Модернизация сети в учреждении, как лучше реализовать?
Имеется следующая топология: кабель от провайдера приходит в сервер, на котором поднята маршрутизация, DHCP, DNS и AD. Сервер раздаёт в локальную сеть путём DHCP внутренние айпишники, выступая в роли шлюза и DNS сервера.
Что нужно: в связи с модернизацией сети необходимо разделить сеть на две части, с разными пулами ip адресов (с настроенной контент-фильтрацией и без), как это сделать наиболее безболезненным способом? Сам в сетях не силен, на ум приходит только следующий вариант (при котором будет разделение сети и сохранится работоспособность AD, необходимой для работы доменных учетных записей пользователей): опустить сервер по топологии на уровень с клиентскими машинами (от провайдера в свитч), при этом отключив на нём маршрутизацию и DHCP, оставив только DNS для работы AD (при этом настроить для DNS сервер пересылки) и на каждой клиентской машине уже вручную настраивать сеть. Есть ли варианты лучше/проще?
P.S. ip адреса с контент-фильтрацией и без неё заранее заранее известны, т.е. мне надо раздавать конкретный пул в конкретную подсеть.
Все можно разрулить в VLAN, главное что бы сетевое оборудование умело с ним работать.
Что есть кроме сервера? Возможно есть коммутатор уровня L3?
> DHCP, DNS и AD.
То есть, сервер на windows без виртуализации?
Можно поставить какую-то платформу виртуализации (например ProxMox), что позволит паралельно на одном сервере развернуть програмный маршрутизатор и уже на него перенести роли Firewall, DHCP-relay, routing, NAT.
Решений много, и все геморные.
1) Лес из АД, что бы два DHCP корректно работали.
2) Два пула адресов на одном шлюзе (кстати, что в качестве шлюза?), но тогда статика на ПК.
3) Два DHCP и прокси между шлюзом и ПК
4) И ещё куча таких вариантов...
Из простых я бы делал так:
Подними OpenVPN с двумя сетями, и пусть рабочие ПК коннектятся каждый к своей. Там же можно и дать/закрыть доступ конкретному ПК к другой сети.
В текущей конфигурации шлюзом выступает сервер на Windows Server 2008 r2, в необходимой конфигурации - криптошлюз (отдельная железка, доступа к настройкам которой нет).
Забыл уточнить, ip адреса с контент-фильтрацией и без неё заранее известны, т.е. мне надо раздавать конкретный пул в конкретную подсеть, с помощью VLAN это возможно?
А почему нет то? Будет подсеть с влан1 ходить в интернет через один ip, подсеть с влан2 через второй. Маршруты только пропишите для vlan необходимые. Все это при условии что вашим железом это в принципе поддерживается.
Средний
Средний
