а не циску

(0) Т.е. для организации c 250 компами проблема выделение 270 тыс. руб.???

Самый феерический песец был в нашей городской администрации. У них было две сетки , не соединенные между собой. На каждом рабочем месте стояло по два компьютера , но по одному монитору по одной мышке и клваиатуре. Один комп для интернета, второй для местной сети.

(10) так это же администрация, инф безопасность хорошее оправдание очередного тендера по закупке компов)))

(2) За благословлением я пойду на сайт патриархии. Комп Xeon E54xx.
(4) DHCP-сервер само собой, маршрутизацию по МАС.
(8) D-Link, TP-Link??? спс.
(9) Бюджет уже утвержден на год.

Tp-link не пробовал, длину довольно таки ничего. Microtik можно ещё рассмотреть или hp, но это из вариантов подороже

длинк

(13) Я даже х.з. можно ли на mictikе(ах) собрать данную конструкцию и заставить работать без глюков.

*Mikrotik

самое гениальное будет это еще 5 сетевух воткнуть в в этот xeon и физически разделить подсети...

(17) И под виндой маршрутизировать...

(0) а зачем к каждому-то циску? По-моему, там достаточно управляемого свитча (ну или нескольких) и любой роутер, который дружит с VLANами и обладает нужной производительностью

имеется в виду _хороший_ роутер уровня предприятия. Т.е. та же циска, ну или зиволл, ну или на худой конец что-то типа D-Link DFL 260

(18) угу из 1С пакетики рассылать

+ (20) или микротик, только не совсем копеюшечную коробку, а помощнее модельку... у них там есть

Хотя подсказывают, что можно попробовать одну циску, а отделы на mikrotik'ах.

Импортозамещайтесь http://www.qtech.ru/catalog/metro/317/info.htm
(кстати, неплохие железки)

(23) а зачем так сложно? Почему бы отделы не объединить в VLANы и потом не управлять этими VLANами на одном маршрутизаторе? Какой смысл в отдельных маршрутизаторах в отделах?

я не говорю что так надо, хотелось бы лучше понимать плюсы и минусы

(26) 1. Железка, которая переваривает одновременно и качественно 250 пользователей стоит не мало.
2. От инфраструктуры сети зависит сильно - но 250 компов не засунуть физически в круг диаметром 200 метров.

(27) железке переваривать 250 не надо, там наверняка свичи стоят, подсети между собой не разговаривают.
Зачем по циске в отдел непонятно. Работал с dfl-860e: 2 порта ван с балансировкой и резервированием, 1 дмз, 8 гибконастраиваемых лан. И стоит порядка 40 тыр

(27) + к 28
занимает мало места, не шумит. Тем кто привык настраивать домашние роутеры придется непросто. Поддерживает впн каналы. Правда был случай: каким-то образом ушел в заводские настройки, но есть подозрение, что местный "админ" приложился

(29) ну да, все верно. Я бы мыслил в том же направлении.

(28) не, ну как "не разговаривают". Во-первых, может, и разговаривают, это не оговаривалось в (0). Даже скорее всего. Могут быть какие-то общие файлопомойки и т.п. Во-вторых, со всех отделов кто-то ходит в инет - значит будет огромная куча NAT сессий, и все это роутер предприятия должен держать. В-третьих, наверняка рано или поздно всплывет задача удаленного доступа. Т.е. - VPN. Его необязательно делать сразу, но нужно запланировать. И там в оконцовке очень нехилая железка должна быть.

другой вопрос, что от этой нехилой железки никуда не деться. За три копейки сетку предприятия на 200+ портов не делают

(0) что мешает поставить обычный коммутатор 3-го уровня?

(31) у топикстартера написано: "отделы между собой не должны пинговаться"

(3) Для гигабитной сетевухи старый комп не потянет

Микротик, недорого, функционально и не кривой длинк.

про роутеры на компах надо забыть как о страшном сне

(0) старый комп с 5-ью сетевухами - это вообще супер энтерпрайз решение, делай именно так и никого не слушай!
а если сетевухи возьмешь 3Com - вообще все летать будет. и вообще подумай над тем, чтобы всю сеть на коаксиал перевести...

(31) читайте внимательнее тему: инет не всем, даже если 200+ эта железка справится

(36) я не рекламирую длинк, просто пришлось поработать, поэтому и пишу какие впечатления.. роутер работал нормально весь срок, который я его контролировал

(37) Да! Длинк, только длинк! Гигабитный! Урааааа!
Помню, как на гигабитных длинках его оффлоадинг портил данные при передаче)

(40) не нравится длинк, ради бога, предложи свой, чё флудить?

(41) Интел разумеется, стабильно и быстро. И не намного дороже.

(41) только хардкор! только ISA и только с BNC разъемом... нечего тут...

+(42) Ну, или любой адаптер, если процессор мощный.. только вот оффлоадинг ОТКЛЮЧАТЬ!

(42) чел совета просит...: ты ему конкретно скажи, и пяткой в грудь ударь, со словами: "Я отвечаю"

(45) Я тут посмотрел - интелов гигабитных PILA в продаже в никсе нет, печалька( Совсем недавно, лет 5 назад они вовсю продавались за полторы тыщи рублей. Вот у них оффлоадинг стабильно работает. А прочие - лучше не рисковать, если ставить, то без оффлоадинга. Ибо искажение информации внутри tcp-соединения - самое большое зло, которое может сделать роутер...

(46) Я считал на Циске на 270 тыс. http://www.nix.ru/autocatalog/networking_cisco/Cisco-SF302-08-SRW208G-K9-G5-Upravlyaemyj-kommutator-8UTP-10-100Mbps-plus-2Combo-1000BASE-T-SFP_154522.html

думал и про Микротик:
http://www.nix.ru/autocatalog/networking_mikrotik/MikroTik-RB2011UiAS-IN-Marshrutizator-5UTP-WAN-10-100Mbps-plus-5UTP-WAN-10-100-1000Mbps-plus-1SFP_209745.html

На циске еще может смогу настроить, но микротик???? Я его не разу не видел...

(46) за полторы тысячи... сомевась, вы что-то недопанимаете

(46) за полторы тысячи баксов???

(49) Рублей, разумеется. С обычным PCI интерфейсом, не PCI64. Покупали для интранет сервера-шлюза, помню. Взамен длинка, чтоб ему)

+(50) У длинка неплохие свичи, за свою цену, и неплохие 100-мегабитные сетевухи. А вот гигабитные сетевухи у них плохие реально.

(20) Интересно уже, аналог у циске или микротека???

(51) пока мой опыт общения такого не говорит, барахло сетевухи, а роутеры бизнес-класса работают

(52) прочитайте всю ветку

(51) D-LINK DFL-x60 нормальная ветка интернет-центров. Вполне годная. Уже не раз я про них читал и никто плохо не отзывался, единственное что - в настройке говорят не очень просто. Но мало какие решения такого уровня настраиваются двумя тыками мышой, так что это можно полагать за норму

в классификации длинка их обзывают межсетевыми экранами, на самом деле это интегрированный роутер + фаер + впн... в общем все как обычно

лично мне очень нравятся ZyWall, но они дороже. Хотя и не сравнимы по цене с цисками.

(54) У меня dfl-860 даже имеется в наличии, но сисадмин на него плюется.

Я если честно, даже не могу понять как мне настроить? С чего начать:
1. Wan - ИТ-отдел и Инет
2. VLAN - 5 отделов
3. Все серваки  в DMZ.
4. DHCP поднять и прописывать пул адресов MAC-Ip.

(52) 260 я погорячился, конечно, он слабоват по железу. А вот 860 - более мощного представителя той же ветки - посмотреть стоит. Еще стоит посмотреть ZyWall USG 300, ZyWall USG 1000 (помощнее).

(58) все настраивается из перечисленного, там довольно гибкие настройки, есть разница между 860 и 860e

(58) ну, если сисадмин плюется... может просто не может разобраться?

(58) если каждый отдел на отдельном порту лан, достаточно правил для порта прописать и обойтись без вланов

(60) Там все в виде веб-интерфейса? попробую сам тогда. (62) Меня смущает ИТ-отдел. Сомнения куда его пихнуть - WAN или DMZ?

там х*туча настроек, поэтому сложно непривычным...

(63) какая задача? если инет, то ван

да, там в вебе почти все

(65) Самая главная задача :): собирать логи инета, серваков, рабочих станций.

(67) а вот это, кстати, не так-то легко может быть. Обычно это решается специальным софтом, который подсоединяется к маршрутизатору и собирает статистику.

в случае штатных средств журнал может довольно быстро переполняться

(69) ок. спс.

(0) всё, что ты хочешь уже давно расписано самим длинком в подробностях: http://www.dlink.ru/up/uploads_media/asymmetric_vlan.pdf

(47) Тебе из другой серии нужно микротики смотреть
http://routerboard.com/CCR1009-8G-1S-PC
или
http://routerboard.com/CCR1016-12G

(67) это или забикс или у того же микротика the dude

(0) А зачем 1с в дмз выносить?

(58) >Я если честно, даже не могу понять как мне настроить? С чего начать:

начать лучше с изучения технологий
если нет времени то оптимально начать нанимая специалистов

(74) ну да, 1С обычно не принято считать общедоступным, это бэк-офис. В конце концов, можно в DMZ поместить веб-сервер и опубликовать базу на нем.

(74) вот ты чего глупые вопросы задаешь, вдруг кому-то понадобится его база и как ее получить, а автор он уже все предусмотрел.. вот она за периметром безопасности лежит... усе продумано...

ну или вдруг вирус какой-нибудь будет бедный метаться, искать что-бы испортить.... а тут на тебе.. уже все приготовлено

(35) А 10-мигабитную с толстым езернетом потянет? :)

(77) зато от своих типа все защитили ))

(78) ты че, по диагонали чтоли читаешь, я ему еще в (37) это предложил...

(79) и ты ничего не понимаешь... самые зловреды - это инсайдеры... это любому склару известно по хрошему бы вообще езернет кабель от сервера 1С через изделие №2 в комутатор воткнуть...

ну да, ТЗ расшифровать надо и разрисовать - какие сервера где находятся и как трафик идет. Вот например, написано - "Обмен пакетами только через DMZ". Какими пакетами, между кем и кем? Непонятно.

(81) какими какими... ясное дело целлофановыми другие через rj45 не пролезут...

(82) За 270000р. я бы там какие угодно пакеты пропихнул бы.

(0) без пингов видеть всю сеть... жесть!

ЗЫ: в Вашем случае надо управляемые коммутаторы и разделять на подсети не только по диапазонам ИП, но и по VLAN-ам... иначе счастья не будет...

(83) За зп в 35 тыс. в месяц возьмёшься сделать?

(81) Пакеты между подсетями, чрез выделенный сервер (файлопомойка)

(86) говоря по-русски, есть файлопомойка, которую видят все отделы, и они могут оттуда файлы брать и файлы туда класть. Так? Вот теперь понятно. Следующий вопрос. У вас есть сервера, к которым нужен массовый доступ из Интернета, например веб-сервера?

(85) Он тебе месяцев за 8 сделает все ... 8-Е

(85) стоимость работника - есть предмет договоренности между ним и его работодателем.
с другой стороны, 35 мне кажется много, если сис. админ задает вопросы из (0)...

(89) все с чего-то начинают. Бывает и так что человек вообще ничего не знает о сетях, а приходится делать. Ничего, авось не ядерная физика, разберётся

(90) а кто-же против начинаний? я только лишь про стоимость такого человека для работодателя...

(91) возможно, он знает и умеет другое, а сюда его просто, говоря по-русски, припрягли. Без возможности отказаться.

(87) Один сервер есть, но его я скорее на хостинг попытаюсь перенести..
DMZ в моем понимании, это серваки и рабочие станции, которые не нужно прописывать маршруты, они имеют доступ ко всем ресурсам  организации, т.е. к любому отделу, и любой комп из отдела имеет прямой доступ к данной машине.
(92) Можно сказать и так, 1С-ку внедряю, а здесь беда с сисадминами... Какие-то неадеквтные попадаются. Приходится тыкать носом, как организовать сетку.

(93) Нах Вам, как внедренцу, головняк с сетевой инфраструктурой предприятия, если за это не особо не платят?

(93) https://ru.wikipedia.org/wiki/DMZ_(компьютерные_сети)

это зона в локалке к которой есть доступ извне, но даже попав и инет в эту зону не выйдет получить доступ к остальной части локалки

выносить 1С сервер в DMZ есть смысл только если к нему нужно организовать веб доступ из интернета (ну или экстранета потенциально небезопасного)

*не особо платят

там как то странно, к примеру непонятно зачем разделять компы отделов?

если надо чтобы не было доступа с отдельных компов отдельных отделов на некие компы других отделов
так это через права и AD решается обычно

(97)+ если это как то иначе сделано то к примеру накрылся общий принтер в одном отделе... и приехали даже на принтер в другом отделе никак вывести

(98) Чужая сеть - потемки...

(93) в (0) написано, что нужно закрыть пинг между отделами. Это для чего?

(93) похоже назначение dmz вы неправильно понимаете...
это изолированный сервер. Нужно для защиты сети предприятия. То есть в случае взлома сервера в дмз не получится получить доступ с него к остальным серверам предприятия

(93) пока вижу такую топологию... У вас в 860-м, если он уже куплен, есть 8 вполне реальных LAN. Не виртуальных. Это вам здорово упрощает жизнь. Вы даже можете обойтись без управляемых свитчей. Каждый отдел собираете обычными свитчами неуправляемыми и в порты LAN1-LAN5 860-го. В LAN6 также все ваши сервера, которые не отвечают на запросы из инета. В LAN7 - ит-отдел. В DMZ- те серваки, которые отвечают на запросы из инета. В WAN1 - кабель от провайдера, в WAN2 - резервного провайдерам если он у вас есть. И все. Дальше только настроить файрволл, чтобы закрыть трафик там где он не должен у вас ходить.

По настройке нужно две вещи - мануал и форум на длинк.ру. Давно там не общался, но раньше - помогали, неплохое было сообщество. Не, три вещи. Ещё голова :)

Будет довольно большая простыня правил в файрволле, но вроде железка не самая плохая, должна справиться, тем более что она как файрволл и позиционируется. Мне кажется, все получится.

И когда будете писать на форум - не используйте терминологию, если вы её не понимаете точно и правильно. Не пишите "все пакеты через DMZ", а пишите просто - компы отделов должны видеть сеть такую-то, а ту не должны.

(105) вряд ли он с такими знаниями настроит такой роутер, похоже ему переплачивают

(93) ты уверен, что ты их тыкаешь носом?
и как можно с такими знаниями пытаться организовывать сеть?

(106) лет семь назад я точно также тыкался. Тоже про циски читал, про всякое другое... Ничего, разобрался, купил, настроил, работает. И мне тоже говорили - да нафиг надо, найми сетевика, он тебе все сделает. А особенно страшного-то ничего там и не было. А потом еще много чего настроил, в том числе и за дополнительную к основному заработку денежку. Не стыдно задавать глупые вопросы - стыдно ничего не делать.

(107) ну если их сисадмин плюется от общепризнанно приличного DFL-860, то я вижу два варианта - либо он опытный цискарь и ему недорогие поделки как дальнобою газель после вольво; либо, наоборот, уровень у него - настройка торрентов на домашнем роутере максимум и на то чтобы разобраться с устройством конторского класса, не хватает терпежу и соображалки. Почему-то мне кажется что вариант 2 имеет место быть.

(108) ты это тоже делал за счет работодателя на боевых системах, да?

(110) ну можно и так сказать. Естественно, в нерабочее время и со всеми предосторожностями. Контора не простаивала.

(109) и вот прилетел на крыльях ночи автор... и сейчас всех спасет, да? ))
при чем я так понимаю, сейчас там все работает... пока еще....

(111) так, напомню: "1С-ку внедряю"...

(113) и что? Одно другому не мешает, особенно в провинции, где денег в конторах нет

(112) может, нет, а может, да. Я не знаю. Я просто принял участие в этом треде, потому что был в сходной ситуации. Если чел пытается разобраться, то это, с моей точки зрения, заслуживает уважения и помощи, хотя бы подтолкнуть в нужном направлении. Пусть пробует.

(114) стоимость оборудования будет всяко больше з\п админа... нет денег - нечего мутить...
и не знаю в каких там провинциях у тебя нет денег, но нормальная контора вполне в состоянии купить коммутатор 3-го уровня и нанять админа для обслуживания ИТ инфраструктуры..

(116) насчет мутить или не мутить - это дело не мое. С точки зрения вопроса в (0) и имеющихся в наличии ресурсов - решение мы совместными усилиями здесь нашли. Дешевое и потенциально рабочее. Дальше не мне решать.

у автора есть полная свобода - хочет пусть делает, не хочет пусть настаивает на дополнительном сетевике. На вопрос отвечено максимально полно и даже продрались через ошибки в терминах

(102) Спс. Большое. Как раз всю ночь читал данный форум, и там пример данный нашел.
(109) Да он еникейщик, а не сисадмин.

(119) более 255 компов и только эникейщик? я фигею...

(120)+ обычно в среднем на каждые 5-20 компов нужен 1 эникей + на каждые 50-100 компов 1 сисадмин

(120) Получается что так. Уровень компетенции за Мкадом сильно отличается от МСК.
(121) ;) - это в Газпроме? или Сбере так считают? Вот и штат раздут.

(122) штат раздут? а нормативы нет желания почитать?

(123) газпром может себе позволить, а региональный предприниматель нет. Что ему - сразу посыпать башку пеплом и уйти с рынка? А ничего, что работы тогда в регионах не будет? Или газпром всех высвободившихся везде наймет?

(124) а кого это волнует? и >255 компов это не мелкая предприниматель - по сути а не по форме, где может быть и ИП-ик

(125)+ при таком кол-ве компов в год примерно 10-20 заменять приходится, это сравнимо с з/п приличного сисадмина

(125) может, и не мелкая. Но сложности могут быть всякие, большой кредит, например... Не важно, не вижу смысла в это лезть. Штатка конторы - ну не наше это с вами дело. И скорее всего, не дело ТС. Меня в данной ситуации радует то, что еще один человек получил толчок к развитию, к тому чтобы добиться большего. Вы видели - он форум д-линка читал ночью. Респект и уважуха.

(127) кста циска сча позиции теряет... конкуренты их "язык программирования и конфигурирования" слизали... к примеру тот же асус

(128) Циска свои позиции потеряла ближе к 2005 году

(129) ок, она окончательно сча в последние года теряет

когда их топовые аналоги в дешевых бытовых исполнениях выпускаеются

совпало это с тремя вещами. Первая - это появление на рынке довольно большого количества новых игроков, таких как Mikrotik, Ubiquiti, ряда других, которые делают практически то же, но дешевле; вторая - появление дешевых и мощных процессоров для сетевых вычислений и вообще роста процессорной мощности. И третья, уникальная для России - Cisco согласилась играть по правилам российского законодательства от 2001 года, похоронив свою серию К9 со стойким шифрованием, отдав шифрование на откуп местным конторам. Тогда как конкуренты действовали гибче.

в результате установка цисок (особенно если речь шла о филиалах и шифрованных каналах) к концу нулевых оказалось настолько сложно и дорого, что многие плюнули и обратились к другим вендорам. И правильно, я думаю, сделали.