Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)
-   -   Вопрос по организации логической инфраструктуры (http://forum.oszone.net/showthread.php?t=243312)

rockman1983 24-09-2012 19:03 1994097
Вопрос по организации логической инфраструктуры
 
Здравствуйте, столкнулся с простой, казалось бы, задачкой, не могу найти оптимальное решение..Суть проблемы: Есть некая сетевая инфраструктура, построенная в соответствии с представленной схемой..



Подсеть А: около 200 хостов (статические адреса)
Подсеть Б: около 300 хостов (DHCP-на UserGate, ну или на Win2008)
Подсеть В: зона wi-fi..(реализована на dir-320)

Все закоммутированы через отдельные физические порты на Des-3016..На свитче настроена сегментация трафика по портам-из каждой подсети можно шастать только на общий ресурс..
Общий ресурс-прозрачный прокси на UGate, раздающий интернет ВСЕМ участникам взаимодействия..

Вопрос: КАК правильней и логичней разделить всех участников на подсети ?? С wi-fi как бы проблем нет-там вообще другую сетку можно завести - роутер легко смаршрутизирует.. Как лучше поступить с Подсетью А и Б?? Точнее-как сделать так, чтобы общий ресурс был виден во всех подсетях??

ejik_off 26-09-2012 12:00 1995027
А что за сервак? Я так думаю что для этого нужно дополнительную утилиту ставить (у HP есть такая "HP Network Configuration Utility"), которая умеет работать с виланами.

Tonny_Bennet 26-09-2012 12:39 1995043
Цитата:
Цитата rockman1983
Подсеть А: около 200 хостов (статические адреса)
Подсеть Б: около 300 хостов (DHCP-на UserGate, ну или на Win2008)
Подсеть В: зона wi-fi..(реализована на dir-320) »
Если не сложно напишите адресацию сетей вместе с масками (особенно интересна сеть B).

Цитата:
Цитата rockman1983
Вопрос: КАК правильней и логичней разделить всех участников на подсети ?? »
Попробуйте разделить компьютеры по организационно-правовому принципу: бухгалтерия, руководство, отдел продаж и т.д. Заключите каждый отдел в свою подсеть, пустите трафик этой подсети в своём Vlan. А на сервере настройте разрешения для каждой из маленьких подсетей.

Цитата:
Цитата rockman1983
Точнее-как сделать так, чтобы общий ресурс был виден во всех подсетях?? »
А как сейчас сделано?

rockman1983 27-09-2012 09:43 1995472
мда, я, видимо, неверно выразил суть задачки..попробую сначала..
была сетка, которую просто адски необходимо реорганизовать..сеть изначально строилась непонятно кем и непонятно как..с физической точки зрения представляла груду сетевого оборудования, соединенного по общему принципу "ХАОС"..все хосты адресовались статически-две сетки
А: 10.30.0.0/24
Б: 10.200.1.0/24 (тогда еще хватало 254 адреса)

На серве-ДВА адреса на одном адаптере))
10.30.0.1/24
10.200.1.1/24

короч хаос не меньший, чем физической топологии..

насколько это было возможно физическую топологию привели в более-менее упорядоченный вид..ну и, естественно, по ходу дел у руководства начали появляться доп.требования к логике и качеству взаимодействия..+еще и свободную зону выдумали..капец короче..
сложности именно в организации логической инфраструктуры-оббежать 500 клиентов с целью настройки адреса можно, но сначала ж нужно продумать эту самую адресацию, а в голове одни железяки))

на сегодняшний день имеем:
Des-3016 - на отдельных портах висят разные подсети (разделены именно по организационному принципу), на нем настроена traffic segmentation (тупо запретили трафик между подсетями-разрешили толлько на общий ресурс)
К вопросу о vlan-пока смысла в применении не наблюдаю-еще с основами вопросы не все решены, да и не за чем - подсети и так на разных портах..

dhcp поднят в той же сетке 10.200.1.0/23 (делали за 15 мин по принципу лишь работало ПОКА..)

К вопросу о подсети В:
стоит dir-320 со статическим адресом, на нем открыта гостевая зона с динамикой (192.168.1.0/24)

вопрос сводится именно к тому, как бы так построить адресацию, чтобы не пришлось заново бегать по 5 сотням хостов?? мысли по ентому поводу ужо в голове прост не укладываются.. потому и обратился с вопросом

Tonny_Bennet 27-09-2012 12:22 1995532
Цитата:
Цитата rockman1983
вопрос сводится именно к тому, как бы так построить адресацию, чтобы не пришлось заново бегать по 5 сотням хостов?? мысли по ентому поводу ужо в голове прост не укладываются.. потому и обратился с вопросом »
Если бы у вас есть умное оборудование, работающее с vlan, то вы просто указываете номер vlan на порте устройства и грамотно настраиваете DHCP сервер чтобы он выдавал в определённый vlan определённые адреса. Таким образом вы манипулируете только vlan-ами.

К вашему 16-портовому Des-3016 скорее всего подключены ещё какие-то, наверняка неуправляемые, свитчи. На 15 портах настраиваете разные vlan, 16-й делаете транком (в нём идут все пакеты всех 15 vlan). У вас есть 15 подсетей разного размера (советую брать с запасом процентов 50 минимум).

За основу берём большую сеть 10.0.0.0/22 (255.255.252.0) делим её на что-нить поменьше: 10.0.0.0/24 10.0.1.0/24 10.0.2.0/24 10.0.3.0/24 а их ещё на более мелкие.

10.0.0.0/26
10.0.0.64/26
10.0.0.128/26
10.0.0.192/26

10.0.1.0/26
10.0.1.64/26
10.0.1.128/26
10.0.1.192/26

10.0.2.0/26
10.0.2.64/26
10.0.2.128/26
10.0.2.192/26

10.0.3.0/26
10.0.3.64/26
10.0.3.128/26
10.0.3.192/26

В этом примере 32 подсети... это и будут ваши vlan. Настраиваете какой-нибудь грамотный DHCP-сервер который при запросе из первого vlan будет выдавать адреса из 10.0.0.0/26, а при запросе из 10-го - 10.0.2.64/26. На уровне коммутатора можно настроить политики безопасности при передачи трафика между подсетями, а на шлюзе настройте политики доступа в интернет: скорости там и всё остальное. Также можно выделить vlan для гостей wi-fi и никуда кроме интернета трафик не пускать.


Время: 05:26.

Время: 05:26.
© OSzone.net 2001-