Помощ в создании офисной сети крупного предприятия на базе продуктов Microsoft!
 

Условия:
Имеем:
а. Приход инета по оптичке.
б. 2 сервера (в каждом 2 сетевых интерфейса)
в. набор программных продуктов Майкрософт: Win 2008 r2 Enterprise; Forefront TMG; Exchenge serv.
г. Точки доступа wi-fi, для пользования инетом клиентов в общественной зоне (клиенты сторонние, только инет никаких офисных ресурсов)
Задача:
а. Организовать офисную сеть порядка 50 PC, с возможностью контроля трафика.
б. Поднять домен и почтовик, как я понимаю суда же и входят правильная настройка DNS.
в. Также необходимо что бы все это хозяйство работало на DHCP, с учетом того что, будет как бы 2 диапазона (1-офис с доменом и тд., 2-сторонние клиенты которые просто должны иметь выход в инет и не могли навредить первой сети (чтобы даже не подозревали о ней).
Жду любых грамотных советов, в свою очередь как только все заработает оформлю все это в красивую статью и размещу здесь.
P.S. теорию читал, вот теперь собираюсь заняться практикой, есть опыт в малых сетях, а вот с таким хозяйством да еще и с нуля сталкиваюсь в первые (еще будет не меньше 3 серверов со сторонними ПО+цифровая АТС).
Спасибо!

и так начнём:

1) интернет, оптику в сервер сразу не воткнуть - дорого, поэтому там будет конвертер, на выходе получаем Ethernet.
2) Выбор шлюза + трафик:
--- а) железный маршрутизатор, в этом случае учёт трафика будет не особо удобен, ибо не все бюджетные модели поддерживают подобное (NetFlow).
--- б) шлюз на винде (ISA, Tmeter и т.д.) или Юникс (SQUID, NETams и т.д.)
В первом случае настройка будет проще, чем во втором.
3) Контроллер домена + ДНС - тут всё просто, берём и устанавливем. НЕ используем в названии AD домена TLD (типо .ru, .com). + DHCP можно на нём.
4) Почтовый сервер Exchange - ещё проще, берём и устанавливаем, и настраиваем свой почтовый домен (почтовый может различаться с доменом AD, что рекомендует микрософт)
5) ДНС - для интернет домена и соответственно почты - регистрируем к примеру на www.nic.ru, там же покупаем ДНС хостинг, там же настраиваем все записи для сайта и почты. Почему там - надёжность.
6) сторонняя организация - покупаем для неё дешёвый роутер и подключаем в свою сеть.

типа кабы так :)

ИМХО

ок, я вас понял, но есть кое какие но.
во первых набор оборудования и ПО уже есть и собирать придется сугубо из него (про конвертер просто лень было писать но подразумевается что он тоже есть) во вторых контроль трафика сторонней организации вещь тоже не маловажная так что роутер не подходит.
P/S/ сейчас попробую описать как это вижу я и какие у меня появляются вопросы, по конкретней.

nagohok
Неплохо было озвучить конфигурацию серверов.

----------

я вроде не превысил, ну может железо, под шлюз можете поставить хоть простой комп, если ЮНИКС.

могли бы купить SBS сервер, он объединил бы контроллер домена и почту, а так - желательно разделять.
Т.к. у вас пока 50 машин, то AD + Exchange думаю не особо будет напряжно на одном сервере, раз уж железо больше не купите.

Спс за оперативное реагирование. Постараюсь разъяснить некоторые моменты. ну во первых конвертер конечно есть писать лень было (да и незачем думал), во вторых мы имеем конкретный набор средств для реализации (описаны выше), в третьих метод дешевого роутера для сторонней организации не подходит так-как мониторинг их трафика тоже не мало важен!
PS в следующем мсг попробую объяснить как это вижу я.
PPS Все ниже изложенное мной пока сугубо в теории, по мере воплощения в практику буду дополнять вопросами и замечаниями ну и скринами по возможности)

Ребята железяки вроде совсем неплохие (Dell r210), основная причина почему используем только то что описал - 1. лицензии, 2. как ни странно человеческий фактор в лице гл. инженера.
а теперь все по порядку - как это вижу я.
Описание мат части.
1. Сервер Dell PowerEdge r210 - 2 шт.
2. Ну естественно набор управляемых коммутаторов от HP (так на всякий случай чтобы как с конвертером не вышло)
3. Порядка 50 клиент машин с установленной win 7 pro
ПО + описание к нему и ссылки по его настройке (те что нашел сам, если есть подобные стать но понятней предложенной мной корректируйте дополняйте не стесняйтесь)
1. Win 2008 r2 - тут пока нечего да и не надо добовлять.
2. Forefront TMG - Threat Management Gateway (Forefront TMG, Шлюз управления угрозами). Основным компонентом Forefront TMG является межсетевой экран, который контролирует входящий и исходящий трафик в соответствии с установленными политиками. Этот компонент "достался" по наследству от ISA Server. Среди новинок можно отметить улучшенную поддержку NAT (например, теперь нет проблем в случае, если внешний интерфейс имеет несколько IP-адресов), функцию управления резервными интернет-каналами (ISP Redundancy, только для исходящего трафика), появление в настройках firewall вкладки VoIP, где производится настройка защиты и поддержки VoIP сервиса (VoIP traversal). взято от сюда (также присутствует инструкция по настройке)
3. Exchenge serv - пока тоже все ясно но позже вернемся к регистрации ДНС - для интернет домена и соответственно почты.

оп ссыль забыл для TGM - http://www.xakep.ru/post/51232/default.asp

Цитата:

Цитата nagohok совсем неплохие (Dell r210) »

по недавним тестам в США ноутбуки очень даже плохие...

если трафик считает - то используйте его.

Цитата:

Цитата nagohok оп ссыль забыл для »

новые сообщения не обязательны, можете старой "редактировать". Только аккуратно.

Теперь как я вижу реализацию всего этого хозяйства (повторюсь пока только в теории)
1. Ставим win 2008 r2 на один из сервантов (далее именуем GW), подразумеваем что для наших 2-х LAN сетей он и будет шлюз.
2. На него ставим Forefront TMG
3. Вот тут не все однозначно, но думаю на нем же мы подымаем DHCP (возникает вопрос может ли он обслуживать 2 разных диапазона)? Один из которых будет раздаваться сугубо офисным клиентам и доп серверам (думаю назначить каждому маку собственный IP), второй сторонним клиентам (просто задам кол-во IP в диапазоне)- http://system-administrators.info/?p=2167

в стать не ясно можно ли задать 2 разных диапазона. Ах да важное но Lan интерфейса всего 2, первый будет смотреть во внешний мир и иметь настройки данные провайдером, а вот второй отдадим DHCP с двумя диапазонами - будет такое работать???

да, но только при условии наличия третьей сетевой карты, ибо две уже заняты - LAN и WAN.
Если есть функция VLAN то это прекрасно, офис в одном VLAN, доп офис - в другом.

Далее берем второй сервант, с ним проделываем вот такие манипуляции:
1. Ставим win 2008 r2 (далее именуем CD)
2. Добавляем роль контролера домена. руководство - http://www.rususer.com/Windows%20Ser..._Derictory.php
3. Вот тут на этом пункте тоже есть кое какие непонятки, но как я понял автоматом активируется роль DNS (примерно ясно зачем, но пока туманно, и будет ли резольвится инет на клиентских компах если указать в поле DNS IP айпишник нашего сервака с именем CD)???

У Вас на этом сервере 16 ГБ памяти? Какой объем жестких дисков ??

расскажите немного подробней как грамотно организовать VLANы, основы?

памяти 4гб, HDD raid1 450 гб

DC ;)
+1
конечно, только нужно сделать ОДНУ настройку в ДНС сервере, а именно перенаправлять запросы на ДНС провайдера.

VLAN
один ВЛАН - одна сеть, другой ВЛАН - другая сеть. Друг друга не видят если нет маршрута между ними.
от одной сетевухи DHCP сервера воткнули в порт с ВЛАН 1 - во всех портах с ВЛАН 1 будет раздаваться только ЭТА сеть. С другим DHCP точно также.

я бы советовал DHCP разворачивать на корневом маршрутизаторе, если конечно он такое умеет. Надежнее будет.
Вообще ИМХО:
1. Ставим корневой маршрутизатор, умеющий бить на vlan и раздавать ip-адреса (функция DHCP-сервера). Это позволит повысить отказоустойчивость ибо чтоб положить сеть полностью - нужно положить корень, что сложнее, чем положить виндовый сервак. Кроме того, unix-подобные системы меньше подвержены вирусам, нежели виндовые.
2. Подключаем необходимое количество коммутаторов (управляемых) и настраиваем разбивку по vlan-ам таким образом, чтоб серваки были в одной подсети, рабочие компы (по необходимости) тоже разбиты по группам и каждая в своем vlan-е. Vlan-ы видят лишь серверный, друг друга не видят, только серверный видит всех и всё. Точки доступа wi-fi загоняем в отдельный vlan и оставляем для него доступным так же серверный vlan (для получения dns).
3. На одном из серверов поднимаем DC, DNS и прочие системные пречендалы, Второй - шлюз для раздачи инета и Exchange. И, собственно, все.
Таким образом мы получаем работоспособную систему и выполняем условие:Они будут видеть только сереры, да и то, если они не будут авторизованы в домене, то зайти на них не смогут.
И еще совет такой: лучше не валить на один сервак несколько задач. Как показывает практика это чревато гемороем. Если не хватает железа - применяйте виртуализацию, причем лучше не на виндовой платформе (по той же причине, что и DHCP)

Кстати, попутно вопрос: если им раздавать ДНС провайдера, а не внутренний, будет работать??? Если да - то можно и серваки закрыть для внешних юзеров.

Ок пока понятно что с VLAN мы торопимся, так как как я понял возникла проблема отсутвия поддержки 2-х диапазонов на одном интерфейсе, а как я писал ранее на каждом из двух серверов всего по две ситевухи и нет возможности апгрейда.

виндовый шлюз, на винде. я думаю поднять роль DHCP там будет не сложно, другое дело безопасно ли?
это уже скорее всего будет не шлюз, а что-то вроде прокси...
ваши аргументы против ?
компы друг друга не увидят, т.к. провайдерский о них ничего не знает.

через транк, тока можно ли его в винде настроить. не знаю.

и еще господа, Я очень благодарен господину СаркозаН за участие в дискусии но название темы и причины которые я постарался донести ранее не подразумевают использование а) доп оборудования б) стороннего ПО, только то что есть - то есть Майкрософт

Да маловато памяти то, было бы побольше можно было бы поднять несколько виртуальных машин из разделить роли. А Exchange у Вас 2010 версии?

Ну во первых, если поднимать виртуализацию на виндовой платформе, то домашняя ОС будет поедать ресурсы как полноценная рабочая система (по опыту та же варя ест куда меньше). Во вторых - если какой-нибудь кидо валит на бок домашнюю ОС, то гостевые автоматом выходят из строя. Отказоустойчивость, знаете ли :) лично мне достаточно этих доводов, чтоб убедить начальство потратиться на VmWare :)

да Exchenge 2010. А вот над поднятием виртуальных сред я пока не думал...... думаете на самом деле слишком мало производительности????

а вот мне сожалению совсем не достаточно!

для 50 хватит.
CORE EDITION
опыт или предположение? а против кидо нужно заплатки ставить. а так +0,5
HYPER-V пробовали?

Это минимум для Exchenge. Боюсь, что если на таком сервере он (Exchenge) будет еще с чем-то сосуществовать, то могут не поделить ресурсы.

пробовал. Развернута одна.
Конкретно про кидо - предположение. Еще не разобрался что конкретно вызывает глюки.

Так она и бесплатная есть. ESXi

спасибо всем кто участвовал, но на сегодня я бы хотел подвести итог (заканчивается рабочий день):
1. Многие предлагают, участие доп шлюза на базе сторонних систем (не Майкрософт), в моем случае это пока никоим образом невозможно.
2. На деле пока не удалось, решить проблему грамотного разделения 2-х (офисной и сторонней) сетей.
PS пока накапливаю теоретический материал, практику нужно будет начать в понедельник вторник
PPS сегодня вечером еще немного подумаю, а завтра постараюсь начать с того что снова выложу скорректированный материал с поправками на ваши комментарии.

Большое СПАСИБО всем кто участвует в дискуссии, завтра обязательно продолжим!

http://forum.ru-board.com/topic.cgi?forum=8&topic=28671
господа интересная ссылка, похоже мы что-то упускаем в возможностях win 2008 r2? моте как то прокомментировать, кто ни будь делал такое????

ну так и предполагал, что VLAN можно на винде поднять. Но сам не делал.

Коллеги, предже чем говорить о виртуализации я бы рекомендовала посмотреть на эти серверы.
понятно, что там 3400 поколение ксенов в лучшем случае и VT они поддерживают.
но там небуфферизованая память и всего 2 диска масимум, и почему-то мне думается что там вовсе не SSD.
исходя из этого я бы предложила совместить DC+Exchange (не рекмендуемая конфигурация и надо проверить можно ли чангу вообще на КД ставить) на одном сервере, и TMG+обвес Exchange 2010 на другом.
где располагать DHCP сервер роли не играет аж никакой, но проще в данном случае на КД.

по поводу Vlan - проблем нет, в деллах стоят броадкомы, которые отлично всё это умеют, при соответствующем свитче.

разделить сети в DHCP можно по user classid.

простите за оффтоп, но 50 хостов это не "крупное предприятие". а R210 это не серверы, по крайней мере не под Exchange 2010.

Леди, вынужден с Вами не согласиться. Разница колоссальная! Если выходит из строя ДХЦП(извиняюсь за "транслит", лень раскладку переключать) - то ВЕСЬ функционал сети становится недоступен, а вот если ложится тот же ДЦ, но при этом ДХЦП раздает адреса, то при определенных настройках хотя бы внешние (не доменные) юзеры смогут в инет ходить.

у нас работает :)
аренда 10 часов - и в рабочее время выход ДХЦП не страшен.
только кто их авторизовывать будет? если кеш, это ещё понятно.

Доброе утро!
И так, из всего выше сказанного сделал выводы-
1. Первый сервер на который вешаем Win 2008 r2 Enterprise + Forefront TMG + 2 VLAN на одном интерфейсе (кстати пока мне неясно как это сделать, может дама поделится сцылочкой?) + Роль DHCP.
можно немного подробней?
2. Второй Win 2008 r2 Enterprise + DC + Exchange 2010 + ну и DNS тоже будет естественно тут.

cameron,
пока ничего не нашел о vlan на dell r210 с win 2008 r2

даа? как интересно.
то есть выход из строя единственного DC, по-вашему, менее критично чем выход из строя DHCP?
смогут, это бесспорно.
вчера вечером подумала, но лень было ПК включать, может вообще вынести DHCP на свитч? в таком случае будет даже проще, как мне кажется.
пожалуйста

искать VLAN надо не на сервере.
какие свитчи у вас?

в свойства сетевой карты во вкладке дополнительно нашел пункт VLAN ID в нем есть возможность менять значения (простой порядок чисел) возник вопрос каким образом это применяется на практике???

cameron, ProCurve Switch 5406zl-48G Intell Edge 1шт
ProCurve Switch zl 875W Power Supply 1шт
ProCurve Switch zl 2410/100/1000 PoE Mod 1шт
ProCurve Switch 2610-24 аж 18шт)))
помоему любой из них работает с vlan или я ошибаюсь?

да, правда непонятно зачем на 50 хостов столько свитчей.