Привет, обращаюсь за полезными советами, линками и практическим опытом.
Имеется сеть из сотни компов и несколько серверами, в том числе AD/DNS, Proxy, FileServer, Buh, Staff. Сейчас мне предлагается выделить всех в отдельные подсети, т.е. бухов-клиентов в одну подсеть, кадровиков в другую, остальных клиентов в третью подсеть и сервера в четвертую подсеть. И меня сразу как в ступор. Мне кажется это неправильно.
Подскажите пожалуйста свои некоторые варианты и решения администрирования этого всего. Например, как организовать доступ к шарам компов с разными масками подсетей?

Спасибо...

как организовать доступ к шарам компов с разными масками подсетей? »

Если у Вас компьютеры будут в домене, то обозревателем будет контроллер домена и он будет предоставлять список компьютеров, расположенных во всех подсетях; разные маски - не проблема, главное - чтобы подсети не пересекались!
---
Главное, чтобы маршрутизатор был нормальный и Relay-agent у него был (чтобы установить только 1 или 2 DHCP). Если все сети будут замыкаться на одном маршрутизаторе, или топология сетей меняться будет нечасто, то подойдет router со статической маршрутизацией (коммутатор уровня L2+).
Если попутно нужно и выход в Инет рулить, то нужно брать такой, который DMZ поддерживает.

Мне кажется это неправильно »
Правильно или нет определяется целями разделения, которые зависят (в первую очередь) от требований безопасности, которые требуют фильтрацию трафика и прочие прелести.

---
Чтобы Вам помочь, необходимо знать требования безопасности, производительности сети... и предполагаемую Вами схему.

Если у Вас компьютеры будут в домене, то обозревателем будет контроллер домена и он будет предоставлять список компьютеров, расположенных во всех подсетях; разные маски - не проблема, главное - чтобы подсети не пересекались! »
какая свзяь между мастер-браузером (или просто баузером сети) и доступом к шарам? =)
Главное, чтобы маршрутизатор был нормальный и Relay-agent у него был (чтобы установить только 1 или 2 DHCP). »
в вопросе не указано DHCP.
Подскажите пожалуйста свои некоторые варианты и решения администрирования этого всего. Например, как организовать доступ к шарам компов с разными масками подсетей? »
проблем нет, рисуйте схему, как вам уже сказали.
Мне кажется это неправильно. »
Имеется сеть из сотни компов »
это может быть не правильным только исходя из количества хостов.
смысл сегментировать сеть на 100 ПК - для меня не понятен.

Спасибо за ответы всем!
Можно я опишу структуру сети, просто не хочу позориться своим рисованием. Так схему прочитаю, когда увижу где-нить=), а нарисовать...
Сейчас все компы и сервера находятся в одной подсети (192.168.0.х/24) и завязаны на циски.
PS Циска не админится, я не мастер. Используется как свитч. Видимо когда-то была куплена, хз зачем.
В сети поднят ad, dns. Права пользователей к шарам разграничены. Из безопасности используется AdminKit от касперского и для выхода в инет прокся UG, сертифицированая фстэк. Сейчас вот предлагается разделить сеть на подсети по отделам.

Сейчас вот предлагается разделить сеть на подсети по отделам. »
цель?

навязывает головной офис. видимо потом все филиалы завяжут на циске, а структура сети каждого филиала будет у них на руках, что мол в этой подсети вот такой отдел такого филиала и далее...

Сейчас вот предлагается разделить сеть на подсети по отделам. »
тогда мне кажется что VLAN будет для вас идеальным решением.
инет прокся UG, сертифицированая фстэк. »
это не единственный продукт под винду имеющий такую сертификацию.

навязывает головной офис. »
директора или админы головного офиса?
Сейчас вот предлагается разделить сеть на подсети по отделам. »
а если в отделе один-два человека? и сотня отделов?

тогда мне кажется что VLAN будет для вас идеальным решением. »
Оно тоже может и идеальное решение, но я в циски не знаю как работать. С другой стороны с удовольствием бы разобрался=)
это не единственный продукт под винду имеющий такую сертификацию. »
не единственный, но этот купили, поэтому на серверах будет стоять винда.
директора или админы головного офиса? »
Админы головного офиса навязывают.
а если в отделе один-два человека? и сотня отделов? »
у нас в каждом отделе от 10 человек.

но я в циски не знаю как работать »без базовых знаний по безклассовой адресации/маршрутизации применительно к имеющемуся железу начинать не имеет смысла (номер курса Microsoft 70-293), пусть контора платит за обучение ежели надо... ;)

Альтернативный вариант конечно это тупая сегментация по маскам подсети, да?, что не есть грамотно и хорошо.

боюсь никто меня никуда не отправит...

боюсь никто меня никуда не отправит »этот курс есть в продаже для самостоятельного изучения, по циске тоже можно найти инфу... конечная структура зависит в т.ч. от оппаратных возможностей циски и серверных сетевых карт, если циска 2-го уровня, то потребуется маршрутизация средствами Windows... а если при этом сетевой адаптер не поддерживает VLAN'ы - потребуется по одной сетевой карте на подсеть (!)... кроме того, КД и маршрутизатор совмещать нежелательно... ну а если циска 3-го уровня, то для остальной сети всё пройдет почти незаметно (кроме настройки DHCP-сервера/смены статических IP)

циски catalyst 2960 и 3560g

The Cisco Catalyst 3560 v2 Series are next-generation energy-efficient Layer 3 Fast Ethernet switches.похоже головной оправдывает затраты на циски =)

да, видимо когда-то они вложились хорошо в это, видимо были люди, а потом эти люди оставили их, им ничего не оставалось, как использовать эти циски как свитчи до лучших времен)

Сложно представить себе сеть на 100 ПК без DHCP. Возможно один из Cisco-коммутаторов имеет встроенный DHCP-сервер.

навязывает головной офис. видимо потом все филиалы завяжут на циске »
Подозреваю, что разделение на подсети планируется для целей защиты ИСПДн.

мол в этой подсети вот такой отдел такого филиала »
тогда у Вас должен быть корпоративный план распределения адресного пространства и схему адресации Вам спустят сверху.

Возможно один из Cisco-коммутаторов имеет встроенный DHCP-сервер. »
Наверняка имеет, просто я здесь ip адресацией не занимался, я только домен поднял, линукса в домен и прочее по мелочам: шары, разграничения...
тогда у Вас должен быть корпоративный план распределения адресного пространства и схему адресации Вам спустят сверху. »
под планом я понимаю бумажка, которую я уже видел с пулами адресов для серверов, клиентов, бухов и кадровиков.

смысл сегментировать сеть на 100 ПК - для меня не понятен. »
Типичное требование (размыто граничащее с паранойей), скажем, бухгалтерии. Хотят быть отдельно от всех, и чтоб никто к их компам доступа не имел. В принципе, в этом есть определенный смысл, хотя бы для того, чтоб прикрыть задницу админу, если вдруг происходит утечка конфиденциальной инфы от кого-то из сотрудников. Да и вообще лично мое мнение, что юзерам нужно давать прав ровно столько, сколько им необходимо для выполнения своих прямых обязанностей.
unlaw, я решил подобные проблемы следующим образом: разбил сеть на VLAN, как Вам уже советовал cameron. Так как сам в цисках тоже не силен, продумал топологию, нарисовал схему, в которой вынес, естественно, сервера в отдельную подсеть, видимую для всех, поднял DHCP (что я считаю просто необходимым в сети, где есть DC) а потом пригласил ребят со сторонней организации, заплатили им денег, они в два счета реализовали все мои "хотелки", сохранили мне конфиги с цисок на тот случай, если вдруг я решу вносить коррективы в существующие конфигурации :teeth: , показали как заливать эти конфиги и, собственно, все. А проблема с шарами решается еще проще: на одном из серверов создается шара (если есть возможность поднять DFS - то лучше сделать это), ярлык на которую разливается на рабочие столы всех пользователей. В этой шаре создаются папки с названиями всех имеющихся структурных единиц и на них дается доступ "для всех". В папке каждого структурного подразделения создается три папки - скажем, Сейф, Приемная, Стенд. На папку Сейф делегируются права полного доступа для пользователей данного подразделения; на папку Стенд дается данному подразделению полный доступ, а всем остальным на чтение/запись; на папку Приемная данному подразделению дается полный доступ, а всем остальным НА ЗАПИСЬ. Таким образом, в каждом подразделении имеется папка для внутреннего документообмена, недоступного никому более, папку для приема корреспонденции, в которую помещаются данные, которые другие подразделения передают непосредственно данному подразделению и папку, в которую каждое подразделение может выложить свои документы в общий доступ. А вы не имеете гемороя с переносом шар и документов из них, когда загибается какой-либо юзерский комп, на котором находилась та самая шара.

СаркозаН,
Спасибо большое за ответ. Сейчас вот продумываю как раз что и как сделать на основе советов гуру. Также попросился на обучение, но думаю товарищам головникам проще будет вызвать спецов, как в Вашем случае=).