Помогите спроектировать сеть.
 

Здравствуйте.
Помогите пожалуйста разобраться в некоторых вопросах относительно проектирования сети (ранее дела с этим не имел, занимаюсь в первые по долгу службы..).
Я проектирую сеть от 100 до 200 компьютеров (в уме, оборудования пока что никакого).
Предполагается пока что сделать так - основной маршрутизатор, несколько свичей.
Буду рад услышать ваши предложения по поводу наиболее правильного способа.
Задача проста - пара этажей, интернет надо на все компы.

У меня есть куча вопросов, но найти конкретный ответ на них в интернете затруднительно.
Просьба воздержаться ответов типа "попроси другого", "закажи в фирме" итд.
Мне нужно разобраться и сделать самому :)

1. Как производится сегментация сети? Фактически - как сделать, чтобы на первом этаже были компьютеры 192.168.0.х ; на втором - 192.168.1.х ?
читал Здесь об этом; В этой статье на вопрос "как" даётся такой ответ: 1. С пом. серваков с двумя сетевухами; 2. с пом. брандмауэров и маршрутизаторов как точек стыковки подсетей; 3.технологии виртуальных локальных сетей.
Меня же интересует конкретный ответ, желательно знать про все способы. Как именно-то сделать?
--
или вот как на интуите - "Другой способ сегментации сети состоит в использовании коммутатора." А как, чего, куда , какие где настройки, чёрта с два..

2.В чём отличие использования в сети dhcp как функции маршрутизатора и как функции серверной винды? (в каких случаях лучше поднять dhcp На серваке, в каких - предоставить это маршрутизатору?)

3. Если я поднимаю в сети домен с AD, есть ли разница, как раздавать ip адреса компьютерам - с виндовского dhcp или маршрутизатором? Если есть, то - в чём?

4. Если DNS-сервер разрешает имена компов в айпишники внутри нашей сети, то что он делает в DMZ на этой картинке?!
(найдено в википедии по слову )DMZ
То есть, зачем к нему - доступ извне?

5. Как по-вашему в данном случае лучше сделать:
В центре сети поставить маршрутизатор, к нему присоединить свичи, к ним - компьютеры?
или - в центр лучше поставить управляемый свич третьего уровня? В чём отличие будет? Или по-другому сделать?

Очень прошу, отвечайте конкретно.
Буду рад ссылкам и мануалам и всему что пригодиться.
Заранее спасибо всем :)

1)
Ingolder,
Для того чтобы получить "кАнкретный ответ", нужно задать соответствующий вопрос, да?

Как вы себе представляете приведение Вам "настроек", если не известен ни производитель оборудования, ни требуемая производительность, ни топология , ни дальности, ни бюджет, ни "угол заструга рук" (архиважная величина ,вообще-то) исполнителя, - "сапсем" ничего не известно, "начальника"?


Ознакомтесь (внимательно) http://forum.oszone.net/announcement-31-75.html
и приведите требуемую информацию

2) Сегментацию сети производят всегда устройствами не ниже третьего уровня, т. е. маршрутизаторами (коммутаторами третьего уровня). Оптимально будети если устройство обладает и фаерволом, что собственно уже стандарт де-факто.

Нууу тут статьей не обойдешься.
Наверное придется начинать с талмуда типа
http://www.infanata.org/2006/08/08/p...kovodstvo.html

Мне мои вопросы кажутся весьма "канкретными", если вам что-то кажется непонятным, я поясню, спрашивайте.
1)Отвечаю на ваше уточнение - в здании между всеми коммутирующими\маршрутизирующими устройствами и компьютерами пользователей будет весьма небольшое расстояние, в районе 50-ти метров, может чуть более.
Провайдера, обеспечивающего интернет пока не знаю, в ближайшее время сообщу.
Сеть внутри, наверное, будем делать гигабитную; топология - звезда, (предполагается).
По поводу производителя оборудонания - хочу спросить вашего совета.
Есть предположение, что для такой смолбизнес сети - циско будет слишком дорого для простой сети; предполагаются всякие 3com d-link итд (хочу услышать и ваши мнения и пожелания).
На данный момент в сети планируется сделать только пару файловых серверов(вероятно и не стоит делать гигабитную, это делается с учётом развития сети, на будущее), и наверное, домен.
Вопрос заключается в том, что в данном случае выбрать в качестве основного узла сети - маршрутизатор или свич третьего уровня. Прочитал Эту статью, но, различие, простите, представляю себе плохо; на некоторых форумах говорят - что в некоторых случаях лучше ставить то, в некоторых случаях - это. Пока что ответ не ясен - под какие задачи и что нужно.

и , встаёт вопрос о dhcp - программно или аппаратно, и взаимодействие с доменом..

2)Опять-таки стоит вопрос - в каком случае какое устройство применить, и какое устройство будет в центре всего.
И - как именно настраивается VLAN?
вы говорите, чтобы я сначала вам сказал о своём предполагаемом оборудовании, но, к сожалению, я пока его не предполагаю; я пытаюсь выяснить как происходит в данном вопросе сегментирование, и в зависимости от того, какой из вариантов подходит , определиться с оборудованием.



За литературу спасибо, постараюсь ознакомиться.

p.s. по поводу сегментирования: а как же Концентратор (хаб) , который какраз и объединяет узлы в сегмент, и работает-то он на физическом (первом) уровне?

Ingolder, этажей сколько?

Топология:
1) к провайдеру подключается маршрутизатор, к маршрутизатору подключаются несколько коммутаторов. Всё это в одном "ящике", в одном кабинете - в серверной. Далее разводка по разеткам в кабинете.
2) к провайдеру подключается маршрутизатор, к маршрутизатору подключаются несколько коммутаторов. Каждый коммутатор (-ры) устанавливается (-ются) на своём этаже. Далее разводка по разеткам в кабинете.

Оборудование:
Раз Циску не можете себе позволить смотрим в сторону Dlink:
межсетевые экраны: гигабитные DFL-1600 и DFL-2500. Оба с поддержкой VLAN, VPN-tunnel.
Остальные функции типа NAT - по умолчанию есть.
коммутатор DGS-1248T/GE - 44 порта 1000 BASE-T c поддержкой VLAN.
Можете дешевле взять 100 BASE-T, с двумя 1000 BASE-T портами - для подключения между коммутаторами.

IP Сети:
Для разбиения на сети, можете использовать VLAN. На мой взгляд самый оптимальный выбор.
Пример настройки VLAN по cisco:
На главном маршрутизаторе создаёте VLAN 10 с соответсвующей ему сетью: 192.168.0.0/24. не профессиональная терминалогия, но очень понятная.
На главном маршрутизаторе создаёте VLAN 20 с соответсвующей ему сетью: 192.168.1.0/24.
Далее, на портах коммутаторов назначаете VLAN 10 и компьютер, подключённый к этому порту получит адрес из сети 192.168.0.0/24 от DHCP сервера, который раздаёт данную сеть и собственно сам будет также подключён к порту с VLAN 10.
На первом этаже у вас будет VLAN 10, а на втором VLAN 20.
Не забываем, что главный маршрутизатор теперь должен NATировать две сети.

Синтаксис команд по созданию VLAN и их назначения на порты - посмотрите в документации к оборудованию. Или сходите на курсы.

Делее, т.к. у вас будет виндовая сеть - то DHCP сервера будут только виндовые - будет проще управлять сетью через Виндовые оснастки.

п.с.: Забудьте о хабах.

А на картинке администраторы решили защитить свои сервера через DMZ. Ещё не факт что DNS резолвит внутренние имена, а возможно работает для SMTP и WWW серверов.

ушёл спать...

Разницу между коммутатором 3-го уровня и маршрутизатором, я описывал здесь http://forum.oszone.net/thread-124990.html
Да кстати, о современных маршрутизаторах http://wiki.oszone.net/index.php/Маршрутизатор



Попробую описать разницу между маршрутизатором Cisco 1811 и самой дешевой моделью Cisco 3560-8, которые стоят приблизительно одинаково.
------------------------Cisco 1811-----------Cisco 1811-----------------
Порты : ________10x100__________8x100+1x1000
SFP:____________NO______________1
Скорость
коммутации: ____30 (2)___________на скорости среды (~2000)
NAT:___________Yes_____________?
Firewall_________Yes_____________Yes
VPN____________Yes_____________No
Протоколы
маршрутизации__(RIP, OSPF,EIGRP, BGP)__со стандартной прошивкой - RIP + IGRP

==============
Если вы внимательно прочли "Требования к содержимому", то должны помнить следующие вопросы:
"5) При просьбе о конфигурации или проектном решении извольте указать Ваш бюджет, т.к. решения за 100$ и за 10 000$, мягко говоря, сильно отличаются.

6) Неплохо бы упомянуть Вашу квалификацию (если есть курсы, сертификаты - упомяните, не пожалеете), т.к. совет то дать можно, но не факт что Вы его поймете.
Опять же, новичкам прощается многое.

7) Если есть предпочтения в производителе (что Ваши, что Вашего поставщика), не стесняйтесь, - высказываете. А то насоветуем мы Вам, скажем оборудование Juniper, а не возят его в Ваш славный город N-ск."
После ответа на которые, можно рекомендовать вендора и модели

1) Не правильный ответ. Данный DNS-сервер обслуживает свой домен, т. е. внешние запросы.
2) Вобще, в Инете закрепилась логическая связка тождественности DMZ<->внешним сервисам, что не правильно.
DMZ - это просто отдельный сегмент третьего уровня куда выносятся сервисы которые нужно либо "охранять", либо от которых нужно "охранять" :)
Разделение на сегменты третьего уровня связаны с тем простым фактом, что фильтровать трафик либо скрывать сеть (NAT), возможно только на интерфейсах третьего уровня.

exo, спасибо за весьма развёрнутый и максимально понятный ответ!
только, у меня есть пара уточняющих вопросов:
Вы говорите о маршрутизаторах, и потом сразу же о межсетевых экранах. На яндексе, например, ваша модель значится как маршрутизатор.

Вы имеете ввиду маршрутизатор с функцией межсетевого экрана, верно?
Далее, по поводу VLAN:
всмысле, в настройках самих коммутаторов?

и, по поводу виндовых DHCP - я так и не понял, вы советуете мне раздавать айпишники виндовским dhcp или маршрутизатором?
остальное всё понятно, спасибо за разжёвывание.
Отвечаю на ваш вопрос:
У меня два этажа, на каждом до ста компьютеров.

kim-aa, большое спасибо за информацию, пока осваиваю...

Отвечаю вам:
5) Ход моих действий таков: Проектирование сети на основе требований (описал выше - пока что пара файловых серваков, возможно домен, и дальнейшее развитие в виде www smpt и прочих серваков; разбиение на сегменты; внутри сети желательно максимизировать скорость передачи данных с учётом развития сети) затем -> Определение оборудования для данных задач, затем -> составление сметы на основе стоимости оборудования.

6)Квалификация отсутствует напрочь; Дома спроектировал сеть из маршрутизатора Asus WL500g premium и свича тренднет TE100-S55E Plus; шесть компьютеров. больше бюджет пока не позволяет. :) сижу разбираюсь с доменами и AD.

7) Личных пристрастий не имею, хотя по обыту мелкой работы, по мне, например, мелкие модемы и маршрутизаторы trendnet нравятся больше d-linka, как-то стабильнее, настройки не слетают и меньше общего гемора. В остальном - см. пункт 5 - оборудование выбирается в соответствии с задачами.
(Да, мой славный город Nck это Москва, полагаю, найти можно всё).

Кстати, за счёт чего циски, о которых вы упомянули, в два раза дешевле чем D-link, которые предлагает exo?

И, ещё, прошу пояснить:
Это как? Не понимаю вообще. Я почему-то полагал, что DNS обслуживает внутренние запросы

Пока пойду осмысливать ваше о маршрутизаторах и свичах третьего уровня и прочие талмуды...

да. на каждый порт можно назначить свои VLAN.
можно и так сказать.
ну не яндекс делает маршрутизаторы. Все DFL - это маршрутизаторы с межсетевым экраном. Проще их называть просто - межсетевой экран.
виндовым. и как советует Microsoft - сервера должно быть два, один раздаёт 60% адресов, другой остальноые 40%.
я бы сказал - обязателен. 200 компов - серьёзная сеть. Active Directory упростит администрирование компьютерным парком.
И лучше делать сразу всё правильно, чем позже переделывать.
:o вам ещё понадобятся BACKUP сервера.
а это уже как вы его настроете.
можете создать один домен, а в нём два поддомена: каждый на этаж.

п.с. совет: кидайте кабель 6А категории, вдруг если деньги позволят потом будете на 10Gbase-T переходить..

exo, спасибо, вы многое прояснили :)
Вот только не пойму - в каком случае DNS должен обслуживать внешние запросы и как это сделать и для чего это наджо и вообще с чем едят?..

Кстати, вопрос про кабеля: чем отличается кабель категории 5е от 6й категории (ведь оба до гигабита передавать могут)?
Ответ "полосой частот" будет крайне непонятен...

так же интересно где и почём можно приобрести Cat6e(ненашёл вообще) и CAT6?

и ещё: вы говорите, что советуете виндовым DHCP - а можно поподробнее : потому что, управлять проще и удобнее виндовыми оснастками? или есть ещё что-то?
Как тогда настроить VLAN (или вообще сегментировать сеть) если не маршрутизатор будет выдавать IP адреса?

Сделать домен с двумя поддоменами на каждый этаж вы советуете потому, что так будет больше виндовских настроек безопасности\доступа\разрешений\запрещений\взаимодействия, нежели как-то по-другому, да?

если у вас ДНС используется для хостинга. т.е. является авторизованным сервером для зон веб-сайтов.
вроде для SMTP сервера тоже.
UTP
не уверен, что с помощью Dlink DHCP вы сможете настроить дополнительные парметры, такие как статические маршруты.
в простых маршрутизаторах есть вроде как только включение\выключение DHCP. А с помощью виндового куча настроек.
Не забывайте, что DHCP - это не только раздача IP настроек.
хм... интересный вопрос. но я думаю проблем не должно быть.
нет конечно. для каждого домена поддомена будут одинаковые настройки.
Просто вам так будет удобнее управлять. К примеру, вы захотите изменить GPO для второго этажа. Откроете оснастку для его поддомена - и первый этаж не будет вам мозолить глаза и вы не сможете сделать ошибку если что... Есть такой курс у майкрасофт: планирование AD. советую почитать.

Скорости разные. 8 портов 100 Мбит, всегда дешевле 44-х на 1000.
==================================================
На 200 хостов, лично бы я проектировал сеть на http://www.alliedtelesyn.ru/
Или бы на 3COM.

Спасибо, товарищи.

пока что пойду далее осиливать литературу,

вопрос ещё такой:
ЕСЛИ в моём двухэтажном здании в комнатах будет до 15 компьютеров; на каждом этаже по 4 комнаты.
Хорошим ли будет вариантом посадить компьютеры каждой комнаты на отдельный 16портовый свич (скажем, D-link DGS-3200-16 ), и посадить всё это , скажем на уже говорившийся ранее DFL-2500(8-портовый). ?

Полагаю, что вариант плох тем, что некуда посадить серваки. как в таком случае быть?
объединить пару комнат(или даже все) - посадить на 32 (или более..) портовый свич, и в осовбодившийся порт на роутере уже посадить свич для серверов?
Понятно, но уже как-то не красиво - комнаты объединять..

Есть ли возможность сделать так: подсоединить свич к одному из свичей? изменить это что- либо принципиально в топологии, или так вообще не делается? и, как лучше сделать в данном случае?


вопросы о создании Vlan при использовании виндового dhcp, а так же о других способах сегментирования сети всё ещё открыты..

p.s. да, и про UTP - на википедии нет ответа на мой вопрос. Там написано только то, что у них разные полосы частот (непонятно, что это означает).

можете всзять DFL-2500, к нему подключить свитч, а уже к нему другие свитчи. Где их расположить - на этаже, или в каждой комнате - думаю, лучше в каждой комнате.
Что это даст - вы от серверной будете вести всего 10-20 пар к свитчам, к кабинетам. А уже от свитчей - к компам.
Если же вести проводку из серверной - то нужно продложить 200 пар от свитчей, через весь этаж, через кабинет к компу.

Не понял логики.
Если я к маршрутизатору подключаю один свич, а к нему все остальные, то зачем мне брать дорогой маршрутизатор когда можно взять типа DFL-1600 или ещё дешевле;
Так же не понятен такой момент: ведь скорость передачи всех компов и свичей, подключённых к первому свичу, будет ограничиваться пропускной способностью этого главного свича, а так же пропускной способностью одного провода, соединяющего его с маршрутизатором; при непосредственном подключении всех свичей к маршрутизатору общая производительность сети будет гораздо выше, я прав?

тогда маршрутизацией будет заниматься не маршрутизатор, а коммутаторы.
ну сделайте там 1 Gbit/sec. и маршрутизатор будте работать только для доступа в интернет и защиты от него... я думаю, врядли вам понадобится доступ в интерент больше 1 Gbit/sec.
будет выше, если узлов в сети будет меньше...

exo, простите, но , то ли вы меня не поняли, то ли я вас совершенно не понимаю.
Мой вопрос в предыдущем посте состоял в том, что если я подключаю так:
Маршрутизатор(1 гбит) --> свич1 (1 гбит) --> остальные свичи(тоже по 1 гбит)-->компьютеры
то скорость 1 гигабит будет идти от свича1 и делиться между последующими свичами, и , соответственно, между всеми группами компьютеров, (значит, между всеми компьютерами);
если же подсоединить каждый свич к маршрутизатору непосредственно, каждый в отдельный порт, то скорость как я понимаю, 1 гбит, будет у каждого свича, и соответственно, по гигабиту будет приходиться на каждую группу компьютеров, подключённых к свичам;
верно ли это? (имею ввиду пропускную способность сети а не скорость интернета)
Не понимаю, что вы имели ввиду насчёт того, что маршрутизацией будут заниматься коммутаторы.

ну если вы загрузите свою сеть до 1 гигабита - то будет, а вы сначала попробуйте загрузить...
нет. не верно. канал будет 1 гигабит, а скорость - повторюсь, нужно постараться загрузить на 1 гигабит.
у меня в 100 мегабитной сети, скорость передачи - 10 мегабит, да и то если тянуть фильмы по 4 GB.
ну у них же будет своя таблица маршрутизации... на то они и L3.
или вы думали пакет между двумя соседними компами, пойдёт через маршрутизатор? а зачем так сеть напрягать?!

А разве, если у меня на компах стоят гигабитные сетевые карты, все маршрутизаторы-роутери-провода имеют пропускную способность в гигабит, то взаимодействие двух узлов (например скачка фильма) не будет максимально быстрым? или в такой сети передача файлов будет 10 или 100 мегабит по вашему? :shocked:
у меня в стомегабитной сети у провайдера скорость передачи сто мегабит (то есть 100/8 = 12,5 мегабайт в сек, проверено той же передачей файлов по самбе фтп и p2p), может, у вас настройки где-то не верный или сетевая карта 10 мегабит или что?... :shocked:


ах, ну если так, то да, но я то говорил об D-link DGS-3200-16, а это L2
к чему мне, кстати, в моей сети свичи L3 ?..

Из того что велосипедист разгоняется по велосипедной дорожке 50 км/ч, вовсе не значит что на немецком автобане он автоматически разгонится до 300 км/ч.

Гигабит это 125 Мегабайт в секунду. Вы много дисков знаете которые могут читать с такой постоянной скоростью?
А писать?

Если бы центральный процессор мог обрабатывать данные сос коростью Гигабит в секунду, то через час работы он "наклепал" бы аж
3600*125=540G данных

ну я лично не смог загрузить 1 гигабит сеть на 100%...
чтобы файлы между соседними компьютерами шли через этот свитч, а не через всю сеть.
+ на L3 вы можете кучу настрек сделать, даже вроде и шейпер.

Цитата:

Цитата kim-aa Если бы центральный процессор мог обрабатывать данные сос коростью Гигабит в секунду, то через час работы он "наклепал" бы аж 3600*125=540G данных »

не сомсем понял как связанна гигабит/сек и процессор, у которого скорость измеряется в частоте... и разве процессор так сильно загружается при передачи по сети?

Не знаю о скорости жёстких дисков, но на моей домашней сети в гигабитной линии скачивание файлов идёт со скоростью ~70 мегабайт в секунду; не знаю, предел это или нет для моих хардов (или каких-то сетевых настроек), но, олучается, что если несколько человек начнут что-то передавать, то скорость будет падать..

и ещё вопросы:

по поводу DNS и AD: первичный и вторичный dns-серверы лучше реализовать на отдельных компьютерах? всмысле, первичный и вторичный dns отдельно от (скажем, двух) контроллеров домена?

наоборот. Лучше AD и DNS держать на одной машине.

весьма содержательный ответ. :)
почему лучше?
упадёт - сразу и то и другое. а так - упадёт либо то либо то.

Потому что для AD, DNS является важнейшим компонентном.
Начиная с Win2000 за идентификацию хостов отвечает DNS, а не WINS, за сим в случае падения DNS, AD - не работоспособно.
Так же нужно помнить, что версия DNS от MS - "углублена и расширена" по сравнению со стандартами
(см. BIND Крикет, Альбиц)

===
Разделять DNS и DC (Domain Controller) рекомендуется в случае организации именно классического DNS-сервера, для обслуживания внешних служб.