Как организуется техническая архитектура в случае наличия филиалов и нескольких отделов?

Question

[belyy_shum]

Есть организационная схема, как в данном случае лучше будет разбить сеть?
Условия: центральный офис, который имеет ряд отделов для менеджмента (около 2000 хостов в совокупности) и филиалы (более 3), как расположить маршрутизаторы и разбить сеть, допустим ЦО (10.0.10.0), филиал (10.0.20.0), а для подразделений внутри ЦО - на каждый отдел своя подсеть (10.0.11.0 и т.д.), т.е. свой маршрутизатор на свой отдел?

Comments

[Drno]

всех в одну подсеть
филиалы туда же через ВПН
)))))))))))))

[belyy_shum]

Drno, так вопрос именно в том, как реализуется соединение между отделами в ЦО, не все же блоки в через коммутаторы в один маршрутизатор..

[hint000]

belyy_shum, "как" - это зависит от поставленных задач. А у вас есть организационная схема, но нет ни одной задачи. Легко можно представить себе организацию, в которой вообще не нужно ничего объединять и пользователям нужен только доступ в Интернет. Вот поэтому и нужна сначала правильная постановка задачи. Объединить центральный офис с филиалами - "чтобы что?"

• Чтобы админы из центрального офиса админили филиалы?
  
• Чтобы был общий AD?
  
• Чтобы был корпоративный VoIP?
  
• Чтобы филиалы по RDP ходили на сервера центрального офиса?
  
• Чтобы была общая файлопомойка?
  
• Чтобы синхронизировать БД филиалов с центральной БД?
  
• Чтобы завернуть весь трафик филиалов только через центр и поставить DLP и т.д.?
  
• Чтобы безопасники просматривали камеры видеонаблюдения в филиалах?
  
• ...
  

Answer 1

[ky0]

Давно существует набор бест-практиксов от практически любого производителя железа - с указанием конкретных моделей, топологиями, способами масштабирования и т. д. В качестве примера можете взять одну из первых ссылок гугла по фразе "cisco network design best practices".

Comments

[belyy_shum]

Спасибо за ответ.
Возвращаясь к моему вопросу, как выполнить соединение отделов? (информация из гугла выдает картинки где подразделения связываются через коммутаторы на один общий роутер, но вызывает сомнения то, что выдержит ли он на себе пять и более подсетей?)

[belyy_shum]

poisons, это лишь пример, хотел просто понять принцип подключения отделов в офисе..

[AntHTML]

belyy_shum, маршрутизаторы бывают разные и некоторые могут очень многое и много

Answer 2

[Алексей Черемисин]

Все просто
1) На каждый офис по маршрутизатору. (Я бы брал программный на линуксе. Просто комп или сервер с нужным количеством интерфейсов, с с установленным линуксом. Но это я)
2) В каждом офисе своя выделенная и замаскараденная сеть - другими словами, никто никуда не ходит, только интернет.
3) Каждый офис наводит VPN/VLAN/VxLAN с центральным, и по необходимости с нужными соседями
4) На маршрутизаторах разрешаем, какие ресурсы будут доступны внутри центра и филиалов
5) Все доступные ресурсы убираем в зоны DMZ

Во первых, подозреваю, что никому не нужно ходить из офисов непосредственно на компы.
Во вторых, извне все должно быть прикрыто, даже от офиса, ибо нефиг по компам шастать.
В третьих, общие ресурсы тоже не должны быть совместно с компами, ибо иногда их ломают...
В четвертых, тут много всякого, от броадкаста, до dhcp, авторизации и разделения...

Ах, да, есть коммутаторы L3, которые могут не только VLAN, но и VxLAN, и MPLS, и маршрутизацию.
Такие ставьте в центр сети, и рулите маршрутами, доступом и прочим...

Comments

[belyy_shum]

С филиалами разобрались, а что с подразделениями внутри центрального, например - бухгалтерия, IT отдел, дирекция по продажам и т.д., они соединяются в один общий маршрутизатор или иная схема?


Или их лучше тоже разграничить на подсети, если кол-во хостов будет до 3000 единиц (но как тогда реализовать технически)? Спасибо!

[Алексей Черемисин]

belyy_shum, Да, ставьте коммутаторы L3 с маршрутизацией VLAN. Любой коммутатор уровня L3 умеет в маршрутизацию (обычно умеет).