Помогите решить вопрос маршрутизации и выхода в Интернет
 

Помогите пожалусто начинающему:

- Требуется маршрутеризатор, желательно гигабитный, для маршрутизации 3-ёх, в дальнейшем возможно больше сетей Vlan, и выходом в Интернет.

Не знаю если это важно, но на всякий случай опишу топологию сети:
имеется 2 помещения в каждом из которых автономный выход в интернет (просто необходимо так, отказаться от этого нельзя) поэтому 2 Vlan:
1-ый vlan будет выходить в интернет через выше обозначенный раутер
2-ой через простой раутер предоставленный провайдером. В каждой сети 7-15 компьютеров.
3-ий vlan это телефонная сеть подключённая к ATC на Asterisk-е. Связь с ней нужна для адменистрирования АТС и резервного копирования телефонных разговоров на storage котрый находится в 1-ой сети.

Возможно что серверная часть, из-за виртуалок и сервисов доступных из интернет в дальнейшем будет выделена в отдельный сегмент, 4-ый vlan.

- Соответственно, нужно чтобы была возможность пробрасывать порты в разные vlan из Интернет и между vlan-ами.

- Желательно чтобы на раутере был VPN сервер.

- VPN клиент для подключения к Интернет, pppoe, l2tp, pptp. Из-за того что офис постоянно переходит от провайдера к провайдеру. Не знаю стоит ли чтобы маршрутеризатор был направленный, т.е. например ADSL с портом RJ-11 для телефонной линии. Или лучше чтобы он имел WAN порт RJ-45, и тогда не важно какой будет линия, он всё равно сможет подключаться.

- Нужно так же нормальная передача VoIP через раутер, как я понял некоторые раутеры вмешиваются в работу протокола VoIP, и потому бывают помехи на линии и прочая дребедень. (планируется, что некоторые пользователи будут иметь возможность подключать телефон из дома к этому АТС).


Вопрос наверное глупый, но хотелсь бы организовать это грамматно, а моего оппыта скажем так "мало", поэтому посоветуйте как лучше это всё организовать?

1. Стоит ли использовать route/bridge провайдера для установления интернет соединения, а router или firewall установить после него чтобы раутить внутреннюю сеть?

2. Использовать специализированный маршрутизатор который будет маршрутизировать внутренний трафик и выход в интернет. А для того чтобы обеспечеить в случае необходимости подключение к интернету разными провайдерами:
а) запостись 2 раутерами: один ADSL, а второй с pptp и l2tp клиентами?
б) взять раутер который будет иметь клиентов VPN для всех возможных соединений (если такой вообще водится)

3. Использовать сервер на основе FreeBSD или Windows 2008 (есть лицензия, но сейчас не используется вообще) в связке с ISA или чем-то подобным.


Прошу поделиться опытом, и по возможности объяснять почему стоит выбрать тот или инной путь

Добавлю что на данный момент я должен заказать ещё 2 коммутатора, потому нет никакой проблемы чтобы один из них был 3-его уровня

Пока что не смог определиться кому лучше доверить маршрутизацию vlan, коммутатору 3-го уровня или secure gateway?
Присмотрел для первого варианта:
switch layer 3:
Cisco SG500X-24
Cisco SGE2000

в связске с:
Cisco ASA 5505 / Security Plus
Juniper SSG 5

Для второго (и как мне кажется более грамматного):
Juniper SRX220
Cisco ASA 5512-X; Security Plus либо Cisco ASA 5520 (так и не смог найти в чём между ними разница)
Cisco SA540 Gateway 25 Bundle

Мне так же рекомендовали посмотреть ASA (если человек не имел ввиду модель Cisco) и Лантек, но их сайтов я не смог найти если кто подскажет, буду признателен

Что скажите, какой вариант стоит выбрать?
И какое оборудывание использовать?

Всем зарание спасибо!

посмотрите в сторону Juniper SSG5 series.

exo, Если я правильно понимаю, этот раутер должен раутить чисто внутренние соединения, для выхода в интернет, мне нужно будет использовать отдельное устройство?

exo, ещё раз простите и спасибо!

коммутирует коммутатор (он же свитч).
маршрутизирует маршрутизатор (он же роутер).

большинство руотеров имеют встроенные коммутаторы. В Juniper SSG 5 - каждый отдельный порт можно настроить для своих нужд.

не советую брать SSG, берите SRX, если уж Juniper.
screenos - скоро закончится, а вот Junos - нет.
далее - вланы лучше разрулить на свитчах, чем гнать весь траффик на роутеры и переводить на них порты в ethernet-switching.

насчёт клиентов PPTP/L2TP - не все роутеры могут быть этими клиентами, нужно читать документацию.
PPPoE клиентами - почти все.
наличие портов для DSL - тоже опционально, к примеру SRX 110.

согласен. читал там и плюшек больше. я просто не работал с SRX.

cameron, exo,
Если я правильно понимаю, то лучше использовать, router/bridge интернет провайдера, а после него поставить Juniper или Firewall, для раутинга внутреннего трафика? Тогда если провайдер и решит что-то изменить (например несколько месяцев назад наш провайдер решил что больше не работает с pptp, а только l2tp), то на врнутренней сети это никак не отразится.

Я так почитал про эти устройства, они все расчитанны на провайдеров, либо Enterprise. На сколько целесообразно ставить такие устройства в офис на 30-50 машин?

Smoke2k, это зависит от того, как предоставляет интернет провайдер. если он ставит своё оборудование - значит так тому и быть, если не ставит - значит только ваше. Но в любом случае в здании будет стоять оборудование провайдера. Или в соседнем здании. И даже если провайдер что-то меняет, он должен вначале оповестить вас. Если провайдер что-то менет это влияет только на доступ в интернет. Провайдер не имеет доступа в вашу сеть (если вы всё правильно сделаете) и не влияет на неё в любом случае.
а в чём изменять целесообразность? :)
конечно, в компании лучше не ставить домашний роутер.

exo, хорошо уточню:

У нас в стране, есть чёткое разделение, доступ в интернет и физическое подключение. Это 2 разных поля которые разделенны между разными провайдерами.
Провайдер физической линии:
ADSL предлогает за дополнительную плату установить свой router или bridge, потому как можно купить раутер в магазине, с выходом ADSL и подключить самостоятельно.
xDSL в любом случае устанавливает либо модем, которые является по большей части bridge между rj-45 и RF кабелем, у такого модема нет никаких настроек, и клиент настраивает vpn на компьютере либо покупает соответствующее оборудывание. Либо в последнее время они начали устанавливать модем-раутер, который контралируется по большей части провайдером, т.е. они временами обновляют прошивки и настройки, но в нём можно настроить l2tp или pptp клиент и настройки будут работать всегда.

Провайдер соединения с интернет исползуют выше описанную линию, по котрой протягивают свои vpn-ы.

В последний раз провайдер просто отключил vpn сервера на pptp без какого-либо уведомления, хотя теоретически должен был предупредить. Но во внутреннюю настройку сети провайдер никак не вмешивается.
Я имел ввиду, если у раутера нет всех возможных vpn клиентов, и в случае внезапного перехода, от провайдера или вернее от протокола к протоколу, нужно менять само устройство физически.

Я не имел ввиду установить домашний раутер, который к тому же вряд ли сможет обеспечить выше перечисленные вещи (маршрутеризацию между vlan-ами, vpn-server, проброс портов из интернет в различные vlan). Просто кажется что эти устройства через чур промышленные, или я смотрю на вещи в не верной пропорции, и 30-50 компьютеров это уже уровень требующий оборудывания уровня предприятия? (когда я говорю предприятие, подразумеваю сеть 500 и выше клиентов)
Я просто считал что такое количество клиентов, не требует оборудывания больше уровня SOHO, в крайнем случае medium, но ни как не думал в сторону enterprise или урованя провайдера.
Хотя и из-за того что в офисе все профили пользователей находятся на сервере (они постоянно мигрирует с места на место), то желательно чтобы сеть и маршрутеризатор были gigabit, на 100 Mb это всё довольно сильно подвисает...

Из серии SRX я присмотрелся к SRX220
http://www.juniper.net/us/en/product.../srx220/#specs
Хотелось бы услышать мнения.

Может посоветуете приглядется к ещё каким-то производителям и сериям. Я никогда здесь не слышал о такой компнии, и не уверен что у нас такие водятся :-(

Если я не ошибаюсь, то для этого требуется коммутаторы Layer 3, а у меня все layer 2, т.е. если так смотреть нужно ещё один коммутатор и маршрутеризатор, я правильно Вас понимаю?

у нас недавно так и вышло. вообще смешная ситуация. на работе у нас стали возникать проблемы, появились перебои с интернетом.
Один сотрудник, не админ, сказал начальнику что это проблемы с коаксиальным мостом (бридж), а тот сказал ему купить новый.
Сотрудник позвонил провайдеру, те выслали коаксиальный роутер. Мы его включили - но проблемы не решились.
Когда я получил доступ к этому новому роутеру оказалось, что он работает как НАТ ! А ведь после него у нас стоит SSG 5 ! т.е. два НАТа, чего я не хочу.
И как раз новый роутер обновляется провайдером. На сайте производителя написано как включить режим моста на этом роутере.
НО этого меню там НЕТ !!! А через пару часов от туда исчезло другое меню!!!
Вот сейчас борюсь с эти "решением" по замене оборудования.
И не спрашивайте, почему неадмин решил заменить оборудование. я сам не знаю...

Цитата:

Цитата exo не спрашивайте, почему неадмин решил заменить оборудование. я сам не знаю...

Как водится начальство вмешивается, куда надо и не надо

А что говорит провайдер? Они ведь должны как-то решать такие проблемы, не думаю что Вы единственный кто борится с этим?

Кто-нибудь объясните мне что это означает:
Concurrent VPN tunnels: 512
Tunnel interfaces: 64

Что можно создать 512 пользователей, но только 64 из них могут быть подключены одновременно?

Цитата:

Цитата Smoke2k А что говорит провайдер? »

а мы пока ждём. если во вторник не будет ответа: у меня уже в черновиках лежит "гневное" письмо готовое к отправке к начальникам.

попробуйте поискать описание на сайте производителя.

Так, стоп!!! Я тут немного не допонял... на вопрос о раутере Вы мне рекомендовали межесетевой экран.

Может мне кто-нибудь объяснить в чем собственно разница между устройством router и устройством firewall. Я знаю что есть что, как служба, но в чём отличае между устройствами и когда лучше использовать раутер, а когда firewall?

роутер - это маршрутизатор. его главная задача - маршрутизировать трафик с помощью таблиц маршрутизации.
фаервол - это защита. его главная задача - запрещать соединения из сети интернет.

в настоящее время почти все роутеры имею встроенные функции фаервола.
также фаеролы могут реализовывать маршрутизацию: IPFW, IPTABLES

т.е. аппаратный маршрутеризатор больше подходит, только для того чтобы маршрутеризировать между несколькими сетями без вмешательства в работу протоколов (блокировка портов, фильтрация контента и прочего). А протоколы NАТ/РАТ тоже реализуют маршрутеризаторы, или этот протокол реализуется обычно средствами firewall-а (я имею ввиду что это решает надстройка фаервола)?

А фаервол может спокойно справиться с задачами маршрутеризации помимо своего прямого назначения? Средствами правил фаервола? И что фаерволы так же поддерживают протоколы маршрутеризации OSPF, RIP и прочее, или это наследство от маршрутеризаторов.

Я просто пытаюсь понять, если каждый из этих устройств умеет решать задачи обоих, зачем нужен собрат? Допустем понятно что для меня в данном случае действительно подходит фаервол, его более чем должно хватить для решения моих задач. Остаётся вопрос в каких случаях нужен и стоит использовать непосредственно раутер?

Кстати если так смотреть, то может стоит взять switch layer 3 и простой firewall, тогда от последнего будет меньше требываний? Или такое решение будет дороже, а по гибкости настройки и возможностям будет значительно уступать первому?

НАТ\ПАТ - это только преобразование адресов.
может. Но не все.
ОСПФ, РИП, БГП - это протоколы маршрутизации. К фаерволу не имеет отношение. Почитайте о них, хотя бы в википедии.
за тем, чтобы не ставить две железки эти функции объединяют.
если вы провайдер и вам всё равно на содержание трафика. Но даже такие железки могут иметь правила блокировок трафика.
дороже и больше времени на настройку. так же ставить свитч перед роутером можно только в одном случае: когда у вас несколько реальных IP адресов, но не подсеть. Если подсеть - можно ставить роутер, т.к. подсеть будет выходить из ЛАН портов. и всё равно ваш роутер будет иметь функции фаервола.

[q=exo]

Цитата:

Цитата Smoke2k: т.е. аппаратный [b маршрутизатор[/b]

Спасибо!
я просто хотел понять чья это функция, в *nix-ах её реализует обычно фаервол или отдельный демон, в Microsoft это делает RRAS, вот и непонятно мне, а в аппаратном кто будет этим заниматься, ведь обычно проброс портов внутрь НАТ делает фаервол, хотя в Cisco, кажется это делается чем-то посторонним, не фаерволом... Хотя это и не существенно...

Да я знаю для чего эти протоколы, и видел что тот-же Juniper Security что-то там, их поддерживает, потому мне стало интересно, если допустим большая организация, имеет несколько небольших офисов, между которыми растянут какой-нибудь тунель с динамическим раутингом, скажем MGRE, они для этого могут воспользоваться Firewall устройствами, а не полноценными раутерами? (конечно при условии что firewall поддерживает необходимые протоколы)

Вот тут я малость не понял, мне ведь нужно маршрутизирвать в основном только внутренную сеть, а в интернет выходит только одна из них. Даже если выделить серверную часть в отдельный сегмент (в чём я пока не вижу смысла), они всё равно будут общаться между собой, а не с интернетом.

тогда это уже роутер :)
для маршрутизации внутренний сети вообще роутер не нужен, т.к. все таблицы маршрутизации будут у клиентов. Естественно, что для соединения клиентов нужен коммутатор - свитч.
а вот тут нужен будет роутер, который и служит для объединения сегментов. Смысл - почитайте про DMZ

О DMZ я и говорил когда говорил о выделенном сегменте... но пока что в этом смысла нет...

согласен, но кто-то ведь должен между ними объединять? В том-то весь и вопрос, кто? Коммутатор 3-его уровня или маршрутизатор (какие же длинные слова по русски %( )

мой друг по происхождению венгр, несколько лет назад перехал жить в Румынию, и когда недавно приезжал в гости жаловался что в румынском языке длинные слова. поэтому ему легче говорить по английски. Я тогда над ним посмеялся, потому что по русски они столь же длинны, но похоже так от этого отвык, что сейчас только понимаю на сколько он был прав, какие же длинные слова и особенно терминалогия...

в аппаратных роутерах\фаерволах в большинстве случае (в домашних уж точно) установлен Linux :)
достаточно и простого хаба - концентратора (новое слово для вас :) ). Так же достаточно и одного провода для объединения в сеть двух клиентов.

Ну это Вы уже совсем загнули батенька... Я же не говорю об объединении 2 компов в сеть... я спрашиваю о объединении между несколькими логическими сегментами...

я понимаю конечно что мои вопросы заставляют задуматься над тем на сколько я вообще понимаю во всём этом... но просто до сих пор я занимался в основном серверной часть и программами, а с сетями общялся по мере необходимости. Потому и было построенно такое решение на FreeBSD которое выполняло все возможные фоункции маршрутизатора/firewall-а и ещё кучу вещей вокруг, но сейчас хозяин офиса решил что компьютерное решение ему не нравится из-за низской отказоустойчивости, а в случае выключения, долго поднимается (хотя фря буквально взлетает за секунды). Но не я решал, сказали нужно аппаратное решение, за которое я голосовал до фря. Правдо тогда и задачь было немного меньше, не было вообще vlan-ов, да и блокировать сайты никто тогда ещё не просил... с аппаратными раутерами я имел дело только c Cisco 871, которым был очень не доволен, она почему-то постоянно зависала, и требывалась постоянная перезагрузска, к тому же у неё не было vpn клиента l2tp для подключения к провайдеру... потому я поставил там фря. А сейчас когда начал вникать глубже столько вопросов возникло, что у самого ощущение как будь-то вообще ничего не знаю об этой теме... НО лучше я сейчас спрошу чем потом окажется что я чего-то не понял и потратил 1000 зелени, а то и больше на устройство которое не делает того для чего предназначалось...
Зарание извеняюсь если мои вопросы увели тему в другу сторону, но из-за малого опыта и знаний в промышленном оборудывании, я все же хотел бы получить советы людей которые с этим работают. Как по части дизайна сети, так и по подбору комплектующих...

Так получилось, что вся сеть в офисе была построена до меня интернет провайдером, который сегодня требует это оборудывание обратно. Потому сейчас мы преобрели пока что 1 switch HP ProCurve 2510-24G, второй коммутатор пока что мой huawei, временный, поэтому мне в любом случае требуется докупать ещё 2 коммутатора, так что если целесообразно то можно один из них взять layer 3, вот потому я и прыгаю от вопроса к вопросу...
Как грамматнее поступить?

Кстати hub-ов по русски не напишу -repeater-ов уже лет 10 не видел, думаю что такое уже и не выпускают

между сегментами должны стоять маршрутизаторы, объединяющие эти сегменты.
репитер и концентратор - это разные вещи.

упомянул я его потому, что для создания локальной сети не нужен 3 уровень.

согласен, но как маршрутизировть между сетями? для обычного LAN хватит и HUB, (на счёт канцетратор я не знаю что это, но HUB всегда был повторителем (repeater) в LAN, по крайней мере здесь, как для продления сегмента, так и для простого объединения в сеть...)

Раутер понятно, но у нас же вопрос встал стоит ли взять security gateway (что-то типо firewall) по мощьнее или коммутатор 3-го уровня чтобы сохранить гигбит между vlan и такой же security gateway, только на порядок ниже у которого в локальную сеть смотрит только 100 Mb или же может стоит поставить пограничный сервак с фря или windows?

Цитата:

Цитата Smoke2k но HUB всегда был повторителем (repeater) »

ссылки я вам дал... если вы его использовали как репитер - пусть будет так

Цитата:

Цитата Smoke2k согласен, но как маршрутизировть между сетями? »

ответ я тоже давал...
коммутатор нужен для объединения клиентов в пределах одного сегмента. точка.

если вам нужна гигабитная локальная сеть - покупайте любой гигабитный коммутатор.

для выхода в интернет, защиты от него, предоставления доступа из вне (проброс портов, протоколов) - покупайте роутер. Функции фаервола в нём будут. Я не встречал ротуеры без фаерволов.

Вы посвоему правы, НО тот концентратор про который вы говорит умер вместе с BNC
... и потому repeater для витой пары, это всё тот же HUB. Возможно что есть какие-то специфические усилители сигналов для витой пары CAT 5, о которых я никогда не слышал, но в обеходе он остаётся хабом. кстати в курсе MCSE 2003, очень часто упомянается repeater в LAN сети, но понятное дело что в 100 Mb сети не может быть коаксеального кабеля и соответствующего повторителя, это HUB. Это не я придумал... возможно в русском языке оно действительно отличается, но в литературе на английском очень часто не различают между устройствами, хотя устройства действительно разные, тут я согласен!

вот тут-то вся и загвозка, каждый из них умеет передавать сеть as is не важно в разных vlan или в одном едином, и не важно с какой скоростью...

на данный момент единственный вопрос который я не могу понять и спрашиваю Вас: "Кому поручить маршрутизацию между vlan коммутатору или маршрутизатору, какой дизайн правильнее в данной ситуации?"

Об этом никто и не спорит.

недавно видел кто-то писал - коммутатору.
у меня ВЛАНы созданы на маршрутизаторе и просто прописаны на портах коммутаторов. К сожалению, я в ВЛАНах не сильно разбираюсь, по этому не смогу ответить, кто в моём случае занимается маршрутизацией ВЛАНов. Думаю, что в моём случае - маршрутизатор, но я не уверен.

Цитата:

Цитата Smoke2k Вы посвоему правы, НО тот концентратор про который вы говорит умер вместе с BNC »

Цитата:

Сетевой концентратор или хаб (жарг. от англ. hub — центр деятельности) — сетевое устройство, предназначенное для объединения нескольких устройств Ethernet в общий сегмент сети. Устройства подключаются при помощи витой пары, коаксиального кабеля или оптоволокна.

exo, Большой у нас с Вами офф топик получился...

Цитата:

Цитата exo Сетевой концентратор или хаб (жарг. от англ. hub — центр деятельности) — сетевое устройство, предназначенное для объединения нескольких устройств Ethernet в общий сегмент сети. Устройства подключаются при помощи витой пары, коаксиального кабеля или оптоволокна. »

Цитата:

Цитата Smoke2k кстати в курсе MCSE 2003, очень часто упомянается repeater в LAN сети, но понятное дело что в 100 Mb сети не может быть коаксеального кабеля и соответствующего повторителя, это HUB. Это не я придумал... возможно в русском языке оно действительно отличается, но в литературе на английском очень часто не различают между устройствами, хотя устройства действительно разные, тут я согласен! »

Ладно я не буду называть хаб - репетром, и мы оставим эту бесполезную тему... покрайней мере для нас с Вами она ничего нового не скажет.
И кстати USB разветвитель (не знаю как его ещё назвать по-русски) тоже HUB

Это конечно круто!

НО у меня в данный момент никто этим не занимается, и это плохо... сети разобщены уже 2 дня что мешает работе...

Простите, но мне нужно Ваше мнение. Хотелось бы конечно мнения ещё людей, но почему-то в эту тему никто не заходит, может она действительно глупо звучит и оформлена, но больше мне посоветоваться не с кем. Я новечёк в промышленности и никого не знаю... потому пришёл в форум. Вы уже мне разложили бардак информации по полочкам, остальсь понять как лучше оформить дизайн описанной выше сети?

Ещё раз повторюсь, я буду заказывать ещё 2 коммутатора, потому и стоит вопрос стоит ли один из них взять layer 3 чтобы firewall был по дешевле, потому что я смотрю что гигабитный фаервол имеет на столько больше возможностей которых этот офис никогда не использует, что хотелось бы знать а правильно ли будет в небольшой офис ставить столь мощьное устройство которое будет работать ну может на 10-15% от своих ресурсов, и при этом постоянно нагружено маршрутизацией (потому что это будет постоянно) и не лучше ли перепаручить это коммутатору? или лучше вообще взять отдельный маршрутизатор гигабит, который будет только маршрутить vlan-ы + отдельный фаервол для выхода в интернет?


Пока что присмотрел:
Juniper SRX220
Cisco ASA 5512-X; Security Plus либо Cisco ASA 5520 (так и не смог найти в чём между ними разница)
Cisco SA540 Gateway 25 Bundle

Либо switch layer 3:
Cisco SG500X-24
Cisco SGE2000

в связске с:
Cisco ASA 5505 / Security Plus
Juniper SSG 5

Мне так же рекомендовали посмотреть ASA (если человек не имел ввиду модель Cisco) и Лантек, но их сайтов я не смог найти :( если кто подскажет, буду признателен

Что скажите, какой вариант стоит выбрать?
И какое оборудывание использовать?

Я уже начинаю подумывать, а не взять ли всё вместе и проексперементировать на месте.... %)
т.е. взять Juniper SRX220 (если такие у нас вообще водятся) или Cisco SA540/ASA5512-X Security Plus и коммутатор Layer 3 :( На сколько это существенная разница по деньгам кто знает?

я так и не поняла зачем вам коммутаторы L3, с учётом того что Juniper Ex2200-24 стоит около 2k$
так же не ясно зачем SRX220, когда для ваших задач за глаза хватит SRX100H, который стоит около 600$, а 220 стоит изрядно дороже.

P.S. маршутизатор без файрвола - любой свитч L2 без ACL, static routing в них есть :)

cameron, может я чего-то не понимаю, тогда плиз просветите "незнайку". Вся сеть Гигабит, при маршрутизации между vlan, нужно сохранить этот гигабит. Как я понял из описания на сайте Juniper SRX100H имеет 100 MB порты, потому и встал вопрос, как лучше использовать гигабитный switch layer 3 чтобы сохранить гига при маршрутизации, тогда не важно какая скорость у с Juniper-а подойдёт и SRX110H и SSG5. Либо использовать firewall подороже, но с портами на giga ethernet.

Либо я тоже уже подумал, взять какой-то маршрутизатор без наворотов чисто для маршрутизации vlan... хотел узнать если так будет правильно для данной задачи чтобы схранить гига лан?
Пока что посмотрел только на
Cisco 1905 Serial Integrated Services Router
либо Cisco SRP541W - вот только не знаю как он справляется с внутренней маршрутизацией... у меня стоит WRVS4400N, и раутинг между vlan он выдерживает с огромным трудом... (правда это может быть из-за жары)

смотрю в сторону Cisco потому что не уверен если Juniper к нам привозят вообще... к сожалению из-за праздников я смогу это выяснить только в среду... :(
Знаю точно что у нас есть Cisco, Fortinet. может что-нибудь порекомендуете?

я тоже не понимаю, почему автор так настойчиво хочет взять Л3 свитч, чтобы удешевить роутер...
почему не просто взять любой роутер с нужными функциями для интернета (VPN, к примеру) и любой гигабитный свитч.
и между разными сетями? ведь IP - это Л3, как он будет между сетями то маршрутизировать?
между хостами в одной сети понятно через arp.

Цитата:

Цитата Smoke2k но почему-то в эту тему никто не заходит »

потому, что выходной день....

Вот этого я и хотел понять. Значит луше взять простой раутер?
Или всё же стоит поставить firewall на в ходе интернета? (т.е. и раутер и фаервол) или обойтись только раутером? правда требуется блокировка сайтов раутеры такое умеют?

Простите если звучит совсем глупо, но в сетевом оборудовании для больше чем домашней сети я пока обсалютный новечёк, такое ощущение что изучаю азбуку, хотя с протоколами маршрутизации, IPS, firewall и многими другим функциями сталкивался раньше, но никогда не вникал когда и что нужно... не было никакой нужды, работало и работало, я не лез, а теперь вот как в первый класс

Цитата:

Цитата exo Цитата Smoke2k: но почему-то в эту тему никто не заходит » потому, что выходной день.... »

ну я опубликовал тему кажется в четверг, или пятницу, а это вроде как не выходной в Европе и России...

И кстати вопрос не по теме, но всё же, на сколько целесообразно брать firewall или router с Wi-Fi?
или лучше поставить отдельно простейшую точку доступа за 20 долларов?

Так я только что узнал что у нас водятся Juniper, потому хотелось бы узнать, на какие серии стоит обратить внимание?

не разделяйте роутер и фаервол.

Стандартная сеть:
- подключение к интернету через роутер (подразумевается, что фаервол там есть). Можете использовать программно-аппартаный (Cisco, D-Link, Juniper и пр.) и чисто программный (IPFW, IPTABLES, ISA 2006, TMG и пр.)
- локальная сеть строится через коммутаторы (свитчи)
- блокировки сайтов лучше организовывать через прокси сервера (TMG, Squid и другие)
это лучше, т.к. её можно перенести в любой кабинет, что невозможно с роутером (при условии, что провайдер дал вам "шнурок" в определённом месте)

свитч.
почему вы упорно не хотите делать вланы на L2 свитчах?
зачем грузить програничный файервол интервлан роутингом?

прогнать тегированный траффик между коммутаторами не проблема.

Нет видимо я где-то не правильно написал, потому что речь не идёт о коммутации, речь идёт о маршрутизации между vlan. Для коммутации, просто упровляемые коммутаторы L2...


Хорошо, тогда что лучше раутер или фаервол?

Я не нашёл у Juniper ничего с гига лан и не дорогого, а раутеры у них кажется только на провайдеров расчитаны, или я не там смотрел, тогда попрошу дать ссылку, но нашёл нечто похожее от Fortinet.
FortiGate-60C - по цене меня вполне устраивает, но вот на счёт функций пока не до конца всё изучил.
или FortiGate-100D - цен в Интернете мне не удалось найти, но если он хорошо работает на втором уровне как коммутатор, то даже если он будет стоить в 1,5-2 раза дороже чем первый, я смогу отказаться от одного коммутатора, потому что они всё равно стоят рядом, а по деньгам выйдет, как я прикинул, всё равно что FortiGate-60C + коммутатор от HP.

Выше я написал пару моделей Cisco для двух вариантов, L3 switch и фаервол по слабее или SA540 (кажется) bundle gateway.

Хотелось бы знать на сколько они подойдут для моих задачь, и если кто с ними работал и на сколько стоит с ними связываться?

я имел ввиду физической расположение точки доступа. её можно установить в любое место где есть розетка.
А роутер - только туда, где есть "шнурок" от провайдера. Например, у меня в серверной, за бетонными стенами - и ставить мне там WiFi резона нет. А следовательно и роутер с WiFi тоже.
нет, не хорошо. Их нельзя сравнивать. Это разные вещи, совмещённые в одной железке.

странно вроде писал в предведущем посте, но запись испарилась
С точкой провайдера такой фокус не пройдёт... ИМХО exo прав, такой вариант мобильнее (хотя в моём случае не актуально, потому что помещение сликшком мало, из любой точки 100% покрытие)...
И я тут подумал если речь идёт о беспроводной сети, а не стоит ли добавить Wi-Fi в качестве резервной линии между помещениями (проводка проходит по улице) или нет смысла заострять на этом внимание и лучше провести лишний провод (скоро ремонт и вероятнее всего что проводку между помещениями я буду менять)?

Я имел ввиду какого рода желзку выбирать? Раутер с расширенными функциями или firewall с гигбитными портами

Вообще я надеялся отказаться от одного сервера... но похоже это не получится, либо вопрос довольно глупый:
можно ли поставить squid и почтовый сервер на АТС, не в плане возможно ли (всё возможно при наличии рук), а именно правильно ли? дабы не держать сервер чисто ради squid и exim (он у меня выступает сейчас в качестве пограничного почтовго сервера с антивирусом)

если маршрутизацией между ВЛАНами будет заниматься свитч- то в гигабитном роутере смысла нет.
да даже, если маршрутизацией между ВЛАНми будет заниматься роутер, то при отсутствии БОЛЬШОГО трафика гигабитный свитч тоже ни к чему.
можно воспользоваться виртуальными машинами на одном сервере и установить там.

А это мысль, а как вообще *nix работают внутри Hyper-V?

прекрасно.
единственное, когда делаются VSS копии, то ВМ сохраняются. А виндовые продолжают работать.

да с чего бы?
vlan и погнали.
получаешь его там где нужно.
нормально.

я не сторонник железок между провайдером и роутером.

А VMWare player, или не стоит связываться?

ну в общем-то да, если только мы не говорим о телефонной линии напрямую включенной в раутер или secure gateway.

Согласен, но не могу определиться, если бы кто-нибудь высказался на счёт железа из того что я перечислил... или что-то ещё, хотя бы так определиться кому маршрутиризировать vlan-ы... кстати а как коммутаторы Juniper?

а что вы делаете если вам нужно подать интернет во вторую серверную, которая в 400 метрах от первой?
ещё один договор с провайдером? :)это вы о *DSL? это да, тут никуда не денешься.
других резонов включать телефонную линию в роутер я не вижу.

стоп-стоп. вторая серверная это локальная сеть. я имею ввиду непосредственно последнюю милю.
и мы обсуждаем WiFi - доступ в кабинете сотрудников.

У Juniper коммутаторов L3 я не обнаружил, по крайней мере не для моих размеров. Скажите своё мнение, может Cisco Catalist хватит, и тогда я возьму SRX110 или SSG5 и не буду мучиться с поискоми привидения? что скажите? или лучше FortiGate который сделает всё это?

Трафик не слишком большой, но учётные записи содержат большое количество мелких файлов и порой достигают 2-ух гиг, так что может это глупость, но не хочется заставлять пользователей ждать по пол часа при входе в систему. А отказаться от Rouming Profiles не представляется возможным, потому что очень часто пользователи переезжают с компьютера на компьютер, так что к сожалению других вариантов пока что нет... :-(

вы смогли найти у них L2?!
самое простое это Ex2200-24T.

перенаправляемые папки? сетевые диски общих ресурсов?
мелкие файлы - это до 512 МБ... а может ещё меньше.

Ну смотри с коммутаторами L2 проще, у меня есть HP ProCurve 2510-24G Если ничего не напутал в модели

Такое тоже есть, большенство документов лежат в общих ресурсах, но сам профили не маленькие, и некоторые пользователи ни в какоу не хотят сохранять документы на общих ресурсаъ, а фолдер редайрекшен делает синхронизацию при каждом старте, что сильно забивает сеть....

файлы по 2-3 MB в основном офисные документы, однако у некоторых пользователей на рабочем столе лежат по несколько 1000 таких документов, помимо этого есть и проекты 3D моделирования, не маленькие...

ничего он не делает, если отключить оф-лайн папки... это как раз профили делают - загружаются каждый раз в входе и выходе.
это разговор для отдельной темы.

Вы имеете ввиду redirect home folder, и desktop? это тоже происходит, но почему-то на 100 при входе это занимается кучу времени...

Этого я как раз делать не хочу, потому что в случае не работы DHCP или сервера, офис не диеспособен, а я там не нахожусь постоянно... потому в случае выхода из строя какого либо оборудывания я там появляюсь в течении 2-ух дней... не может же всё это время офис не работать...

нет, хоум фолдер я предпочитаю вообще не касаться. я перенаправляю только три папки: рабочий стол, АппДата и Мои Документы.
Все проектные файлы пользователи копируют на сетевой диск. Если на копируют - получают п@@@@.
100 чего?
обе службы легко кластеризуются. естественно, нужно два сервера...
И если DHCP не работает - сложности будут только у тех, кто ещё не включал свой комп.

И как говорит мой начальник: а с какого оно не может не работать?

это не просто важно - с этого нужно начинать!

home folder это и есть мои документы... По крайней мере у меня так... это облегчает, потому что у них поток сотрудников приходящих и уходящих очень велик и постоянно нужно вынимать документу у того кто ушёл...

я имел ввиду сеть в 100 Mb
Кластер я делать не хотел, потому что здесь всего один SBS сервак с базами данных бугалтерии и прочего, и завести его в кластер довольно трудно... только если отдельные службы... за 2 года сам сервак не работал может пару дней, но вот если перестаёт работать DHCP, то почему-то Windows 7 очень быстро сбрасывает IP на APIPA, может это конечно из-за низского lease time, но я настраивал минимум на сутки и максимум на месяц, но почему то он сбрасывает очень быстро...

ну к тому что написано в первом посте могу добавить лишь что сейчас там работает 3 сервера:
SBS 2008 с MS SQL бугалтерии CRM и программа управления проектами + Exchange 2007
Debian на котором стоит Xen с несколькими виртуальными машинами (есть несколько программ которые по лецензии могут работать только от одного пользователя и на одном компьютере, а чтобы можно было позволить пользователям переходить от компьютера к компьютеру они используют виртуальные машины. + хранилище файлов и бэкапов на програмном рэйде...
FreeBSD который был раутером и фаерволом, со squid, exim (в качестве пограничного сервера), dhcp, vpn сервер... но после того как накрылся винчестер начальник сказал что не хочет больше програмных решений для таких вещей... к тому же это был компьютер htpc, а даже не сервер, который просто валялся в офисе и я его использовал как временное решение, потому что не было возможности купить нормальную железску...

Сейчас вместо Debian встанет NAS, виртуалки видимо переедут в Hyper-V, если вообще они ещё будут нужны, а на замену FreeBSD я и ищу какую-то готовую железску...

Hyper-V встанет наверное в компьютер с SBS, но это тема для отдельного обсуждения, потому что меня начальник замучал, то он хочет XEN использовать как рабочую станцию, то ему этот компьютер вообще не нужен (если он останется в качестве сервера, виртуалки будут на нём как и squid, exim и tftp сервер для различных утилит (чисто для меня)).

загляните в свойства учётной записи. вкладка - профиль. Home Folder (или локальный путь или сетевой диск)
бяка этой фишки в том, что при установки программ именно туда записываются некоторые параметры.
И в случае переключения обратно на локальный путь - настройки не скопируются, и программы перестанут запускаться...
почему DHCP не на SBS сервере?
если я не ошибаюсь, по лицензиям МС нужно купить премиум и устанавливать на отдельный сервер. Хотя физически всё работает.

но давайте не будем отвлекаться от темы сетевого оборудования. для других вопросов лучше создать отдельные темы.

Вот этого не знал.... думаете стоит отключить? и редайректить чисто My Documents?

Потому что MS DHCP выдает IP через раз, если вообще... слишком много глюков в ихнем dhcp сервисе

Есть премиум лицензия, просто нет сервера...

Ну так что вы думаете по поводу перечисленных выше вариантов? Поставить Cisco Catalyst L3 или какой другой коммутатор L3 и Juniper SRX100/SSG5
Или лучше Cisco SA540/ASA (модель не помню) или Fortigate 100D/60C от компании Fortinet?
И если взять FortiGate 100D на 16 портов, правильно ли использовать его как switch L2 вместо обычного коммутатора?

Цитата:

Цитата Smoke2k думаете стоит отключить? »

я описал сложности, с которыми столкнулся. пришлось искать для всех приложений ключи реестре и править в ручную на нормальные пути.

Цитата:

Цитата Smoke2k Потому что MS DHCP выдает IP через раз, если вообще... слишком много глюков в ихнем dhcp сервисе »

решать не пробовали? У меня не было проблем с виндовым DHCP, а вот с юниксовым была - из-за него не работал WDS.

возьмите нормальный роутер для доступа к сети (с фаерволом, VLAN, DMZ, VPN) и коммутатор с поддержкой VLAN для внутренней сети.
Если берёте Cisco SA/ASA - с ней берите свитчи Catalyst.
Желательно брать оборудование одного производителя.

Не нужно покупать роутеры для использования в качестве коммутатора.

Цитата:

Цитата exo Цитата: Цитата Smoke2k думаете стоит отключить? я описал сложности, с которыми столкнулся. пришлось искать для всех приложений ключи реестре и править в ручную на нормальные пути. »

Значит пусть пока работает как есть, будет необходимость - переделаю...

Цитата:

Цитата exo Цитата: Цитата Smoke2k Потому что MS DHCP выдает IP через раз, если вообще... слишком много глюков в ихнем dhcp сервисе решать не пробовали?

Ну на самом деле это было ещё на WS 2003 и тогда не было решения, хоть и интересовался. А потом просто пропало доверие к этому продукту, и больше не пробЫвал использовать. Возможно Вы правы, и стоит поднять DHCP на серваке SBS, я просто не думал в этом ключе...

Цитата:

Цитата exo У меня не было проблем с виндовым DHCP, а вот с юниксовым была - из-за него не работал WDS. »

Видимо кто что больше любит, оно у него лучше и работает :-D, на самом деле пока что не сталкивался с тем чтобы что-то не работало в *nix, а вот например MS DNS не хочет ни в какую резольвить microsoft.com, и мне пока что не удалось найти причину, а в bind9 всё работает

Я правильно понимаю, что Вы склоняетесь больше в сторону Cisco нежели Fortinet?
Хотя у последних есть например switch FortiSwitch-324B-POE на 24 и FortiSwitch-248B-DPS на 48 портов...

И если брать Cisco какую серию, модель лучше выбрать:
Cisco SA540 Gateway 25 Bundle
Cisco ASA 5512-X; Security Plus
Cisco ASA 5520
Ок, просто хотел уменьшить количество устройств в шкафу... чтобы раутер делал так же работу коммутатора, но раз неправильно, не буду даже планировать...

ну это для меня как Мерседес и Жигули. Я вообще впервые слышу о Fortinet.
так можно, в целях экономии места, железа. В случае теплой "погоды" даже нужно.
Но если у вас два этажа - лучше разделить. Гибче будет.
+ можно представить, что ваш роутер+свитч ддосят на внешнем порту. Процессор сдох - коммутатор лежит. Вероятность есть.

Странно, мне говорили что сегодня потихоньку отказываются от Cisco потому что они перенесли производство куда-то в Азию, и качество оборудывания значительно снизилось... чисто слух, я не проверял...

И если брать Cisco какую серию, модель лучше выбрать:
Cisco SA520W Gateway 25 Bundle (я склонен к тому что нужно 2 точки доступа, 1 для гаджетов без защиты, чисто интернет, 2-ая для лептопов с доступом к сетевым ресурсам, обычная точка или раутер этого не даст, а вот Cisco может, по крайней мере 1 сеть она может дать, а простейший раутер или AP может обеспечить вторую Wi-Fi сеть)
Cisco SA540 Gateway 25 Bundle
Cisco ASA 5512-X; Security Plus
Cisco ASA 5520

Мдя, сложно, потому что в помещении не смотря на кондиционеры, реально бывает жарко... у меня 2 винчестера сгорело, подозреваю из-за перегрева (схемы не работают, так что смарт прочитать мне могу)... Хотя в последнее время начальник решил что лучше пусть кондиционер рядом со шкафом где сервера работает 24/7, т.е. должно помочь, но пока что это работает так только 2 недели, из того что я вижу температуры снизелись, но устройства меняются, и потому не известно что будет в конце...
Наверное +1 устройство не сильно повлияет на общий климат в шкафу, так что не стоит совмещать? А вероятность атак из вне слишком велика, офис многим насолил, и есть не мало жилающих отомстить, тем или инным способом, потому думаю что качественное устройство должно лучше защитить интернет трафик...

В ещё одном форуме мне порекомендовали такой вариант
На сколько действительно важно разделение между 1-ым и вторым варантом на разные устройства, учитывая что вся организация не привышает 50 компьютеров в общем

Кстати там же почему-то уже 2-ое порекомендовали взять switch L3 для маршрутизации

Я так понял что некоторые коммутаторы поддерживают, а некоторые нет. И я не очень пока понял как определить какие модели поддерживают такую маршрутизацию, а какие - нет. Может можете порекомендовать какие-то конкретные модели в пределах разумного, скажем в пределах 1k$?

Нашёл Cisco WS-C3560X-24T-S L3, хотелось бы узнать мнение? стоит кажется так же как и Juniper... что ни дёшего, может кто-то что-то порекомендует альтернативное?
или стоит присмотреться к раутерам типа Cisco 1901 для этой цели?