Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)
-   -   Кабель провайдера (http://forum.oszone.net/showthread.php?t=306336)

AlexWhite 06-10-2015 20:26 2561259

Кабель провайдера
 
Всем привет!
Извиняюсь заранее, если я не нашёл моего ответа на этом сайте)
Начал изучать сети и есть вопрос по подключению корпоративной сети к сети Интернет.
1. Дома мне более-менее всё понятно, есть: ББ, NAS, STB, TV - кабелем в роутер; ноут, смарт и планшет - по Wi-Fi. И домашний роутер (вернее шлюз до коммутатора провайдера на чердаке) - все это "хозяйство" прекрасно увязывает в одно целое.
2. Малый офис (как у нас на работе) с 5-ю компами и 4G-модемом, раздающим с компа-сервера (на нём же общий юсб принтер) всем интернет, тоже более-менее всё понятно.
Вопросы далее smile
3. Например, сеть из 20-40 компов: тут уже, например, кабель провайдера на скорости до 100Mb/s. Вопрос, куда будет подключаться кабель провайдера?
В голове каша) то ли также как и дома, это должен быть роутер (уже не шлюз, а действительно роутер с RIP и OSPF), то ли межсетевые экраны, а может вообще коммутаторы уровня 3 или 4)???
4. Аналогичный вопрос, но уже например, для сети 80-100 компов.
Кто может что посоветует, где почитать про это)

DJ Mogarych 06-10-2015 22:38 2561297

Схема примерно одинаковая. NAT он и есть NAT.

Вопрос в количестве сетевых устройств, от этого зависит выбор маски подсети.
Стандартная 255.255.255.0 может быть узковата.

Также, выбор зависит от требований к публикации внутренних ресурсов и фильтрации трафика.

У меня на работе шлюзом служит виртуальная машина с Kerio Control c тремя интерфейсами - один внутренний, два от разных провайдеров с балансировкой исходящего трафика между ними. Настроен обратный прокси, отсечение P2P-трафика и т. д.

El Scorpio 07-10-2015 03:14 2561334

Цитата:

Цитата AlexWhite
3. Например, сеть из 20-40 компов: тут уже, например, кабель провайдера на скорости до 100Mb/s. Вопрос, куда будет подключаться кабель провайдера? »

В точно такой-же маршрутизатор (он же router), как и дома. Только достаточно дорогой и мощный, чтобы обеспечить стабильную работу NAT на требуемой скорости. Плюс наличие функций протоколирования работы и автоматического уведомления администратора о всех нештатных ситуациях.
Даже обычные маршрутизаторы - это микрокомпьютеры, работающие под управлением специальной версии Linux, а дорогие маршрутизаторы - это очень мощные микрокомпьютеры, операционная система которых имеет большое количество служб и самые широкие возможности по настройке.

Также может быть использовано "программное" решение на базе обычного сервера, работающего под управлением обычной версии Windows, Linux или BSD. Особой мощности (по процессору и памяти) здесь не требуется. В том числе можно выделить "виртуальную машину" на основном сервере.



Цитата:

Цитата AlexWhite
В голове каша) то ли также как и дома, это должен быть роутер (уже не шлюз, а действительно роутер с RIP и OSPF), то ли межсетевые экраны, а может вообще коммутаторы уровня 3 или 4)??? »

Пока что каша у вас по терминологии.
Шлюз, роутер, маршрутизатор - это одно и то же.
Межсетевой экран - это один из компонентов маршрутизатора.
А коммутатор (любого уровня :) ) - это устройство, соединяющее между собой устройства локальной сети.
Да, управляемые коммутаторы имеют функции, позволяющие осуществлять передачу трафика между конкретными компьютерами: например разрешить конкретными рабочим местам подключаться к конкретными серверам и блокировать другие подключения. В том числе это позволяет обеспечивать информационную безопасность внутри организации. Но к выходу в интернет это имеет весьма опосредовательное решение

AlexWhite 07-10-2015 16:10 2561503

Цитата:

Цитата DJ Mogarych
Схема примерно одинаковая. NAT он и есть NAT »

С NAT вроде ясно, все из локалки идут в интернеты под ip шлюза. Вопрос больше по безопасности и пропускной способности.
Для безопасности:
- на какие характеристики аппаратного или программного решения в качестве шлюза нужно в первую очередь обращать внимание?
- в чём плюсы и минусы железки (маршрутизатора) и межсетевого экрана (именно "железного") по сравнению с Kerio Control и подобным софтом?
- читаю сейчас про шлюз интернета на linux: какой дистрибутив лучше выбрать? и в чём плюсы и минусы по сравнению с решениями, типа Kerio Control?

Для пропускной способности:
- как рассчитать какую скорость от провайдера для выхода в интернет нужно выбрать для сети, например в 20-40 компов (трафик: обычная почта, сайты и VPNы)

Цитата:

Цитата DJ Mogarych
У меня на работе шлюзом служит виртуальная машина с Kerio Control c тремя интерфейсами - один внутренний, два от разных провайдеров с балансировкой исходящего трафика между ними. Настроен обратный прокси, отсечение P2P-трафика и т. д. »

Чем более всего вызвано такое решение, как я понял Kerio Control платный и по цене за год может выйти как раз цена какой-нибудь железки?

Charg 07-10-2015 16:28 2561508

Вот есть бесплатный https://www.pfsense.org/

А по поводу роутеров (дословный перевод слова router - маршрутизатор, от route - маршрут) и коммутаторов: роутер устройство умное, а коммутатор это по сути тройник только для сетевых кабелей (количество портов конечно же не 3, просто устоявшееся название такое).

AlexWhite 07-10-2015 16:42 2561516

Цитата:

Цитата El Scorpio
В точно такой-же маршрутизатор (он же router), как и дома. Только достаточно дорогой и мощный, чтобы обеспечить стабильную работу NAT на требуемой скорости. »

Как узнать эту требуемую скорость? И можно привезти пример мощного маршрутизатора?

Про linux внутри роутера в курсе, дома Kinetic Ultra стоит с доп linux-софтом для IPTV на всех в моей локалке)

Цитата:

Цитата El Scorpio
Также может быть использовано "программное" решение на базе обычного сервера, работающего под управлением обычной версии Windows, Linux или BSD »

- какой дистрибутив лучше выбрать Linux или FreeBSD? а винда, как я понял серверная, так она вроде здорово проигрывает Linux-дистрибутивам по безопасности или нет?

Цитата:

Цитата El Scorpio
Шлюз, роутер, маршрутизатор - это одно и то же.
Межсетевой экран - это один из компонентов маршрутизатора. »

Нее, каша у меня не в понятиях =) а в том, какое устройство в каких случаях ставится в качестве интернет шлюза?
Межсетевой экран - я имел в виду железку. Роутер и маршрутизатор - это да, одно и тоже. А шлюзом я назвал то, что называют роутерами в наших магазах, а на самом деле они только умеют выходить к коммутатору провайдера, раздающего инет домой и никакого отношения они не имеют к маршрутизации, тк не поддерживают ни одного протокола маршрутизации

Цитата:

Цитата El Scorpio
А коммутатор (любого уровня ) - это устройство, соединяющее между собой устройства локальной сети. »

Да вроде я так и думал, решил просто упомянуть на всякий случай, тк где то видел в интернете такую схему....вот и подумал, как это вообще может быть =)

AlexWhite 07-10-2015 16:57 2561524

Цитата:

Цитата Charg
Вот есть бесплатный https://www.pfsense.org/ »

уже опробовано такое решение? долго разбираться?

zai 07-10-2015 18:02 2561551

Цитата:

Цитата AlexWhite
сеть из 20-40 компов: тут уже, например, кабель провайдера на скорости до 100Mb/s. Вопрос, куда будет подключаться кабель провайдера? »

Цитата:

Цитата AlexWhite
Аналогичный вопрос, но уже например, для сети 80-100 компов »

Даже Kinetic Ultra потянет :)

Charg 07-10-2015 18:18 2561555

Цитата:

Цитата AlexWhite
уже опробовано такое решение? »

У меня на работе именно оно и используется.
Цитата:

Цитата AlexWhite
долго разбираться? »

Сложный вопрос. Мне, как новичку в этом деле - да, долго было. Мой предшественник, бывалый сисадмин, пару часов покурил форумы и разобрался.

AlexWhite 07-10-2015 19:44 2561573

Цитата:

Цитата zai
Даже Kinetic Ultra потянет »

Я понимаю, что по вашему опыту вы сходу это можете сказать.

1. Можно объяснить, желательно в цифрах или как удобно) как принято такое решение, что Keenetic Ultra "потянет" работу шлюза на 100 компов? Какие характеристики это показывают?
2. А всякие "штуки" по безопасности на Keenetic Ultra можно поднять?

DJ Mogarych 07-10-2015 23:18 2561671

Цитата:

Цитата AlexWhite
Можно объяснить, желательно в цифрах или как удобно »

Можно. Нужно читать характеристики устройств и их позиционирование.
100 компов - это офис среднего размера, следовательно, SOHO-решения здесь лучше не ставить.
Грубо говоря, кирпичи нужно перевозить на грузовике, а не покупать легковушку. Можно и на легковушке извращаться, конечно, но это дело на большого любителя.
Цитата:

Цитата AlexWhite
всякие "штуки" по безопасности »

"Штук по безопасности" дофига и больше. Нужно-то что?

El Scorpio 08-10-2015 01:11 2561687

Цитата:

Цитата AlexWhite
А шлюзом я назвал то, что называют роутерами в наших магазах, а на самом деле они только умеют выходить к коммутатору провайдера, раздающего инет домой и никакого отношения они не имеют к маршрутизации, тк не поддерживают ни одного протокола маршрутизации »

Вы не поверите, но те устройства класса SOHO, что продают в магазинах - это вполне настоящие маршрутизаторы, которые поддерживают все протоколы маршрутизации, необходимые в области их применения :)
Есть даже маршрутизаторы с функцией запасного внешнего канала (модем по порту USB или другое устройство в локальной сети)


Цитата:

Цитата AlexWhite
- в чём плюсы и минусы железки (маршрутизатора) и межсетевого экрана (именно "железного") по сравнению с Kerio Control и подобным софтом? »

Плюсы "железки" следующие:
- выше безопасность работы - всё-таки речь идёт о наборе встроенного ПО, которое как следует проверили и отладили разработчики (но здесь многое завитит от фирмы);
- выше стабильность работы;
- отсутствие проблем после аварийного отключения питания;
- занимает меньше места и потребляет меньше электроэнергии, чем системный блок пусть (даже корпусе 19'' или nettop).

Минусы:
- функционал и возможности по настройке ограничены параметрами встроенного ПО;
- ограничения по хранению протоколов работы - требуется выгрузка на другой сервер
- в случае поломки придётся покупать новый - чинить там практически нечего, вся техническая документация является коммерческой тайной разработчика, и перепаять микросхему в условиях мастерской практически невозможно;


Что касается "штук по безопасности".
1. Возможность создания шифрованных каналов VPN для защищённого подключения к другим локальным сетям (филиалов, основных контрагентов, внешних сотрудников и т.д.)
2. Возможность привязки правил контроля доступа к базе пользователей и компьютеров домена локальной сети.
3. Возможность подсчёта трафика по пользователям и компьютерам, частичная или полная блокировка по превышению квоты.
3. Протоколирование работы на удалённый сервер, отправка уведомлений администратору

AlexWhite 08-10-2015 13:28 2561868

Цитата:

Цитата DJ Mogarych
Можно. Нужно читать характеристики устройств и их позиционирование.
100 компов - это офис среднего размера, следовательно, SOHO-решения здесь лучше не ставить. »

Можно привести пару-тройку живых примеров "железных" маршрутизаторов под этот офис среднего размера?

Цитата:

Цитата DJ Mogarych
"Штук по безопасности" дофига и больше. Нужно-то что? »

Конкретики пока мало в голове, но что-то типа системы предотвращения вторжений (IPS) и антивирусный модуль.

Цитата:

Цитата El Scorpio
Вы не поверите, но те устройства класса SOHO, что продают в магазинах - это вполне настоящие маршрутизаторы, которые поддерживают все протоколы маршрутизации, необходимые в области их применения
Есть даже маршрутизаторы с функцией запасного внешнего канала (модем по порту USB или другое устройство в локальной сети) »

Хорошо, уговорили)) это NAT-маршрутизаторы)

Цитата:

Цитата El Scorpio
Плюсы "железки" следующие:
- выше безопасность работы - всё-таки речь идёт о наборе встроенного ПО, которое как следует проверили и отладили разработчики (но здесь многое завитит от фирмы); »

можно узнать о вашем предпочтении по конкретной железке или бренду?

Цитата:

Цитата El Scorpio
- ограничения по хранению протоколов работы - требуется выгрузка на другой сервер »

это какие например, протоколы?

DJ Mogarych 08-10-2015 21:58 2562030

Цитата:

Цитата AlexWhite
пару-тройку живых примеров »

Zyxel USG100-PLUS или что-нибудь из продукции Mikrotik. Сам я эти железки не использовал.

El Scorpio 09-10-2015 01:15 2562082

Цитата:

Цитата AlexWhite
Цитата El Scorpio:
- ограничения по хранению протоколов работы - требуется выгрузка на другой сервер »

это какие например, протоколы? »

Протоколы работы с детализацией до любого требуемого уровня.
Хотя здесь даже дешёвые SOHO устройства поддерживают отправку по стандартному протоколу syslog на любой linux-сервер.
Также можно собирать/хранить/передавать детализацию трафика.

Цитата:

Цитата AlexWhite
Цитата El Scorpio:
Вы не поверите, но те устройства класса SOHO, что продают в магазинах - это вполне настоящие маршрутизаторы, которые поддерживают все протоколы маршрутизации, необходимые в области их применения
Есть даже маршрутизаторы с функцией запасного внешнего канала (модем по порту USB или другое устройство в локальной сети) »

Хорошо, уговорили)) это NAT-маршрутизаторы) »

А в чём разница?
Кстати, в части внутренней реализации работы функция NAT даже сложнее обычной маршутизации без изменения обратных адресов :)
Просто в сегменте SOHO обычно нет необходимости плести сложные сети с разными диапазонами IP, посему там ограничивают область применения "выходом в интернет" через NAT.


Цитата:

Цитата AlexWhite
Цитата DJ Mogarych:
"Штук по безопасности" дофига и больше. Нужно-то что? »

Конкретики пока мало в голове, но что-то типа системы предотвращения вторжений (IPS) и антивирусный модуль. »

Антивирусный модуль?
Проверка загружаемых файлов "на лету" не актуальна, потому что сейчас повсеместно используется шифрование SSL.
Но моя фантазия подсказывает выявление и блокирование трафика, характерного для троянов, загрузчиков заразы и ботнетов.


Время: 02:54.

Время: 02:54.
© OSzone.net 2001-