Всем привет. Существует сеть серсер на 2003 остальные XP. Стоит два модема ADSL. Один для VPN второй для Internet оба включены в HUB. Небходимо решить следующее обеспечить доступ любого из пользователей к Internet и к частной сети. Что для этого необходимо прописать на компьютерах? Потому сейчас работает только VPN и на одном Internet и то выдает соббщение конфликт IP адреса.
Помогите настроить сеть
- Thread starter MixBy
- Start date
Veda
Member
Не совсем понятно зачем два модема? Один модем выход во внешний мир, а другой частная локальная сеть или оба модема выход во внешний мир, но через разных провайдеров, а под частной сетью подразумевается офисная сеть?
- Thread starter
- #5
Каким образом это сделать?
Veda
Member
Вообще-то правильно было б централизованно поднимать общую сеть для всех филиалов, для этого ставяться роутеры, поднимаются протоколы WAN маршрутизации...
Но я так понимая Вы MixBy админите один из филиалов, поэтому вам видимо нужен ответ как поднять сеть именно в этом филиале.
На мой взгляд порядок действий следующий:
1. Узнаёшь адресные пространства остальных филиалов естественно правильно будет выбрать единое адресное пространство для всех филиалов например 192.168.0.0\16 или если мало то 10.0.0.0\8
1. Сажаешь всех пользователей офиса на NUB что у тебя имеется и даёшь им адресное пространство такое же как и в других филиалах (в данном случае важно выделить пулы адресов для разных филиалов и чётко их соблюдать)
2. На серваке ставишь три сетевухи - на одну вешает VPN модем, на другую ethernet модем, на третью HUB с пользователями
3. Поднимаешь PAT (динамический NAT) пула адресов пользователей в сторону ethernet модема - для обеспечения выхода пользователей во внешний мир.
4. Если позволяет мощность железа сервака, то подними на нём кеширующий прокси, если не позволяет, то отдельно, перед NAT и ethernet модемом (желательно с проверкой трафика на вирей), он существенно разгрузит линию и увеличит скорость доступа во внешний мир
5. Между пользователями и VPN модемом подними фильтрацию трафика (реж все мультикастовые рассылки, а так же ненужный трафик пользователей) это позволит наиболее оптимально использовать линк к другим филиалам.
На выходе имеем:
если единое адресное пространство всех филиалов, то для работы сети внутри филиалов ничего и прописывать не надо в маршрутах, главное соблюдать выделенный пул адресного пространства для каждого филиала и вести базу данных что занято, что свободно. Как вариант поднять DHCP сервак отдельный для каждого филиала на выделенный для этого филиала пул адресов - это избавит от рутины по ведению статической базы данных.
Для выхода пользователей в сеть прописываем у них адрес прокси.
За счёт того что центром топологии является сервак имеем полный контроль трафика во всех направлениях.
Это один из многочисленных возможных вариантов поднятия сети в данной ситуации.
В зависимости от количества пользователей в каждом из филиалов, пропускной способности каналов, квалификации администраторов, а так же возможных финансовых вложений компании в развитие своей информационной структуры, варианты могут быть и другими - более оптимизированными
Last edited by a moderator:
Veda
Member
Я правильно понимаю что в каждом филиале по два модема? То-есть один обеспечивает выход во внешний мир, один заруливает локальный трафик в туннель... или два модема только в центральном офисе, а остальные филиалы выходят во внешний мир через центральный?
Если бюджет организации позволит, то лучше бы конечно купить маршрутизатор который будет держать все каналы, необязательно киску (хотя желательно
) можно например и allied telesyn - очень достойные продукты делает, на мой взгляд главный конкурент Cisco Systems
Кстати, учитывая что всем этим хозяйством будешь рулить ты, то, естественно, нужно для себя поднимать сеть "по взрослому", дабы потом проще было ей управлять.
То-есть из адресного пространства 192.168.0.0\16, выдели отдельный пул адресов, например 192.168.0.0\24 под технические нужды - это технологическое адресное пространство, там будут серваки, модемы, и т.д. Соответвственно нужно сразу позаботиться о максимальной безопасности этой подсети и доступе в неё только для тебя
Отдельное адресное пространство, например 192.168.1.0\24, выдели под прокси, почтарь.
Учитывая небольшое количество машин в филиалах, не вижу резона выделять им отдельные подсети класса \24 - слишком уж расточительно, ну или если только планируется значительное расширение компании. Поэтому выдели пользовательские пулы адресов например такого вида 192.168.10.0\28, таким образом получишь 14 подсетей по 14 хостов в каждой - с запасом на твои нужды. Если плохо понимаешь такие расчёты, то не парься и делай проще - на каждый филиал подсеть класса \24 - например 192.168.10.0\24; 192.168.20.0\24; 192.168.30.0\24 и т.д.
Очень бы желательно вешать пользователей и сеть не на хабы, а на свичи хотя бы втрого поколения, а лучше третьего - опять же киски, allied telesyn, HP, 3COM - это дало бы более гибкую и управляемую сеть.
На выходе к провайдеру во внешний мир, особенно если он (выход) один для всех филиалов, естественно нужно поднять максимальную безопасность, последовательность такова:
трафик от филиала\филиалов -> сервак с проксёй+почтарь -> аппаратный фаер с шейпингом трафика+система фильтрации в обе стороны по адресам второго (MAC) и третьего уровня (IP) -> PAT (динамическая трансляция локальной сети по портам в один совершенно отдельный адрес, например 10.1.1.1, который и будет виден у провайдера)
Если бюджет организации позволит, то лучше бы конечно купить маршрутизатор который будет держать все каналы, необязательно киску (хотя желательно
) можно например и allied telesyn - очень достойные продукты делает, на мой взгляд главный конкурент Cisco SystemsКстати, учитывая что всем этим хозяйством будешь рулить ты, то, естественно, нужно для себя поднимать сеть "по взрослому", дабы потом проще было ей управлять.
То-есть из адресного пространства 192.168.0.0\16, выдели отдельный пул адресов, например 192.168.0.0\24 под технические нужды - это технологическое адресное пространство, там будут серваки, модемы, и т.д. Соответвственно нужно сразу позаботиться о максимальной безопасности этой подсети и доступе в неё только для тебя
Отдельное адресное пространство, например 192.168.1.0\24, выдели под прокси, почтарь.
Учитывая небольшое количество машин в филиалах, не вижу резона выделять им отдельные подсети класса \24 - слишком уж расточительно, ну или если только планируется значительное расширение компании. Поэтому выдели пользовательские пулы адресов например такого вида 192.168.10.0\28, таким образом получишь 14 подсетей по 14 хостов в каждой - с запасом на твои нужды. Если плохо понимаешь такие расчёты, то не парься и делай проще - на каждый филиал подсеть класса \24 - например 192.168.10.0\24; 192.168.20.0\24; 192.168.30.0\24 и т.д.
Очень бы желательно вешать пользователей и сеть не на хабы, а на свичи хотя бы втрого поколения, а лучше третьего - опять же киски, allied telesyn, HP, 3COM - это дало бы более гибкую и управляемую сеть.
На выходе к провайдеру во внешний мир, особенно если он (выход) один для всех филиалов, естественно нужно поднять максимальную безопасность, последовательность такова:
трафик от филиала\филиалов -> сервак с проксёй+почтарь -> аппаратный фаер с шейпингом трафика+система фильтрации в обе стороны по адресам второго (MAC) и третьего уровня (IP) -> PAT (динамическая трансляция локальной сети по портам в один совершенно отдельный адрес, например 10.1.1.1, который и будет виден у провайдера)
Last edited by a moderator: