администрирование сети с разными масками подсетей.
 

Привет, обращаюсь за полезными советами, линками и практическим опытом.
Имеется сеть из сотни компов и несколько серверами, в том числе AD/DNS, Proxy, FileServer, Buh, Staff. Сейчас мне предлагается выделить всех в отдельные подсети, т.е. бухов-клиентов в одну подсеть, кадровиков в другую, остальных клиентов в третью подсеть и сервера в четвертую подсеть. И меня сразу как в ступор. Мне кажется это неправильно.
Подскажите пожалуйста свои некоторые варианты и решения администрирования этого всего. Например, как организовать доступ к шарам компов с разными масками подсетей?

Спасибо...

Если у Вас компьютеры будут в домене, то обозревателем будет контроллер домена и он будет предоставлять список компьютеров, расположенных во всех подсетях; разные маски - не проблема, главное - чтобы подсети не пересекались!
---
Главное, чтобы маршрутизатор был нормальный и Relay-agent у него был (чтобы установить только 1 или 2 DHCP). Если все сети будут замыкаться на одном маршрутизаторе, или топология сетей меняться будет нечасто, то подойдет router со статической маршрутизацией (коммутатор уровня L2+).
Если попутно нужно и выход в Инет рулить, то нужно брать такой, который DMZ поддерживает.

Правильно или нет определяется целями разделения, которые зависят (в первую очередь) от требований безопасности, которые требуют фильтрацию трафика и прочие прелести.

---
Чтобы Вам помочь, необходимо знать требования безопасности, производительности сети... и предполагаемую Вами схему.

какая свзяь между мастер-браузером (или просто баузером сети) и доступом к шарам? =)
в вопросе не указано DHCP.
проблем нет, рисуйте схему, как вам уже сказали.
это может быть не правильным только исходя из количества хостов.
смысл сегментировать сеть на 100 ПК - для меня не понятен.

Спасибо за ответы всем!
Можно я опишу структуру сети, просто не хочу позориться своим рисованием. Так схему прочитаю, когда увижу где-нить=), а нарисовать...
Сейчас все компы и сервера находятся в одной подсети (192.168.0.х/24) и завязаны на циски.
PS Циска не админится, я не мастер. Используется как свитч. Видимо когда-то была куплена, хз зачем.
В сети поднят ad, dns. Права пользователей к шарам разграничены. Из безопасности используется AdminKit от касперского и для выхода в инет прокся UG, сертифицированая фстэк. Сейчас вот предлагается разделить сеть на подсети по отделам.

цель?

навязывает головной офис. видимо потом все филиалы завяжут на циске, а структура сети каждого филиала будет у них на руках, что мол в этой подсети вот такой отдел такого филиала и далее...

тогда мне кажется что VLAN будет для вас идеальным решением.
это не единственный продукт под винду имеющий такую сертификацию.

Оно тоже может и идеальное решение, но я в циски не знаю как работать. С другой стороны с удовольствием бы разобрался=)
не единственный, но этот купили, поэтому на серверах будет стоять винда.
Админы головного офиса навязывают.
у нас в каждом отделе от 10 человек.

без базовых знаний по безклассовой адресации/маршрутизации применительно к имеющемуся железу начинать не имеет смысла (номер курса Microsoft 70-293), пусть контора платит за обучение ежели надо... ;)

Альтернативный вариант конечно это тупая сегментация по маскам подсети, да?, что не есть грамотно и хорошо.

боюсь никто меня никуда не отправит...

этот курс есть в продаже для самостоятельного изучения, по циске тоже можно найти инфу... конечная структура зависит в т.ч. от оппаратных возможностей циски и серверных сетевых карт, если циска 2-го уровня, то потребуется маршрутизация средствами Windows... а если при этом сетевой адаптер не поддерживает VLAN'ы - потребуется по одной сетевой карте на подсеть (!)... кроме того, КД и маршрутизатор совмещать нежелательно... ну а если циска 3-го уровня, то для остальной сети всё пройдет почти незаметно (кроме настройки DHCP-сервера/смены статических IP)

циски catalyst 2960 и 3560g

похоже головной оправдывает затраты на циски =)

да, видимо когда-то они вложились хорошо в это, видимо были люди, а потом эти люди оставили их, им ничего не оставалось, как использовать эти циски как свитчи до лучших времен)

Сложно представить себе сеть на 100 ПК без DHCP. Возможно один из Cisco-коммутаторов имеет встроенный DHCP-сервер.

Подозреваю, что разделение на подсети планируется для целей защиты ИСПДн.

тогда у Вас должен быть корпоративный план распределения адресного пространства и схему адресации Вам спустят сверху.

Наверняка имеет, просто я здесь ip адресацией не занимался, я только домен поднял, линукса в домен и прочее по мелочам: шары, разграничения...
под планом я понимаю бумажка, которую я уже видел с пулами адресов для серверов, клиентов, бухов и кадровиков.

Типичное требование (размыто граничащее с паранойей), скажем, бухгалтерии. Хотят быть отдельно от всех, и чтоб никто к их компам доступа не имел. В принципе, в этом есть определенный смысл, хотя бы для того, чтоб прикрыть задницу админу, если вдруг происходит утечка конфиденциальной инфы от кого-то из сотрудников. Да и вообще лично мое мнение, что юзерам нужно давать прав ровно столько, сколько им необходимо для выполнения своих прямых обязанностей.
unlaw, я решил подобные проблемы следующим образом: разбил сеть на VLAN, как Вам уже советовал cameron. Так как сам в цисках тоже не силен, продумал топологию, нарисовал схему, в которой вынес, естественно, сервера в отдельную подсеть, видимую для всех, поднял DHCP (что я считаю просто необходимым в сети, где есть DC) а потом пригласил ребят со сторонней организации, заплатили им денег, они в два счета реализовали все мои "хотелки", сохранили мне конфиги с цисок на тот случай, если вдруг я решу вносить коррективы в существующие конфигурации :teeth: , показали как заливать эти конфиги и, собственно, все. А проблема с шарами решается еще проще: на одном из серверов создается шара (если есть возможность поднять DFS - то лучше сделать это), ярлык на которую разливается на рабочие столы всех пользователей. В этой шаре создаются папки с названиями всех имеющихся структурных единиц и на них дается доступ "для всех". В папке каждого структурного подразделения создается три папки - скажем, Сейф, Приемная, Стенд. На папку Сейф делегируются права полного доступа для пользователей данного подразделения; на папку Стенд дается данному подразделению полный доступ, а всем остальным на чтение/запись; на папку Приемная данному подразделению дается полный доступ, а всем остальным НА ЗАПИСЬ. Таким образом, в каждом подразделении имеется папка для внутреннего документообмена, недоступного никому более, папку для приема корреспонденции, в которую помещаются данные, которые другие подразделения передают непосредственно данному подразделению и папку, в которую каждое подразделение может выложить свои документы в общий доступ. А вы не имеете гемороя с переносом шар и документов из них, когда загибается какой-либо юзерский комп, на котором находилась та самая шара.

СаркозаН,
Спасибо большое за ответ. Сейчас вот продумываю как раз что и как сделать на основе советов гуру. Также попросился на обучение, но думаю товарищам головникам проще будет вызвать спецов, как в Вашем случае=).