Кабель провайдера
 

Всем привет!
Извиняюсь заранее, если я не нашёл моего ответа на этом сайте)
Начал изучать сети и есть вопрос по подключению корпоративной сети к сети Интернет.
1. Дома мне более-менее всё понятно, есть: ББ, NAS, STB, TV - кабелем в роутер; ноут, смарт и планшет - по Wi-Fi. И домашний роутер (вернее шлюз до коммутатора провайдера на чердаке) - все это "хозяйство" прекрасно увязывает в одно целое.
2. Малый офис (как у нас на работе) с 5-ю компами и 4G-модемом, раздающим с компа-сервера (на нём же общий юсб принтер) всем интернет, тоже более-менее всё понятно.
Вопросы далее smile
3. Например, сеть из 20-40 компов: тут уже, например, кабель провайдера на скорости до 100Mb/s. Вопрос, куда будет подключаться кабель провайдера?
В голове каша) то ли также как и дома, это должен быть роутер (уже не шлюз, а действительно роутер с RIP и OSPF), то ли межсетевые экраны, а может вообще коммутаторы уровня 3 или 4)???
4. Аналогичный вопрос, но уже например, для сети 80-100 компов.
Кто может что посоветует, где почитать про это)

Схема примерно одинаковая. NAT он и есть NAT.

Вопрос в количестве сетевых устройств, от этого зависит выбор маски подсети.
Стандартная 255.255.255.0 может быть узковата.

Также, выбор зависит от требований к публикации внутренних ресурсов и фильтрации трафика.

У меня на работе шлюзом служит виртуальная машина с Kerio Control c тремя интерфейсами - один внутренний, два от разных провайдеров с балансировкой исходящего трафика между ними. Настроен обратный прокси, отсечение P2P-трафика и т. д.

В точно такой-же маршрутизатор (он же router), как и дома. Только достаточно дорогой и мощный, чтобы обеспечить стабильную работу NAT на требуемой скорости. Плюс наличие функций протоколирования работы и автоматического уведомления администратора о всех нештатных ситуациях.
Даже обычные маршрутизаторы - это микрокомпьютеры, работающие под управлением специальной версии Linux, а дорогие маршрутизаторы - это очень мощные микрокомпьютеры, операционная система которых имеет большое количество служб и самые широкие возможности по настройке.

Также может быть использовано "программное" решение на базе обычного сервера, работающего под управлением обычной версии Windows, Linux или BSD. Особой мощности (по процессору и памяти) здесь не требуется. В том числе можно выделить "виртуальную машину" на основном сервере.



Пока что каша у вас по терминологии.
Шлюз, роутер, маршрутизатор - это одно и то же.
Межсетевой экран - это один из компонентов маршрутизатора.
А коммутатор (любого уровня :) ) - это устройство, соединяющее между собой устройства локальной сети.
Да, управляемые коммутаторы имеют функции, позволяющие осуществлять передачу трафика между конкретными компьютерами: например разрешить конкретными рабочим местам подключаться к конкретными серверам и блокировать другие подключения. В том числе это позволяет обеспечивать информационную безопасность внутри организации. Но к выходу в интернет это имеет весьма опосредовательное решение

С NAT вроде ясно, все из локалки идут в интернеты под ip шлюза. Вопрос больше по безопасности и пропускной способности.
Для безопасности:
- на какие характеристики аппаратного или программного решения в качестве шлюза нужно в первую очередь обращать внимание?
- в чём плюсы и минусы железки (маршрутизатора) и межсетевого экрана (именно "железного") по сравнению с Kerio Control и подобным софтом?
- читаю сейчас про шлюз интернета на linux: какой дистрибутив лучше выбрать? и в чём плюсы и минусы по сравнению с решениями, типа Kerio Control?

Для пропускной способности:
- как рассчитать какую скорость от провайдера для выхода в интернет нужно выбрать для сети, например в 20-40 компов (трафик: обычная почта, сайты и VPNы)

Чем более всего вызвано такое решение, как я понял Kerio Control платный и по цене за год может выйти как раз цена какой-нибудь железки?

Вот есть бесплатный https://www.pfsense.org/

А по поводу роутеров (дословный перевод слова router - маршрутизатор, от route - маршрут) и коммутаторов: роутер устройство умное, а коммутатор это по сути тройник только для сетевых кабелей (количество портов конечно же не 3, просто устоявшееся название такое).

Как узнать эту требуемую скорость? И можно привезти пример мощного маршрутизатора?

Про linux внутри роутера в курсе, дома Kinetic Ultra стоит с доп linux-софтом для IPTV на всех в моей локалке)

- какой дистрибутив лучше выбрать Linux или FreeBSD? а винда, как я понял серверная, так она вроде здорово проигрывает Linux-дистрибутивам по безопасности или нет?

Нее, каша у меня не в понятиях =) а в том, какое устройство в каких случаях ставится в качестве интернет шлюза?
Межсетевой экран - я имел в виду железку. Роутер и маршрутизатор - это да, одно и тоже. А шлюзом я назвал то, что называют роутерами в наших магазах, а на самом деле они только умеют выходить к коммутатору провайдера, раздающего инет домой и никакого отношения они не имеют к маршрутизации, тк не поддерживают ни одного протокола маршрутизации

Да вроде я так и думал, решил просто упомянуть на всякий случай, тк где то видел в интернете такую схему....вот и подумал, как это вообще может быть =)

уже опробовано такое решение? долго разбираться?

Даже Kinetic Ultra потянет :)

У меня на работе именно оно и используется.
Сложный вопрос. Мне, как новичку в этом деле - да, долго было. Мой предшественник, бывалый сисадмин, пару часов покурил форумы и разобрался.

Я понимаю, что по вашему опыту вы сходу это можете сказать.

1. Можно объяснить, желательно в цифрах или как удобно) как принято такое решение, что Keenetic Ultra "потянет" работу шлюза на 100 компов? Какие характеристики это показывают?
2. А всякие "штуки" по безопасности на Keenetic Ultra можно поднять?

Можно. Нужно читать характеристики устройств и их позиционирование.
100 компов - это офис среднего размера, следовательно, SOHO-решения здесь лучше не ставить.
Грубо говоря, кирпичи нужно перевозить на грузовике, а не покупать легковушку. Можно и на легковушке извращаться, конечно, но это дело на большого любителя.
"Штук по безопасности" дофига и больше. Нужно-то что?

Вы не поверите, но те устройства класса SOHO, что продают в магазинах - это вполне настоящие маршрутизаторы, которые поддерживают все протоколы маршрутизации, необходимые в области их применения :)
Есть даже маршрутизаторы с функцией запасного внешнего канала (модем по порту USB или другое устройство в локальной сети)


Плюсы "железки" следующие:
- выше безопасность работы - всё-таки речь идёт о наборе встроенного ПО, которое как следует проверили и отладили разработчики (но здесь многое завитит от фирмы);
- выше стабильность работы;
- отсутствие проблем после аварийного отключения питания;
- занимает меньше места и потребляет меньше электроэнергии, чем системный блок пусть (даже корпусе 19'' или nettop).

Минусы:
- функционал и возможности по настройке ограничены параметрами встроенного ПО;
- ограничения по хранению протоколов работы - требуется выгрузка на другой сервер
- в случае поломки придётся покупать новый - чинить там практически нечего, вся техническая документация является коммерческой тайной разработчика, и перепаять микросхему в условиях мастерской практически невозможно;


Что касается "штук по безопасности".
1. Возможность создания шифрованных каналов VPN для защищённого подключения к другим локальным сетям (филиалов, основных контрагентов, внешних сотрудников и т.д.)
2. Возможность привязки правил контроля доступа к базе пользователей и компьютеров домена локальной сети.
3. Возможность подсчёта трафика по пользователям и компьютерам, частичная или полная блокировка по превышению квоты.
3. Протоколирование работы на удалённый сервер, отправка уведомлений администратору

Можно привести пару-тройку живых примеров "железных" маршрутизаторов под этот офис среднего размера?

Конкретики пока мало в голове, но что-то типа системы предотвращения вторжений (IPS) и антивирусный модуль.

Хорошо, уговорили)) это NAT-маршрутизаторы)

можно узнать о вашем предпочтении по конкретной железке или бренду?

это какие например, протоколы?

Zyxel USG100-PLUS или что-нибудь из продукции Mikrotik. Сам я эти железки не использовал.

Протоколы работы с детализацией до любого требуемого уровня.
Хотя здесь даже дешёвые SOHO устройства поддерживают отправку по стандартному протоколу syslog на любой linux-сервер.
Также можно собирать/хранить/передавать детализацию трафика.

А в чём разница?
Кстати, в части внутренней реализации работы функция NAT даже сложнее обычной маршутизации без изменения обратных адресов :)
Просто в сегменте SOHO обычно нет необходимости плести сложные сети с разными диапазонами IP, посему там ограничивают область применения "выходом в интернет" через NAT.


Антивирусный модуль?
Проверка загружаемых файлов "на лету" не актуальна, потому что сейчас повсеместно используется шифрование SSL.
Но моя фантазия подсказывает выявление и блокирование трафика, характерного для троянов, загрузчиков заразы и ботнетов.