Форум программистов, компьютерный форум, киберфорум
Сетевое оборудование
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.89/9: Рейтинг темы: голосов - 9, средняя оценка - 4.89
237 / 232 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
1

Доступ в интернет для бранч офиса и арендаторов

20.10.2012, 21:55. Показов 1783. Ответов 10
Метки нет (Все метки)

Добрый день! Я как то раз уже поднимал тему, касательно производительности маршрутизаторов.

Вопрос заключается вот в чем. На объекте, помимо бранч офиса имеются арендаторы.

В голове, карту сети я представляю примерно так:
1 Вариант
От провайдера приходит соска, которая подключена к моему маршрутизатору.
Для арендаторов и конференц залов:
На маршрутизаторе, подняты саб.интерфейсы относящиеся к соответствующим им VLAN. На какие то VLAN, роутер раздает IP адреса с помощью DHCP (для клиентов, которым не требуется внешний IP) и через NAT отправляет их в интернет. На какие то VLAN, настроена работа с определенного адреса(ip unnumbered).
Для бранч офиса:
Так же поднят саб. интерфейс, и NAT через отдельный от всех IP. Так же настроен url filtering.

2 Вариант
Для арендаторов - все то же самое.
Для бранч офиса:
К роутеру подключен межсетевой экран и через него уже все ходят в интернет.

В 1 варианте - вся сумма денег идет на роутер. Во втором вариант, эта сумма делится между роутером и сетевым экраном.

Как правильнее поступить? Второй вариант кажется более защищенным для бранч офиса, но намного ли? Может быть стоит рассматривать для второго варианта не роутер, а коммутатор 3го уровня? Подскажите!!
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
20.10.2012, 21:55
Ответы с готовыми решениями:

Интернет для офиса и гостей
Добрый день. Подскажите пожалуйста как сделать интернет доступный для обоих сетей ethernet, но...

связать 2 офиса в локальную сеть и интернет
Народ прошу помочь. Ниже приведена карта как что должно быть Моя проблема в том чтобы связать 2...

Доступ в интернет по MAC. для wi-fi и lan
Здравствуйте. Стоял обычный роутер tp-link, который смотрел в локальную сеть из нескольких десятков...

Закрыть доступ в интернет для программы
Доброго времени суток! Хочу написать 2 простых .bat файла, но не знаю как. Один должен закрывать...

10
Эксперт С++
7175 / 3234 / 78
Регистрация: 17.06.2009
Сообщений: 14,165
21.10.2012, 11:43 2
Уточни
1) Модель роутера
2) Модель межсетевого экрана
3) Канал провайдера сколько ?
4) Какой канал раздается арендаторам и какой раздается в офис ?
5) Сколько IP-адресов дает провайдер ?

Добавлено через 5 минут
Если ничего не мешает, то я бы поставил ОДИН роутер на FreeBSD с 2-мя интерфейсами
Внешний интерфейс - к провайдеру
Внутренний интерфейс без адреса, но на нем сделать несколько VLAN-интерфейсов с IP
1) интерфейс - арендаторам
Можно даже разным арендаторам разные подсети
Арендаторам раздача по DHCP динамическая или статическая

2) интерфейс - в конференц залы
В конференц зале раздача по DHCP динамическая свободная

3) интерфейс - в офис
Раздача по DHCP статическая

Если есть 3 внешних IP-адреса, то NAT настроить чтобы у всех трех были разные внешние IP

4) Проходы между (1), (2), (3) заблокирована на роутере
Во всяком случае из (2) можно выйти в Internet, но нельзя попасть в другие локальные сети
Но лучше полностью заблокировать
Можно для одного выделенного компьютера админа сделать проход во все подсети
2
237 / 232 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
21.10.2012, 12:02  [ТС] 3
Роутер Cisco, а межсетевой экран Cisco ASA. Модели конкретизировать пока не могу, т.к. разброс цен великоват) Канал провайдера - 35 мб. В офис 15 мб, остальное по арендаторам поделено. Кол-во IP адресов если честно не помню.. минимум /29 =)

Тобишь смысла покупать дополнительно межсетевой экран особого нету?
0
Эксперт С++
7175 / 3234 / 78
Регистрация: 17.06.2009
Сообщений: 14,165
21.10.2012, 12:12 4
Тобишь смысла покупать дополнительно межсетевой экран особого нету?
Я-то про обычный комп говорил
На него можно поставить proxy-сервер и фильтровать

А в твоем случае зависит от того что именно умеет делать твой роутер CISCO и что умеет делать твой межсетевой экран что не умеет делать роутер
1
jlevistk
21.10.2012, 12:30  [ТС]
  #5

Не по теме:

Ну, примерную суть я уловил) спасибо!)

0
Эксперт С++
7175 / 3234 / 78
Регистрация: 17.06.2009
Сообщений: 14,165
21.10.2012, 13:04 6
У нас кстати на большую организацию использовали межсетевой экран CISCO
А потом убрали его
Он тормозил подключения
Либо нужно было покупать еще более крутой экран, либо просто на такой траффик в принципе не справляется

В принципе если на компах есть антивирус+firewall (а они там просто обязаны быть) то большой необходимости в крутом сетевом экране я не вижу
Пользователи всегда умудряются принести вирус хоть на флешке

Добавлено через 1 минуту
На роутере разумеется должен быть statefull firewall
И настроен он должен быть так чтобы всякий мусор не проходил
0
237 / 232 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
21.10.2012, 13:19  [ТС] 7
А не подскажите, на сколько большая организация и какая модель экрана была? Мне это на самом деле важно, т.к. собираемся приобретать на другой бранч непосредственно ASA.

Да я сомневаюсь сильно, что на компах там установлен antivirus+firewall. В лучшем случае только антивирус.
0
Эксперт С++
7175 / 3234 / 78
Регистрация: 17.06.2009
Сообщений: 14,165
21.10.2012, 15:38 8
на сколько большая организация
35000 компов под Windows
Какая именно модель точно не знаю
Внешний канал 150 Mbit/sec
В лучшем случае только антивирус.
Все нормальные корпоративные антивирусы на самом деле антивирус+firewall
Связка такая имеет большой плюс чем отдельно антивирус и отдельно windows firewall
0
237 / 232 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
21.10.2012, 15:49  [ТС] 9
Да, большая сетка... число компов вызывает чувство чего-то глобального и титанического)

Не поленился, слазал посмотрел, установку firewall'a отрубил админ. Ставится только сканер и антивирь сам.
0
Эксперт С++
7175 / 3234 / 78
Регистрация: 17.06.2009
Сообщений: 14,165
21.10.2012, 15:55 10
Какой именно антивирус ?

Сканер находит активность вирусов, передает команду своему firewall - тот блокирует доступ для IP откуда пришла атака
Или даже блокирует доступ для вируса изнутри наружу

А если firewall отсутствует или встроенный Windows firewall
то считай что все это не работает
0
237 / 232 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
21.10.2012, 16:08  [ТС] 11
Цитата Сообщение от odip Посмотреть сообщение
Какой именно антивирус ?
Dr.Web =)
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
21.10.2012, 16:08

Помощь в написании контрольных, курсовых и дипломных работ здесь.

Настройка локальной сети офиса с выходом в интернет
И так что мы имеем? Имеем входящий wifi сигнал, его принимает и раздает по локалке сервер. На...

Есть возможность использовать интернет офиса в дома?
Ситуация такая у меня на работа есть интернет с нормальними скоростями, и вечером безлимитно, есть...

Настройка выхода в интернет из офиса через домашний
Доброго времени суток. Ребят есть большая загвоздка уже устал биться (( Опишу проблему: У...

Доступ в интернет для сервера. Схема прилагается
Не знаю, как пустить интернет на сервер. Между сервером и 24-ёх портовым маршрутизатором стоит...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
11
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.