Какой порядок в создании корпоративной сети?

Question

[KSergeyV]

Нужна помощь, есть много хорошей информации о сетевых технологиях, развертывании операционных систем (десктоповых и серверов), их настройка и т.п. Но суть вопроса в том, какая очередность (порядок) применения технологий для развертывания корпоративной сети на предприятии(более 30 машин с разными операционками) + 1С на сервере. НАПРИМЕР - 1. сначала нужно DHCP (лучше использовать ПО .....) 2. Установить DNS (ПО ......) и далее по списку. Есть ли какие-небудь практические рекомендации. Какие сервера и(или) сервисы(технологии) можно или нужно комбинировать и использовать. Как-бы сделал это опытный и толковый сис.админ? Или где это можно найти.

Comments

[Сергей Протько]

опишите топологию сети, имеющиеся оборудывание, роутеры всякие там, свитчики...

[KSergeyV]

Сергей Протько: Изначально: 2 сервера белее 30 компов и пару ноутов (возможно будет необходимость подключениея машин к сети из фирменных магазинов), 2 модема промсвязь от byfly (провайдер Беларуси) с wifi, центральный свич 24 порта остальные (5 или 8 портов) в кабинетах по месту, 2 видеорегистратора по 16 камер (на практике 13 и 6 камер), принтеры или мфу в кабинетах подключенные по usb (общее количество около 15).И один большой беспорядок - вся сеть одноранговая.

[lubezniy]

Сергей Протько: Начинайте формулировать пожелания: например, отделить сеть наблюдения от остальной (если им в инет не надо); организовать WiFi для ноутов; вывести принтеры и (или) МФУ в сеть для печати и (или) сканирования (расписать каждое устройство по его возможностям); сделать централизованную авторизацию пользователей сети и т. д. А далее, как будет полный список пожеланий, уже расписываете решения по ним по отдельности.

[АртемЪ]

Это больше похоже на задание нежели на вопрос.

[KSergeyV]

АртемЪ: это вопрос, мне нужно знать план последовательных действий, и какое ПО советуют для реализации сего чуда, а какое уже конкретное ПО выбрать и как настраивать выбранное ПО это другая история.

Answer 1

[O . J]

Что бы не было бардака нужно все строго разделить. Роутинг, dhcp и вообще все что будет связанно с сетью должно управляться с роутера, никаких сторонних ПО для dhcp на сервере и т.д. Все это и много другое может Mikrotik. DNS - думаю подразумевается работа с Active Directory, если да, то тут через добавление ролей и компонентов на windows сервере или как велосипедная альтернатива samba4 на linux сервере.

Безопасность, фильтрация, мониторинг, оптимизация это уже отдельные разговоры о которых долго писать/говорить. т.к тут нужен отдельный подход к конкретной ситуации. Суть такова, что не бывает так скажем эталона правильности организации ИТ-инфраструктуры предприятия. Если остались вопросы пиши в скайп, расскажу покажу.

Comments

[KSergeyV]

это я понимаю, вопрос и состоит в том, с чего и в какой последовательности начинать, в каком порядке ставятся службы для старта системы и наведения в ней порядка (не выпикать же хлеб без замеса теста и всех по порядку добавленных в нужном кол-ве и последовательности необходимых ингредиентов), можно ли плавно перейти из одноранговой сети на доменное построение и администрирование. С чего хотя бы начать.

[O . J]

KSergeyV: Окей если мы говорим о сервере на базе Windows то я бы начал с добавление ролей AD, и DNS, вводим пару тестовых компьютеров (можно из под virtualbox) в домен, настраиваем политики AD под ваши нужды. Добавляем службу удаленных рабочих столов для 1с, крайне рекомендую не давать пользователям полный доступ к rdp, вместо этого использовать RemoteApp и стримить нужное ПО с сервера.

Но это я рассказал только самую малость того, что возможно вам нужно будет реализовать. Опять же повтаряюсь, что для каждой задачи может быть множество конкретных решений непосредственно подходящих к конкретной организации со всеми ее нюансами и запросами.

[Алексей]

Службу RDP естественно на отдельном сервере, ибо все будут админами на если она на ADDC. И DHCP я бы не доверил роутеру/маршрутизатору, лучше всетаки полная связка на Windows Server.

[O . J]

Алексей:

Речь идет о mikrotik или cisco, а не о dir100 естественно. И о организации с парком в < 50 машин. Само собой в случае если организация разрастается, и географически разбрасывается на филиалы, что в дальнейшем будет требовать транк, проще и удобнее будет перенести на физически отдельный сервер dhcp и весь роутинг, аля Gentoo, freeBSD. Но разделять роутинг и dhcp, а тем более переносить его на сервер c addc.

[KSergeyV]

Christian Lisov: привязка к винде необязательна (необходимо по возможности перейти на другое бесплатное ПО, конечно без фанатизма).

Я понимаю сначала лучше определить границы территории роутером (или компом с двумя сетевыми) или все же навести порядок на поле боя через AD и DNS (или их аналогами на linux -> samba4).

В качестве тестовых машин пользуюсь VirtualBox`ом.
как расшифровать ADDC = это Active Directory и Domain Controller ?

Answer 2

[Сергей]

1. Начинать надо с шлюза, он же роутер. Тут все зависит от финансов. В идеале это что-то вроде cisco ASA, но подойдет и небольшой сервер на базе FreeBSD (в качестве файрвола рекомендую только PF) или Linux(тут достаточно встроенного iptables/netfilter). Windows в качестве шлюза тоже работает, НО я считаю что это моветон, и рано или поздно проблем огребете.
Рекомендую на шлюзе ничего кроме файрвола не поднимать, любая служба - потенциальная дыра.
2. Настраивать DHCP На роутере - моветон. Нет, можно конечно, но рано или поздно придете к мнению что это было ошибкой, и достаточно на роутере обычного dhcprelay
3. DHCP и DNS - Должны быть на одном сервере. Если планируется контроллер домена - то лучше на нем. И эти службы должны работать в связке, иначе стандартной будет ситуация, когда клиент получил IP, а DNS ничего про это не знает.
4. Серверы, комутаторы, точки wifi, телефоны, юзеры - все должны быть в разных vlan-aх. Лучше сразу разделите, потом спасибо скажете. Много раз сталкивался с тем что в конторах IP не хватает, так как все оборудование было в одной подсети. Ну и небезопасно это. Серверы надо защищать любым способом, отдельный VLAN - уже хорошо.
5. Если буду принтеры, а они скорее всего будут - запланируйте принтсервер. Это может быть железка, ну или служба. Желательно на отдельном сервере.
6. Контроллеры домена должны заниматься только доменом. Никаких шар, никаких почтовых серверов, FTP, WEB на них быть не должно.
7. нарисуйте схему своей будущей сети. Она будет меняться по мере создания, но вам все равно будет проще. Запланируйте диапазоны IP, количество свободных IP должно быть как минимум одинаковым с кол-вом занятых. Лишними IP не бывают.

А вообще если у вас нет хоть небольшого опыта, вам будет очень непросто. Проблем огребете и от руководства достанется. Лучше всего нанять специалиста.

Comments

[KSergeyV]

Спасибо, уже потихоньку нарисовывается план действий

[KSergeyV]

Сергей:
По пункту 1 я понимаю если пока нет нормальных финансов - то по первичке можно поставить комп с 2 сетевыми картами, который будет контролировать трафик между интернетом и внутренней сетью. На нем же можно и контролировать сайты, доступные коллегам ))). т.е. определить границы ввереной мне территории и организовать кпп. ))))

[Сергей]

KSergeyV: Зачем же 2 сетевые?? Достаточно одной сетевой. Рекомендую к прочтению: xgu.ru/wiki/VLAN

[KSergeyV]

Сергей: статью прочитал, большое спасибо, много что стало понятнее. Но 2 сетевые я думал 1-ю к роутеру с интернетом, а 2-ю к внутренней сети и комп будет контролировать и пропускать только нужный трафик, или это лишнее?

[Сергей]

KSergeyV: Ну почему, совсем не лишнее. Только вот это прошлый век. Так никто сейчас не делает. VLAN - как раз позволяет делить трафик используя одну сетевую карту.
Зачем же плодить железки и провода?
Две сетевые вам понадобятся если только ваш шлюз или комутаторы не поддверживают VLAN. Тогда да... придется по старинке

[KSergeyV]

Сергей, Посоветуйте, как лучше мне реализовать в сети следующее: DHCP, DNS, ADDC, файловый сервер, Шлюз (например что-то типа на IPtables, в сети 2 шлюза, но реализовать на 1 ip с контролем трафика), БД, думаю может WSUS, WEB-server, Принт-сервер.
сколько физ.серверов посоветуете, и как сгруппировать это.
пока на 1 физ.сервере стоит Win2016 на нем 2 службы работает DHCP и DNS. А ADDC - установил, но пока к доменной сети подключен только этот сервер.

Answer 3

[Клёвый Админ]

Найдите толкового системного администратора (локального или удалённого), способного всё спроектировать и\или настроить. Их можно искать на соседней бирже фриланса, на сайтах поиска работы.
*можно стукнуть мне в скайп.

Comments

[KSergeyV]

Проблема в том, что платить не очень то хотят, мне впихнули в обязанности (поверил начальству - будет мне урок), но я решил для себя опыта набраться в администрировании сети почти с нуля (из беспорядка), так сказать они кролики, а это мой типа дипломный проект.

[Клёвый Админ]

KSergeyV: ооох. Беда. Кристиан рядом правильно пишет.

[KSergeyV]

Евгений Быченко: согласен беда, но что-то делать все равно надо.

Answer 4

[lubezniy]

Нужно спроектировать сеть исходя из своих возможностей и возможностей местных ИТ-шников по её организации и поддержке и затем уже по составленному проекту планировать и постепенно выполнять работу - каждый пункт от начала до конца. Проект нужно делать на основании потребностей фирмы и понимать, какие вопросы при этом решаются и какие проблемы могут быть созданы.

Comments

[KSergeyV]

А как проект сети написать самому.

[lubezniy]

Подумать, что нужно, и сформулировать это в деталях. Можно сначала своими словами/рисунками в виде черновика; потом, когда будет чёткое представление, переписать-перерисовать так, чтобы поняли те, кому предстоит уже это делать.

[KSergeyV]

lubezniy: это все придется делать мне, я поверил начальству с оплатой за дополнительную работу, а они в обязанности вменили. Поэтому для меня это опыт и развитие, может дорога в будущее.

Answer 5

[Михаил Лялин]

главное - донести до начальства необходимость резервирования и дублирования