Взрослая социальная сеть
 shworker Свободен |
25-09-2006 - 23:24 Задумался я вот над каким вопросом: Есть сетка, примерно 30 машин. Есть желание разделить ее на подсети, типа - админа отдельно, бухгалтерию отдельно, технарей.. ну и тд. Это, на мой взгляд, позволит повысить безопасность, ибо трафик создаваемый внутри подсети (или как сейчас модно говорить VLAN-ом) будет локализован внутри своей подсети. Также вирусные атаки, инициированные в отдельной подсети не распространяться за пределы своей подсети. Серверы как правило тоже свои. Внешние ресурсы - почта, инет, общие файловые ресурсы (в основном это бекапы) и файлопомойка будут вынесены в DMZ. Центром сети станет маршрутизатор. В него будет заведен VLAN транк, туда же войдет инет. Также на роутере будет настроен файрвол, который не позволит "ходить в гости" друг к дружке отдельным подсетям. Ну и собственно вопрос - занимался ли кто-либо у себя подобным ? Если да, то каковы результаты ? Вопли типа "а как мне зайти на комп к Васе фотки скинуть ?!" оставим на совести автора воплей :) |
||||||
aC^dreik Свободен |
25-09-2006 - 23:45 Использую... правда деление не по отделам, а по несколько иным принципам, в т.ч. и по географическим. Всё работает нормально :) Вся фильтрация согласована и все exclusions так же согласованы. Главное подходить к разделению с головой. |
||||||
BarsikM Свободен |
17-10-2006 - 23:56 Два года назад в сетке в 57 машин. сделал я такое. Сделал молча без особых объяснений. Разделял я по подразделениям. Всё было чисто и пушисто. Одна беда. Предприятие развивающиееся. Многое изменятеся - цели и задачи, принципы отдельно подразделений и отдельных людей ... Изменяется количство машин и их функциональных задач. Сегодня я тяну 140 машин основного парка, плюс два десятка разбросанных географически. Теперь понимаю свои ошибки при построении первого, второго и третьего варианта влана. И понимаю что без карандаша и бумаги ничего умного не построить. Всё документируется и составляется с перспективой на 250 машин. Благо эксперементы ставить мне не запрещают. А вообще мне это всё напоминает строительство собственного государства. Это сообщение отредактировал BarsikM - 17-10-2006 - 23:57 |
||||||
| shworker Свободен |
18-10-2006 - 00:45
И правильно ! Я всегда все сначала просчитываю, только не на бумаге, а рисую схемы в Visio. Там же прикидываю VLANы, прохождение трафика. В основном руководствуюсь правилом 80/20 (80% трафика локального, 20% - внешнего). Правда с внедрением IP телефонии это правило постепенно реверсируется :) Для снятия статистики по трафику использую MRTG (постепенно перехожу на RRDTOOL).
В котором Админ - царь, "разделяет и властвует" :) |
||||||
malef Женат |
19-10-2006 - 22:24 А вот тут не согласен , админ не царь , херовый админ кто так думает , админ эт президент - ибо слуга народа :) и народ с него может спросить , причем строго :) |
||||||
 Свободен |
21-10-2006 - 12:18
А про роутинг уже не думаем? :) |
||||||
| malef Женат |
21-10-2006 - 22:03 а чо думать прально всё пацаны написали делить и управлять чо еще писать или ожидаются конкретные схемы и решения ? так сказали же тут без ватмана , набора карандашей разной жесткости и поллитры не разберешся :) |
||||||
| shworker Свободен |
25-10-2006 - 00:42 Вам пример ? Их есть у нас :) Просьба рассматривать ЭТО только как пример :) Пример сети Это сообщение отредактировал shworker - 25-10-2006 - 00:44 |
||||||
| nix0n Свободен |
14-11-2006 - 15:08 Если по-хорошему, то рабочие станции втыкаются в свитчи второго уровня, на портах прописываются VLANы, дальше - транк на свитч третьего уровня или роутер, на нем разруливаешь ACL. ИМХО, так безопасней и производительней. |
||||||
| shworker Свободен |
14-11-2006 - 22:18 Ну я же написал, что это пример :) Просто так понятнее и нагляднее. По-хорошему конечно надо использовать VLAN-ы. Собственно говоря у меня так и сделано. |
||||||
| shworker Свободен |
05-01-2007 - 03:48
У меня все открывается. Будут вопросы - стучитесь в асю, личку, почту... |
||||||
| redrik Свободен |
16-07-2007 - 17:02
да, у меня тоже всё открывается.. |