Как настроить сеть?

Question

[Mehrunes]

И так вкратце описание сети: трехэтажное здание, на третьем этаже располагается серверная. В сервер заводится оптика, дальше от него идет сеть на три этажа, на каждом этаже стоит по 2 управляемых коммутатора второго уровня D-Link(DGS-3120-24TC и DGS-3120-48TC), кол-во компьютеров колеблется от 49 до 53 на каждом этаже. Интересует: 1) Kак должна заводиться оптика, что для этого нужно, какие решения можно использовать? 2) Как правильно настроить фаервол на сервере под управлением Win Server 2008, если возможно примеры или хотя бы общее описание настройки 3) Как настроить маршрутизацию сети? P.S. Скажу сразу довольно деревянен в этих вопросах

Answer 1

[Клёвый Админ]

Коллега, привет!

Вопросы конечно туманные, но давай разбираться.
Какая сеть планируется? Плоская (все компы в одной IP подсети) или сегментированная?
Вариант 1. Сегментированная сеть.
Разумнее делать на каждый этаж свой IP сегмент размерностью 24 бита. Ну то есть у тебя будут сети для пример 192.168.%номерэтажа%.0/24 и тогда каждая подсеть и физическая сеть от остальных отделяется VLAN. Т.е. на конечном клиентском свиче все порты должны быть не тегированные внутри VLAN ID %номерэтажа%, а порт SFP (тот что с оптикой) тегированный в этом же VLAN. На центральном маршрутизаторе зеркально - есть порт по которому приходит оптика - он тегирован VLAN ID %номер этажа% и рядом есть порт откуда этот VLAN смотрит уже без тега (его направляете в маршрутизатор (в случае сегментированной сети, в серверер должно быть четыре сетевые карты) - вероятно это у вас ваша сервераная машина) или же внутрь маршрутизатора отдаёте все VLAN через один провод тегом, а внутри (например если у вас это виртуальная машина) снимаете тэг за счёт виртуальных интерфейсов.
**Так же можно настроить всю маршрутизацию прямо на свиче, но ваши модели этого делать не умеют.

Не совсем понятно что ты хочешь настроить на файрволе сервера, если речь о полной маршрутизации, то тебе нужно поднять NAT и DHCP\DNS. Для NAT вот мануал technet.microsoft.com/ru-ru/library/dd469812.aspx
С DHCP и DNS проблем вроде быть не должно. Если будет несколько сетей (как я предложил выше), то просто для каждой сети создаёшь в DHCP scope, а внутри vlan который отделит ваши сети вы поднимаете dhcp-relay на одном из свичей (смотря кто это умеет, либо на центральном либо на клиентском).

Маршрутизация при таком подходе будет такая:
Клиентские ПК от DHCP (через relay) получает адреса, маску сети и ДНС, шлюз по умолчанию у них будет 192.168.%номерэтажа%.254.
На маршрутизаторе есть интерфейсы смотрящие внутрь VLAN и имеющие адрес 192.168.%номерэтажа%.254, там же поднят нат \ маскарадинг.
Собственно всё =)

Вариант 2.
В принципе, никто не мешает вам создать плоскую сеть, в вашем случае компьютеров и устройств не слишком много (я так думаю около 200), можно выбрать IP сеть размером 23 бита, с небольшим запасом. В этом случае есть просто шлюз по умолчанию, все компы в одной сети, для них есть DHCP \ DNS сервер и маскарадинг. Всё как в обычной домашнецй сети, только просто больше. Никаких тегов, VLAN и так далее, но много больше проблем в случае аномалий в сети. Можно начать с этого варианта, а позже сегментировать сеть, отделяя по кусочку \ этажу.

Answer 2

[Mehrunes]

Сеть на 150 компьютеров, в ней должны быть выделены 2 маленьких подсети по 4 машины, 2 подсети на 6 компьютеров, все остальные должны иметь выход в интернет не более

Comments

[Клёвый Админ]

дак сделайте это =)

Выход в интернет и организация IP пространств это всё же разные понятия. В вашем случае есть несколько физически не зависимых этажей, отделить их друг от друга разумно, учитывая что крос этажные линки идут по другой среде передачи данных - по оптике - потому гонять по ней просто так широковещательный трафик - не самая прикольная идея.

Но как я и написал - можете выбрать просто плоскую сеть. А для тех 2*4 и 2*6 компьютеров просто назначить IP статически из иных (не дефолтных) подсетей и будут они в другой сети =)

[Mehrunes]

Кроссэтажные линки это соединение между этажами? Если так то они идут по огромному пучку витой пары) Смотрите, на каждом этаже по два маршрутизатора, в них приходят провода со всех компьютеров, и от них уже идут пучком на третий этаж в серверную. 2)Допустим я сделаю под сети статическими, ок, а всем остальным как сделать выход в интернет? через ДХЦП сервер? Если я что-то не так говорю меня поправляйте, я не спец во всем этом и могу жестко ошибаться в чем-то)

[Клёвый Админ]

@Mehrunes ничего вдруг стало не понятно =)
Вы зачем эту задачу самостоятельно пытаетесь решить? наймите админа. Правда. Вы можете сейчас сильно всё архитектурно поломать.

Но если нет инстинкта самосохранения и страха то:
Межэтажные линии у вас оптика или всё же медная витая пара?
На каждом этаже у вас всё же по два свича или по два маршрутизатора (это принципиально)?

На вашем центральном (или единственном) маршрутезаторе - том на который с одной стороны приходит сеть локальная а с другой стороны приходит интернет - вам нужно поднять NAT - если у вас это всё на том самом сервере 2008 то мануал выше, если нет, то нужна модель название устройства или софта, тогда скажу как настроить.

DHCP - это сервис по выдаче адресов. Для доступа в интернет нужно чтобы этот сервис для всех компом выдал 1) Правильный не занятый IP адрес 2) Правильный доступный адрес DNS серера 3) Адрес шлюза по-умолчанию доступного из этой же подсети в которой находится сам ПК. Можете все все все компы настроить статическими адресами (я видел таких самоубийц), и никакого DHCP не нужно тогда.

[Mehrunes]

Межэтажами тянется пучок меди, оптика у меня только приходит на сервер. По тихоньку начинаю въезжать что коммутаторы можно заменить на неуправляемые, коли всем будет рулить сервер. Задача скажем так - на основе реального здания, но сама задача тестовая. Коммутаторы ВРОДЕ БЫ ДОЛЖНЫ стоять на этажах в навесных шкафчиках, но могу и ошибаться, может быть возможно просто пробросить провода до серверной третьего этажа, а там уже все смонтировать в стойке? Статика там уже была) Пока было 30 машин и не было сервера все было норм) Но сейчас немного изменилась задача.

[Клёвый Админ]

@Mehrunes как у вас оптика до сервера приходит? Она ведь наверное откуда-то выходит?

Управляемые - это же хорошо. Зачем их менять?

Просто поднимите DHCP и настройте NAT. Всё что вам нужно сделать =)
Это далеко не идеально, и не красиво и местами не правильно, но сделать больше, без понимания принципов, скорее всего, будет оооочень тяжело.
Вам не нужно прокачиваться на задачах такой сложности. Для начала вам необходимо изучить механизмы маршрутизации и принципы работы IP. Так же почитайте про VLAN, про NAT, про DHCP.

Простите, но я откланиваюсь. Тестовая задача это круто, но я пойду реальные решать.

[Mehrunes]

Огромнейшее спасибо за помощь, это не прокачка, это скажем так часть моей дипломной работы, которую меня ВЫНУДИЛИ делать, при том в очень сжатые сроки - при том часть эта далека от моей специальности увы=\ Но я надеюсь того что вы объяснили мне хватит. Еще раз огромнейшее человеческое спасибо!

[Клёвый Админ]

@Mehrunes ох уж этот сезон дипломных работ. =)