[rivera]

kim-aa
чем схема крива, так и не понял.

Удаленные пункты находятся в другом географическом регионе. До них, получаем доступ путем использования публичного коммерческого dsl канала. т.к. не имеем возможности поставить vpn до удаленных точек, решили разграничить доступ ко внутренним ресурсам.


в принципе, необходимость в DMZ зоне нет, а значит держать 2-3- порта строго под DMZ зону нет смысла.
Идеальный вариант: если 10 ehternet портов, настраиваемых под необходимое кол-во WAN, LAN, DMZ портов.

Если аппаратный прокси не получается, значит будем держать программный

схема, надеюсь менее кривая, на этот раз




Negativ, ок учту!

[kim-aa]

rivera,
согласно вашей схеме все ресурсы в сети ,в том числе и удаленные офисы находятся в одном широковещательном сегменте. т. е. маршрутизация внутри сети отсутствует как класс?

Или сеть 199.169.11.0/24 это сеть провайдера?
А сеть 192.168.0.0/24 это внутренняя сеть главного офиса?

[kim-aa]

rivera,

Предполагаемую схемку вашей сети в 3м уровне OSI я завтра набросаю.

------------------------------

Однако вопрос подобный Вашему уже поднимался, и я на него отвечал.
Там тоже выбирали между Zyxel и d-link. Поищите.

так же был вопрос по изоляции сервера 1С, но там денег было больше и схемка была на cisco (хотя при разработке архитектуры это не учитывается).
Картиночки см. ниже.

Так же был вопрос о изоляции сервера domino в DMZ.

[kim-aa]

Цитата rivera:

чем схема крива, так и не понял. »

Обычно оговаривается на каком уровне рисуется схема.
Например, "линия" - на втором уровне это канал, на первом кабель, а на 3-м соединение типа Ethernet.

------------------------------------------------------------------------------------------
Я набросал схему.
Зачем в отдельные зоны выносятся Oracle и Почта.
Это делается для того чтобы
- Возможно было мониторить, считать и ограничивать трафик
- Возможно было ограничить доступность друг к другу различных групп приложений строго по определенным портам
- Даже скажем если какой урод из пользователей заразится трояном или червем, сия гадость не портила жизнь ответственным приложениям.
- Даже если из-за дырки в приложении будет инфицирован Почтовик, он будет "схвачен и скручен" еще на фаерволе при первых неприличных поползновениях.
- При возникновении широковещательных штормов в отдельном сегменте ,он не будет загаживать остальных
- Т. к. черви ,трояны первым делом лезут на почтовик, web, вы легко отследите его на фаерволе.
В случае когда все находится в одном широковещательном домене приходится нахлобучивать мониторинг на все сервера.

[Greyman]

Цитата rivera:

не имеем возможности поставить vpn до удаленных точек »

А в чем это выражается? Что именно мешает?

[rivera]

Цитата kim-aa:

Или сеть 199.169.11.0/24 это сеть провайдера? А сеть 192.168.0.0/24 это внутренняя сеть главного офиса? »

так точно!
только еще одно "но": мы получаем от "д.Вася телеокм" 2 разные сети:
1. 199,168,11,х
2. 199,169,11,у
для каждой по одному adsl модему.


Насчет отделения серверов в разные широковещательные домены - понял.

Насчет рисования сети - тоже понял.

1. По нарисованной тобой (ничего что на "ты"? я тоже не против ) схеме, получается так:
Lan => 192.168.0.0/24
DMZ1 => 192.168.100.0/24
DMZ2 => 192.168.200.0/24
так? или просто физическая сеть одна, но разные широковещательные домены

2. опять же на твоей же схеме, файрволы для 192.168.0.0, 192.168.100.0, 192.168.0.200 и для 199.168.11.0/199.169.11.0 это аппаратные файрволы, которые предпологаются купить?

3. насчет маршрутизатора: на схеме, это чистой воды маршрутизатор? на сколько я предполагаю, сейчас, тот же аппаратный фарвол имеет маршрутизаторские функции. Или надо ставить отдельный маршрутизатор. Если так, то значит на нем (судя по схеме) минимум 7 Ethernet интерфейсов должно быть (если только 192.168.0.x 192.168.100.x 192.168.200.x не в одной физической, но в разных широковещательных - тогда на необходимо 5 интнрфейсов)

Greyman
там отдельный админ, и компы каждый день новые. пришел клиент со своим компом, ему дали место и он целый день работает. Отдельно туда с головного комп, для ВПН не предоставляли, и вряд ли предоставят. Админ далекий от ИТ человек, да он и не админ совсем, просто выполняет функции админа, т.к. дома у него есть комп, и он более менее продвинутый пользователь. Вощем там балаган, от которого я хочу оградиться. Мои руки туда не дотянутся

[kim-aa]

Цитата rivera:

так? или просто физическая сеть одна, но разные широковещательные домены »

Широковещательные домены там явно изображены.
Каждый широковещательный домен, выделен в свой сегмент 3-го уровня и обслуживается своим свичом и персональным портом фаервола.

Можно конечно и все три сегмента 3-го уровня держать в одном широковещательном домене - плоская сеть:
- три порта маршрутизатора смотрят в один коммутатор,
- VLANов нет,
- трафик из одного сегмента 3-го уровня в другой, ходит через широковещательный домен дважды
но это считается не кошерным. т.е. данная схема обычн оприменяется или как макетная или как "обходная" при аврале.


Можно реализовать схему на коммутаторе 3-го уровня, а фаервол (1 или 2) выделить именно для Internet и FO (Удаленных офисов).
Плюсы:
+ производительность выше

Минусы (это про оборудование которое будет подключено именно к коммутатору 3-го уровня)
- настроек фильтрации меньше.
- настройка требует более высокой квалификации , т.к. осуществляется через указание номеров протоколов и портов.
- настройка часто осуществляется в командной строке
- у свичей 3-го уровня нет такого-же мониторинга как и у фаерволов, точнее есть, только это уже суммы на порядок выше (catalyst 4500), если же и функциональность соспоставима, то стоимость будет уже на два порядка выше обсуждаемой (catalyst 6500)

Цитата rivera:

Отдельно туда с головного комп, для ВПН не предоставляли »

Может просто ADSL-модемы заменить на маршрутизаторы с ADSL-портом и встроенным 4-х портовым свичом - и будет счастье.

Цитата rivera:

только еще одно "но": мы получаем от "д.Вася телеокм" 2 разные сети: 1. 199,168,11,х 2. 199,169,11,у для каждой по одному adsl модему. »

Ну извиняй, ты этого не нарисовал и маски сетей не привел.

[rivera]

насчет сети все понятно!
кстати, нарисовал программой LanFlow текущее представление сети:


для определения выбора того или иного устройства, у меня все еще есть пару вопросов:
1. если роли портов изначально определены как: 1 ЛАН порт, 2 ВАН порта, и 4 ДМЗ порта. Могу ли я, например, объединить 2 ДМЗ порта в один широковещательный домен?
2. Можно ли, подключить к ДМЗ (ЛАН, ВАН) порту свич, тем самым размножив кол-во подключаемых устройств?
3. Если ли возможность присвоить несколько ip адресов разных сетей, к 1 LVP (ЛАН, ВАН) порту?
4. Можно ли настроить конфигурацию так, что 1 (или несколько) ДМЗ портов, будут в той же сети, что и ЛАН? получится у ДМЗ порта будет ip адрес из ЛАН, прозрачная передача данных. Фактически, ДМЗ будет переконфигурированным ЛАН портом?

пока на примере этот вариант.
в данном примере, все сервера будут в ДМЗ зоне, все ВАН порты задействованы(+ к ним будут стоять прокси сервера в ЛАН'е), на портах ЛАН будут подняты ВЛАН'ы для каждого из удленных FO, и оставшаяся пара-тройка ЛАН портов будут смотреть в ЛАН и использованы с целью распределения нагрузки (в сети около 100 хостов)
если не понятно, могу нарисовать

[kim-aa]

Цитата rivera:

Могу ли я, например, объединить 2 ДМЗ порта в один широковещательный домен? »

Обычно порт третьего уровня один. 4 DMZ порта образуюет просто встроенный 4х портовый свич.

Цитата rivera:

Можно ли, подключить к ДМЗ (ЛАН, ВАН) порту свич, тем самым размножив кол-во подключаемых устройств? »

Естественно можно.
Это как подключение свича к порту маршрутизатора.

Цитата rivera:

Если ли возможность присвоить несколько ip адресов разных сетей, к 1 LVP (ЛАН, ВАН) порту? »

Конечно есть. Только у самых дешевеньких SOHO фаерволов такая функция отсутствует.
Т. е. для WAN портов это явно необходимо, иначе как реализовывать PORT (IP) MAPING
Для LAN портов я бы этим не страдал, т.к. падает производительность у маршрутизатора (причем сильно, т.к. это уже чистая програмная маршрутизация. Скажем cisco 3640 при таком "изыске" маршрутизировал со скоростью 10-30 мбит/сек).
Т. е. для LAN присваивать одному интерфейсу нескольно IP одной сети - смысла нет.
А если разных - это пресловутая плоская сеть.
Обычно в приличных маршрутизаторах физический интерфейс разбивается на субинтерфейсы (для Ethernet скажем это по VLANам, Для E1 по DS-временным диапазонам).

Но лучше ОБЯЗАТЕЛЬНО прочесть главу из UserManual посвященную этому еще ДО покупки.
(Вобще UserManual есть главное свидительство о качестве устройства. Фирма у которой руки не дошли приличный USerManual написать и устройство выпустит кривое. И обновления прошивок будут раз в сто лет)

Цитата rivera:

4. Можно ли настроить конфигурацию так, что 1 (или несколько) ДМЗ портов, будут в той же сети, что и ЛАН? получится у ДМЗ порта будет ip адрес из ЛАН, прозрачная передача данных. Фактически, ДМЗ будет переконфигурированным ЛАН портом? »

Если в функциях устройства такое заявлено - то можно.
Но лучше не нужно.
Лучше реализовывать функции на стандартных технологиях, и вот почему.
Гавкнется скажем у вас сия железяка - вы возьмете или другой маршрутизатор или соберете его из компьютера.
Жить будете плохо, но будете.
А где, скажем, вы будете подобное "чудо" брать в случае чего?

Цитата rivera:

пока на примере этот вариант. »

Надеюсь ты обратил внимание что большая часть функций имеет пометку "1 Будет доступно в будущем"?
Реально это аналог zywall 35 который я предлагал в начале, причем гораздо более бедный функционально.

[rivera]

у Zywall35 всего 4 порта (ВАН не считаем): если к нам в головной идет всего 4 линка от удаленных точек, то на ЛАН не останется порта. Кроме того, планируется еще около 2-х удаленных точек. если же настроить на 1 ЛАН порт пару ВЛАН'ов, тогда, как ты сам сказал

Цитата:

падает производительность у маршрутизатора

а значит, zywall не подходит по кол-ву портов.
На D-link те функции, которые будут доступны в будущем, я их все равно не использую. Мне вообще не очень навороченный firewall нужен.

и вообще, насчет терминологии. разделение портов на ВАН ЛАН и ДМЗ происходит условно же? они отличаются лишь настройками. на практике я могу настроить любой порт, под любой другой: просто поставив те же условия для ВАН, что и на ЛАН, с теми же ограничениями...