![]() |
Кабель провайдера
Всем привет!
Извиняюсь заранее, если я не нашёл моего ответа на этом сайте) Начал изучать сети и есть вопрос по подключению корпоративной сети к сети Интернет. 1. Дома мне более-менее всё понятно, есть: ББ, NAS, STB, TV - кабелем в роутер; ноут, смарт и планшет - по Wi-Fi. И домашний роутер (вернее шлюз до коммутатора провайдера на чердаке) - все это "хозяйство" прекрасно увязывает в одно целое. 2. Малый офис (как у нас на работе) с 5-ю компами и 4G-модемом, раздающим с компа-сервера (на нём же общий юсб принтер) всем интернет, тоже более-менее всё понятно. Вопросы далее smile 3. Например, сеть из 20-40 компов: тут уже, например, кабель провайдера на скорости до 100Mb/s. Вопрос, куда будет подключаться кабель провайдера? В голове каша) то ли также как и дома, это должен быть роутер (уже не шлюз, а действительно роутер с RIP и OSPF), то ли межсетевые экраны, а может вообще коммутаторы уровня 3 или 4)??? 4. Аналогичный вопрос, но уже например, для сети 80-100 компов. Кто может что посоветует, где почитать про это) |
Схема примерно одинаковая. NAT он и есть NAT.
Вопрос в количестве сетевых устройств, от этого зависит выбор маски подсети. Стандартная 255.255.255.0 может быть узковата. Также, выбор зависит от требований к публикации внутренних ресурсов и фильтрации трафика. У меня на работе шлюзом служит виртуальная машина с Kerio Control c тремя интерфейсами - один внутренний, два от разных провайдеров с балансировкой исходящего трафика между ними. Настроен обратный прокси, отсечение P2P-трафика и т. д. |
Цитата:
Даже обычные маршрутизаторы - это микрокомпьютеры, работающие под управлением специальной версии Linux, а дорогие маршрутизаторы - это очень мощные микрокомпьютеры, операционная система которых имеет большое количество служб и самые широкие возможности по настройке. Также может быть использовано "программное" решение на базе обычного сервера, работающего под управлением обычной версии Windows, Linux или BSD. Особой мощности (по процессору и памяти) здесь не требуется. В том числе можно выделить "виртуальную машину" на основном сервере. Цитата:
Шлюз, роутер, маршрутизатор - это одно и то же. Межсетевой экран - это один из компонентов маршрутизатора. А коммутатор (любого уровня :) ) - это устройство, соединяющее между собой устройства локальной сети. Да, управляемые коммутаторы имеют функции, позволяющие осуществлять передачу трафика между конкретными компьютерами: например разрешить конкретными рабочим местам подключаться к конкретными серверам и блокировать другие подключения. В том числе это позволяет обеспечивать информационную безопасность внутри организации. Но к выходу в интернет это имеет весьма опосредовательное решение |
Цитата:
Для безопасности: - на какие характеристики аппаратного или программного решения в качестве шлюза нужно в первую очередь обращать внимание? - в чём плюсы и минусы железки (маршрутизатора) и межсетевого экрана (именно "железного") по сравнению с Kerio Control и подобным софтом? - читаю сейчас про шлюз интернета на linux: какой дистрибутив лучше выбрать? и в чём плюсы и минусы по сравнению с решениями, типа Kerio Control? Для пропускной способности: - как рассчитать какую скорость от провайдера для выхода в интернет нужно выбрать для сети, например в 20-40 компов (трафик: обычная почта, сайты и VPNы) Цитата:
|
Вот есть бесплатный https://www.pfsense.org/
А по поводу роутеров (дословный перевод слова router - маршрутизатор, от route - маршрут) и коммутаторов: роутер устройство умное, а коммутатор это по сути тройник только для сетевых кабелей (количество портов конечно же не 3, просто устоявшееся название такое). |
Цитата:
Про linux внутри роутера в курсе, дома Kinetic Ultra стоит с доп linux-софтом для IPTV на всех в моей локалке) Цитата:
Цитата:
Межсетевой экран - я имел в виду железку. Роутер и маршрутизатор - это да, одно и тоже. А шлюзом я назвал то, что называют роутерами в наших магазах, а на самом деле они только умеют выходить к коммутатору провайдера, раздающего инет домой и никакого отношения они не имеют к маршрутизации, тк не поддерживают ни одного протокола маршрутизации Цитата:
|
Цитата:
|
|
|
Цитата:
1. Можно объяснить, желательно в цифрах или как удобно) как принято такое решение, что Keenetic Ultra "потянет" работу шлюза на 100 компов? Какие характеристики это показывают? 2. А всякие "штуки" по безопасности на Keenetic Ultra можно поднять? |
Цитата:
100 компов - это офис среднего размера, следовательно, SOHO-решения здесь лучше не ставить. Грубо говоря, кирпичи нужно перевозить на грузовике, а не покупать легковушку. Можно и на легковушке извращаться, конечно, но это дело на большого любителя. Цитата:
|
Цитата:
Есть даже маршрутизаторы с функцией запасного внешнего канала (модем по порту USB или другое устройство в локальной сети) Цитата:
- выше безопасность работы - всё-таки речь идёт о наборе встроенного ПО, которое как следует проверили и отладили разработчики (но здесь многое завитит от фирмы); - выше стабильность работы; - отсутствие проблем после аварийного отключения питания; - занимает меньше места и потребляет меньше электроэнергии, чем системный блок пусть (даже корпусе 19'' или nettop). Минусы: - функционал и возможности по настройке ограничены параметрами встроенного ПО; - ограничения по хранению протоколов работы - требуется выгрузка на другой сервер - в случае поломки придётся покупать новый - чинить там практически нечего, вся техническая документация является коммерческой тайной разработчика, и перепаять микросхему в условиях мастерской практически невозможно; Что касается "штук по безопасности". 1. Возможность создания шифрованных каналов VPN для защищённого подключения к другим локальным сетям (филиалов, основных контрагентов, внешних сотрудников и т.д.) 2. Возможность привязки правил контроля доступа к базе пользователей и компьютеров домена локальной сети. 3. Возможность подсчёта трафика по пользователям и компьютерам, частичная или полная блокировка по превышению квоты. 3. Протоколирование работы на удалённый сервер, отправка уведомлений администратору |
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
|
Цитата:
|
Цитата:
Хотя здесь даже дешёвые SOHO устройства поддерживают отправку по стандартному протоколу syslog на любой linux-сервер. Также можно собирать/хранить/передавать детализацию трафика. Цитата:
Кстати, в части внутренней реализации работы функция NAT даже сложнее обычной маршутизации без изменения обратных адресов :) Просто в сегменте SOHO обычно нет необходимости плести сложные сети с разными диапазонами IP, посему там ограничивают область применения "выходом в интернет" через NAT. Цитата:
Проверка загружаемых файлов "на лету" не актуальна, потому что сейчас повсеместно используется шифрование SSL. Но моя фантазия подсказывает выявление и блокирование трафика, характерного для троянов, загрузчиков заразы и ботнетов. |
Время: 02:54. |
Время: 02:54.
© OSzone.net 2001-