shworker | |
|
Задумался я вот над каким вопросом: Есть сетка, примерно 30 машин. Есть желание разделить ее на подсети, типа - админа отдельно, бухгалтерию отдельно, технарей.. ну и тд. Это, на мой взгляд, позволит повысить безопасность, ибо трафик создаваемый внутри подсети (или как сейчас модно говорить VLAN-ом) будет локализован внутри своей подсети. Также вирусные атаки, инициированные в отдельной подсети не распространяться за пределы своей подсети. Серверы как правило тоже свои. Внешние ресурсы - почта, инет, общие файловые ресурсы (в основном это бекапы) и файлопомойка будут вынесены в DMZ. Центром сети станет маршрутизатор. В него будет заведен VLAN транк, туда же войдет инет. Также на роутере будет настроен файрвол, который не позволит "ходить в гости" друг к дружке отдельным подсетям. Ну и собственно вопрос - занимался ли кто-либо у себя подобным ? Если да, то каковы результаты ? Вопли типа "а как мне зайти на комп к Васе фотки скинуть ?!" оставим на совести автора воплей :) |
aC^dreik | |
|
Использую... правда деление не по отделам, а по несколько иным принципам, в т.ч. и по географическим. Всё работает нормально :) Вся фильтрация согласована и все exclusions так же согласованы. Главное подходить к разделению с головой. |
BarsikM | |
|
Два года назад в сетке в 57 машин. сделал я такое. Сделал молча без особых объяснений. Разделял я по подразделениям. Всё было чисто и пушисто. Одна беда. Предприятие развивающиееся. Многое изменятеся - цели и задачи, принципы отдельно подразделений и отдельных людей ... Изменяется количство машин и их функциональных задач. Сегодня я тяну 140 машин основного парка, плюс два десятка разбросанных географически. Теперь понимаю свои ошибки при построении первого, второго и третьего варианта влана. И понимаю что без карандаша и бумаги ничего умного не построить. Всё документируется и составляется с перспективой на 250 машин. Благо эксперементы ставить мне не запрещают. А вообще мне это всё напоминает строительство собственного государства. Это сообщение отредактировал BarsikM - 17-10-2006 - 23:57 |
shworker | |||||
|
И правильно ! Я всегда все сначала просчитываю, только не на бумаге, а рисую схемы в Visio. Там же прикидываю VLANы, прохождение трафика. В основном руководствуюсь правилом 80/20 (80% трафика локального, 20% - внешнего). Правда с внедрением IP телефонии это правило постепенно реверсируется :) Для снятия статистики по трафику использую MRTG (постепенно перехожу на RRDTOOL).
В котором Админ - царь, "разделяет и властвует" :) |
malef | |
|
А вот тут не согласен , админ не царь , херовый админ кто так думает , админ эт президент - ибо слуга народа :) и народ с него может спросить , причем строго :)
|
|
А про роутинг уже не думаем? :) |
malef | |
|
а чо думать прально всё пацаны написали делить и управлять чо еще писать или ожидаются конкретные схемы и решения ? так сказали же тут без ватмана , набора карандашей разной жесткости и поллитры не разберешся :)
|
shworker | |
|
Вам пример ? Их есть у нас :) Просьба рассматривать ЭТО только как пример :) Пример сети Это сообщение отредактировал shworker - 25-10-2006 - 00:44 |
nix0n | |
|
Если по-хорошему, то рабочие станции втыкаются в свитчи второго уровня, на портах прописываются VLANы, дальше - транк на свитч третьего уровня или роутер, на нем разруливаешь ACL. ИМХО, так безопасней и производительней. |
shworker | |
|
Ну я же написал, что это пример :) Просто так понятнее и нагляднее. По-хорошему конечно надо использовать VLAN-ы. Собственно говоря у меня так и сделано. |
shworker | |||||
|
У меня все открывается. Будут вопросы - стучитесь в асю, личку, почту... |
redrik | |||||||
|
да, у меня тоже всё открывается.. |
Рекомендуем почитать также топики: Смартфоны Nokia Нужна прога Сборки Windows UFO Возмездие Caesar |