LINUX.ORG.RU
решено ФорумAdmin

Варианты топологии сети


0

1

Имеется сеть организации с такими исходными данными:

  • Всё серверное оборудование висит во внешней серверной под управлением персонала арендодателя; кондиционирование, нормальное питание наличествует;
  • в офисе организации есть небольшой шкаф 19" без нормальной вентиляции - там находятся коммутаторы (неуправляемые), АТС и кросс-панели;
  • печать реализована несколькими принтерами, разбросанными по офису, сетевыми;
  • от серверной к офису тянется только одна витая пара; с обоих концов гигабитные коммутаторы, для подключения серверов и офисной сети соответственно;
  • основной сервер - контроллер домена, почтарь, файлопомойка, 1С/SQL и роутер наружу в одном лице, Win2003 SBS (это комментировать не надо, я и сам понимаю, что это - пи##ец).

Защита внешнего периметра маршрутизатором/прокси очевидна и уже реализуется, можно не обсуждать. Что делать с сетью? Хочется выделить в отдельную подсеть хотя бы бухгалтерию, ибо так спокойнее. Хорошо было бы так же убрать из общей сети принтеры, чтобы печатать на них через принт-сервер.

Внимание, вопрос. Как прийти к вменяемому уровню безопасности с минимальными затратами?

Варианты для бухгалтерии:

  • Каждый бухкомпьютер подключается к серверу по VPN. Извращение, на мой вкус.
  • Поставить в отделе бухгалтерии что-нибудь типа Dlink DIR-130.
  • Вообще поставить в бухгалтерии отдельный сервер, для трёх рабочих мест это вполне может быть обычная рабочая станция с хорошим охлаждением и хардами в зеркале.

Что делать с принтерами? Можно конечно политиками запретить прямую печать, но есть ещё гости, которые подключаются где угодно в офисе, им тоже нужен интернет и возможность печати/сканирования, а мне нужно контролировать, сколько и когда они печатают. Гости подключаются в разных точках офиса, по проводу и без.

Нехилая такая портянка получилась… Кто какие варианты предложит, коллеги?

★★

коммутаторы (неуправляемые)
Как прийти к вменяемому уровню безопасности с минимальными затратами?

Никак.

Сейчас любой вшивый коммутатор хотя бы web smart, с поддержкой VLAN'ов, вот их бы и юзать, для разделения сетей.

zgen ★★★★★ ()

Бухгалтерию посадить на маршрутизатор, подключаться к серверу в стойке через vpn. Кабинет бухгалтерии это проходной двор. Серверу там делать нечего. Но, конечно, зависит от ситуации.

Для гостей тоже сделать отдельный влан. В нее добавить доступ к одному принтеру, который поставить в коридоре.

soomrack ★★★ ()

коммутаторы (неуправляемые)

первым делом - заменить это на L2, если задумал разделять подсети, то без VLAN - никак. Я имею, если не хочешь городить кучу костылей

Pinkbyte ★★★★★ ()

Купить управляемый свич, умеющий vlan'ы и сделать на win 2k3 разные ip-адреса для разных vlan'ов (если там соответсвующая сетёвка с правильным драйвером). И там принт-сервер со своей подсеткой принтеров, отдельная подсетка для бухгалтерии.

Управляемый свич может быть не небольшое число портов, допустим 8 портов, 2 гигабитных. Три порта для бухгалтерии, все принтеры на отдельный не управляемый свич (ещё один порт), порт к неуправляемому свичу в офисе (гигабитный) и порт в серверную (гигабитный).

Или, где-то делать linux-сервер и на нём сервер печати и маршрутизацию. До него можно от шкафчика протянуть 3 витухи, под принтеры и бухгалтерию по отдельному не управляемому свичу.

mky ★★★★★ ()

Специально для этого Б-г придумал VLAN'ы

Turbid ★★★★★ ()

Короче, только L2-коммутатор. Собственно, это понятно было сразу, хотелось только посмотреть, может кто выкручивался как-то без этого.

cache ★★ ()
Ответ на: комментарий от cache

может кто выкручивался как-то без этого.

Выкручиваться - не проблема, VPN'ы, маршрутизаторы и т.п.

Но ради экономии копеек городить несколько уровней софта с рисками - сейчас так мало кто делает.

zgen ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.