[kim-aa]

1)
Ingolder,
Для того чтобы получить "кАнкретный ответ", нужно задать соответствующий вопрос, да?

Как вы себе представляете приведение Вам "настроек", если не известен ни производитель оборудования, ни требуемая производительность, ни топология , ни дальности, ни бюджет, ни "угол заструга рук" (архиважная величина ,вообще-то) исполнителя, - "сапсем" ничего не известно, "начальника"?


Ознакомтесь (внимательно) http://forum.oszone.net/announcement-31-75.html
и приведите требуемую информацию

2) Сегментацию сети производят всегда устройствами не ниже третьего уровня, т. е. маршрутизаторами (коммутаторами третьего уровня). Оптимально будети если устройство обладает и фаерволом, что собственно уже стандарт де-факто.

Цитата Ingolder:

Буду рад ссылкам и мануалам и всему что пригодиться. »

Нууу тут статьей не обойдешься.
Наверное придется начинать с талмуда типа
http://www.infanata.org/2006/08/08/p...kovodstvo.html

[Ingolder]

Мне мои вопросы кажутся весьма "канкретными", если вам что-то кажется непонятным, я поясню, спрашивайте.
1)Отвечаю на ваше уточнение - в здании между всеми коммутирующими\маршрутизирующими устройствами и компьютерами пользователей будет весьма небольшое расстояние, в районе 50-ти метров, может чуть более.
Провайдера, обеспечивающего интернет пока не знаю, в ближайшее время сообщу.
Сеть внутри, наверное, будем делать гигабитную; топология - звезда, (предполагается).
По поводу производителя оборудонания - хочу спросить вашего совета.
Есть предположение, что для такой смолбизнес сети - циско будет слишком дорого для простой сети; предполагаются всякие 3com d-link итд (хочу услышать и ваши мнения и пожелания).
На данный момент в сети планируется сделать только пару файловых серверов(вероятно и не стоит делать гигабитную, это делается с учётом развития сети, на будущее), и наверное, домен.
Вопрос заключается в том, что в данном случае выбрать в качестве основного узла сети - маршрутизатор или свич третьего уровня. Прочитал Эту статью, но, различие, простите, представляю себе плохо; на некоторых форумах говорят - что в некоторых случаях лучше ставить то, в некоторых случаях - это. Пока что ответ не ясен - под какие задачи и что нужно.

и , встаёт вопрос о dhcp - программно или аппаратно, и взаимодействие с доменом..

2)Опять-таки стоит вопрос - в каком случае какое устройство применить, и какое устройство будет в центре всего.
И - как именно настраивается VLAN?
вы говорите, чтобы я сначала вам сказал о своём предполагаемом оборудовании, но, к сожалению, я пока его не предполагаю; я пытаюсь выяснить как происходит в данном вопросе сегментирование, и в зависимости от того, какой из вариантов подходит , определиться с оборудованием.



За литературу спасибо, постараюсь ознакомиться.

p.s. по поводу сегментирования: а как же Концентратор (хаб) , который какраз и объединяет узлы в сегмент, и работает-то он на физическом (первом) уровне?

[exo]

Ingolder, этажей сколько?

Топология:
1) к провайдеру подключается маршрутизатор, к маршрутизатору подключаются несколько коммутаторов. Всё это в одном "ящике", в одном кабинете - в серверной. Далее разводка по разеткам в кабинете.
2) к провайдеру подключается маршрутизатор, к маршрутизатору подключаются несколько коммутаторов. Каждый коммутатор (-ры) устанавливается (-ются) на своём этаже. Далее разводка по разеткам в кабинете.

Оборудование:
Раз Циску не можете себе позволить смотрим в сторону Dlink:
межсетевые экраны: гигабитные DFL-1600 и DFL-2500. Оба с поддержкой VLAN, VPN-tunnel.
Остальные функции типа NAT - по умолчанию есть.
коммутатор DGS-1248T/GE - 44 порта 1000 BASE-T c поддержкой VLAN.
Можете дешевле взять 100 BASE-T, с двумя 1000 BASE-T портами - для подключения между коммутаторами.

IP Сети:
Для разбиения на сети, можете использовать VLAN. На мой взгляд самый оптимальный выбор.
Пример настройки VLAN по cisco:
На главном маршрутизаторе создаёте VLAN 10 с соответсвующей ему сетью: 192.168.0.0/24. не профессиональная терминалогия, но очень понятная.
На главном маршрутизаторе создаёте VLAN 20 с соответсвующей ему сетью: 192.168.1.0/24.
Далее, на портах коммутаторов назначаете VLAN 10 и компьютер, подключённый к этому порту получит адрес из сети 192.168.0.0/24 от DHCP сервера, который раздаёт данную сеть и собственно сам будет также подключён к порту с VLAN 10.
На первом этаже у вас будет VLAN 10, а на втором VLAN 20.
Не забываем, что главный маршрутизатор теперь должен NATировать две сети.

Синтаксис команд по созданию VLAN и их назначения на порты - посмотрите в документации к оборудованию. Или сходите на курсы.

Делее, т.к. у вас будет виндовая сеть - то DHCP сервера будут только виндовые - будет проще управлять сетью через Виндовые оснастки.

п.с.: Забудьте о хабах.

Цитата:

4. Если DNS-сервер разрешает имена компов в айпишники внутри нашей сети, то что он делает в DMZ на этой картинке?!

А на картинке администраторы решили защитить свои сервера через DMZ. Ещё не факт что DNS резолвит внутренние имена, а возможно работает для SMTP и WWW серверов.

ушёл спать...

[kim-aa]

Цитата Ingolder:

Вопрос заключается в том, что в данном случае выбрать в качестве основного узла сети - маршрутизатор или свич третьего уровня. Прочитал Эту статью, но, различие, простите, представляю себе плохо; на некоторых форумах говорят - что в некоторых случаях лучше ставить то, в некоторых случаях - это. Пока что ответ не ясен - под какие задачи и что нужно. »

Разницу между коммутатором 3-го уровня и маршрутизатором, я описывал здесь http://forum.oszone.net/thread-124990.html
Да кстати, о современных маршрутизаторах http://wiki.oszone.net/index.php/Маршрутизатор



Попробую описать разницу между маршрутизатором Cisco 1811 и самой дешевой моделью Cisco 3560-8, которые стоят приблизительно одинаково.
------------------------Cisco 1811-----------Cisco 1811-----------------
Порты : ________10x100__________8x100+1x1000
SFP:____________NO______________1
Скорость
коммутации: ____30 (2)___________на скорости среды (~2000)
NAT:___________Yes_____________?
Firewall_________Yes_____________Yes
VPN____________Yes_____________No
Протоколы
маршрутизации__(RIP, OSPF,EIGRP, BGP)__со стандартной прошивкой - RIP + IGRP

==============

Цитата Ingolder:

Есть предположение, что для такой смолбизнес сети - циско будет слишком дорого для простой сети; предполагаются всякие 3com d-link итд (хочу услышать и ваши мнения и пожелания). »

Если вы внимательно прочли "Требования к содержимому", то должны помнить следующие вопросы:
"5) При просьбе о конфигурации или проектном решении извольте указать Ваш бюджет, т.к. решения за 100$ и за 10 000$, мягко говоря, сильно отличаются.

6) Неплохо бы упомянуть Вашу квалификацию (если есть курсы, сертификаты - упомяните, не пожалеете), т.к. совет то дать можно, но не факт что Вы его поймете.
Опять же, новичкам прощается многое.

7) Если есть предпочтения в производителе (что Ваши, что Вашего поставщика), не стесняйтесь, - высказываете. А то насоветуем мы Вам, скажем оборудование Juniper, а не возят его в Ваш славный город N-ск."
После ответа на которые, можно рекомендовать вендора и модели

Цитата Ingolder:

4. Если DNS-сервер разрешает имена компов в айпишники внутри нашей сети, то что он делает в DMZ на этой картинке?! (найдено в википедии по слову )DMZ То есть, зачем к нему - доступ извне? »

1) Не правильный ответ. Данный DNS-сервер обслуживает свой домен, т. е. внешние запросы.
2) Вобще, в Инете закрепилась логическая связка тождественности DMZ<->внешним сервисам, что не правильно.
DMZ - это просто отдельный сегмент третьего уровня куда выносятся сервисы которые нужно либо "охранять", либо от которых нужно "охранять"
Разделение на сегменты третьего уровня связаны с тем простым фактом, что фильтровать трафик либо скрывать сеть (NAT), возможно только на интерфейсах третьего уровня.

[Ingolder]

exo, спасибо за весьма развёрнутый и максимально понятный ответ!
только, у меня есть пара уточняющих вопросов:
Вы говорите о маршрутизаторах, и потом сразу же о межсетевых экранах. На яндексе, например, ваша модель значится как маршрутизатор.

Вы имеете ввиду маршрутизатор с функцией межсетевого экрана, верно?
Далее, по поводу VLAN:

Цитата:

...Далее, на портах коммутаторов назначаете VLAN 10 ...

всмысле, в настройках самих коммутаторов?

и, по поводу виндовых DHCP - я так и не понял, вы советуете мне раздавать айпишники виндовским dhcp или маршрутизатором?
остальное всё понятно, спасибо за разжёвывание.
Отвечаю на ваш вопрос:
У меня два этажа, на каждом до ста компьютеров.

kim-aa, большое спасибо за информацию, пока осваиваю...

Отвечаю вам:
5) Ход моих действий таков: Проектирование сети на основе требований (описал выше - пока что пара файловых серваков, возможно домен, и дальнейшее развитие в виде www smpt и прочих серваков; разбиение на сегменты; внутри сети желательно максимизировать скорость передачи данных с учётом развития сети) затем -> Определение оборудования для данных задач, затем -> составление сметы на основе стоимости оборудования.

6)Квалификация отсутствует напрочь; Дома спроектировал сеть из маршрутизатора Asus WL500g premium и свича тренднет TE100-S55E Plus; шесть компьютеров. больше бюджет пока не позволяет. сижу разбираюсь с доменами и AD.

7) Личных пристрастий не имею, хотя по обыту мелкой работы, по мне, например, мелкие модемы и маршрутизаторы trendnet нравятся больше d-linka, как-то стабильнее, настройки не слетают и меньше общего гемора. В остальном - см. пункт 5 - оборудование выбирается в соответствии с задачами.
(Да, мой славный город Nck это Москва, полагаю, найти можно всё).

Кстати, за счёт чего циски, о которых вы упомянули, в два раза дешевле чем D-link, которые предлагает exo?

И, ещё, прошу пояснить:

Цитата:

Данный DNS-сервер обслуживает свой домен, т. е. внешние запросы.

Это как? Не понимаю вообще. Я почему-то полагал, что DNS обслуживает внутренние запросы

Пока пойду осмысливать ваше о маршрутизаторах и свичах третьего уровня и прочие талмуды...

[exo]

Цитата Ingolder:

всмысле, в настройках самих коммутаторов? »

да. на каждый порт можно назначить свои VLAN.

Цитата Ingolder:

Вы имеете ввиду маршрутизатор с функцией межсетевого экрана, верно »

можно и так сказать.

Цитата Ingolder:

На яндексе, например, ваша модель значится как маршрутизатор »

ну не яндекс делает маршрутизаторы. Все DFL - это маршрутизаторы с межсетевым экраном. Проще их называть просто - межсетевой экран.

Цитата Ingolder:

и, по поводу виндовых DHCP - я так и не понял, вы советуете мне раздавать айпишники виндовским dhcp »

виндовым. и как советует Microsoft - сервера должно быть два, один раздаёт 60% адресов, другой остальноые 40%.

Цитата Ingolder:

возможно домен »

я бы сказал - обязателен. 200 компов - серьёзная сеть. Active Directory упростит администрирование компьютерным парком.
И лучше делать сразу всё правильно, чем позже переделывать.

Цитата Ingolder:

Дома спроектировал сеть »

Цитата Ingolder:

шесть компьютеров. больше бюджет пока не позволяет. »

вам ещё понадобятся BACKUP сервера.

Цитата Ingolder:

Я почему-то полагал, что DNS обслуживает внутренние запросы »

а это уже как вы его настроете.

Цитата Ingolder:

У меня два этажа, на каждом до ста компьютеров »

можете создать один домен, а в нём два поддомена: каждый на этаж.

п.с. совет: кидайте кабель 6А категории, вдруг если деньги позволят потом будете на 10Gbase-T переходить..

[Ingolder]

exo, спасибо, вы многое прояснили
Вот только не пойму - в каком случае DNS должен обслуживать внешние запросы и как это сделать и для чего это наджо и вообще с чем едят?..

Кстати, вопрос про кабеля: чем отличается кабель категории 5е от 6й категории (ведь оба до гигабита передавать могут)?
Ответ "полосой частот" будет крайне непонятен...

так же интересно где и почём можно приобрести Cat6e(ненашёл вообще) и CAT6?

и ещё: вы говорите, что советуете виндовым DHCP - а можно поподробнее : потому что, управлять проще и удобнее виндовыми оснастками? или есть ещё что-то?
Как тогда настроить VLAN (или вообще сегментировать сеть) если не маршрутизатор будет выдавать IP адреса?

Сделать домен с двумя поддоменами на каждый этаж вы советуете потому, что так будет больше виндовских настроек безопасности\доступа\разрешений\запрещений\взаимодействия, нежели как-то по-другому, да?

[exo]

Цитата Ingolder:

в каком случае DNS должен обслуживать внешние запросы »

если у вас ДНС используется для хостинга. т.е. является авторизованным сервером для зон веб-сайтов.
вроде для SMTP сервера тоже.

Цитата Ingolder:

вопрос про кабеля »

UTP

Цитата Ingolder:

виндовым DHCP - а можно поподробнее : потому что, управлять проще и удобнее виндовыми оснастками? или есть ещё что-то? »

не уверен, что с помощью Dlink DHCP вы сможете настроить дополнительные парметры, такие как статические маршруты.
в простых маршрутизаторах есть вроде как только включение\выключение DHCP. А с помощью виндового куча настроек.
Не забывайте, что DHCP - это не только раздача IP настроек.

Цитата Ingolder:

Как тогда настроить VLAN (или вообще сегментировать сеть) если не маршрутизатор будет выдавать IP адреса? »

хм... интересный вопрос. но я думаю проблем не должно быть.

Цитата Ingolder:

Сделать домен с двумя поддоменами на каждый этаж вы советуете потому, что так будет больше виндовских настроек безопасности\доступа\разрешений\запрещений\взаимодействия, нежели как-то по-другому, да? »

нет конечно. для каждого домена поддомена будут одинаковые настройки.
Просто вам так будет удобнее управлять. К примеру, вы захотите изменить GPO для второго этажа. Откроете оснастку для его поддомена - и первый этаж не будет вам мозолить глаза и вы не сможете сделать ошибку если что... Есть такой курс у майкрасофт: планирование AD. советую почитать.

[kim-aa]

Цитата Ingolder:

Кстати, за счёт чего циски, о которых вы упомянули, в два раза дешевле чем D-link, которые предлагает exo? »

Скорости разные. 8 портов 100 Мбит, всегда дешевле 44-х на 1000.
==================================================
На 200 хостов, лично бы я проектировал сеть на http://www.alliedtelesyn.ru/
Или бы на 3COM.