Как правильно разворачивать сетевую инфраструктуру с dhcp? С использованием отдельного оборудования или все на одном сервере?

Question

[Саша]

Привет всем! Просвятите, пожалуйста, как правильно с точки зрения системного администратора разворачивать сетевую инфраструктуру в организации?
Чтобы было понятно о чём речь, я перечислю несколько вариантов, укажите на самый технически правильный или опишите свой.

1. Все через один сервер, в котором сетевая карта с двумя входами: доступ в интернет, прокси, AD, Exchange, раздача ip от dhcp - все на одной машине, возможно есть реплика.

2.Есть коммутатор, к нему приходит кабель провайдера. В тот же коммутатор включены хосты на том же этаже, свитчи на других этажах + сервер с AD, Exchange и прочим.

3. В отдельную сетевую "железку" (например от cisco или mikrotik) приходит кабель провайдера, она же раздает адреса по своему dhcp. В этой же сети сервер с windows server, но на нем только AD, Exchange и по необходимости другие роли.

Answer 1

[CityCat4]

Вариант 1 используют очень храбрые, очень ...неумные либо фанаты Microsoft, непоколебимо верящие в силу файрволла от MS. Если это про Вас - Ваш выбор.
Вариант 2 используют те, кто любит постоянно лечить компы юзеров от майнеров и жаловаться на то, что почту блокируют за спам. Ну, либо тот, кому совсем уж нечего скрывать :) Если это про Вас - Ваш выбор.
Вариант 3 уже больше похож на типовую схему построения.

DHCP не стоит держать на роутере. Роутер должен делать то, для чего предназначен - роутить. Ну еще файрволл и VPN, по необходимости. DHCP относится к базовым ролям внутренней сети и держать его IMHO нужно на сервере AD - нагрузка копеечная, зато если вовремя заполнять данные оснастки - можно использовать ее в качестве таблицы распределения IP - не весь же сегмент у Вас динамика, сервера как правило имеют статические адреса.

Эксч категорически рекомендуется отделить от AD. Прокси, если есть - тоже отделить. При нынешних технологиях виртуализации это сделать куда как просто. Файлопомойку - тоже отделить.

Comments

[Саша]

Извините, недопонял. Уточняющий вопрос:
Вы имели ввиду, что провайдерская витая пара приходит к маршрутизатору, который обеспечивает хосты на своем этаже, серверы на том же этаже (как мы поняли, физически отдельно либо на виртуализации отдельно СХД, Exchange, AD+dhcp и т.д), свитчи на других этажах, так?

[CityCat4]

Кабель от прова втыкается в железку типа микротика, на котором только файрволл и VPN (если таковой нужен). Если есть внешние сервисы - их можно изолировать в DMZ, которое тут же и вывести на микротике. Дальше от микротика провод втыкается в свитч, с которого тырнет разбирают внутренние сервера.
В более крупных структурах внутренняя сеть изолируется большим количеством роутеров - допустим для анализа пакета, преде тем как его пропустить во внутреннюю сеть.

[Саша]

CityCat4, можно ещё спрошу, отдельный прокси или аппаратный firewall ставиться тоже в "разрыв" между условным микротиком и свитчем?

[Алексей]

Саша,
Файрвол - лучше в разрыв и физически, и логически. Но не обязательно, можно просто правильно настроить vlan на коммутаторе, тогда будет только логически в разрыв:
Роутер - vlanX - файрвол - vlanY1, vlanY2.
Прокси - в DMZ.

Вы реальную сеть что ли по этим советам собираете?

[Саша]

Алексей Шелепов, нет, сейчас сеть не собираю.
Но задаю вопросы ,для получение знаний, которые применю в будущем. Так же, занимаюсь в домашней лаборатории.
Именно этот вопрос возник из-за отсутствия у меня информации по построению инфраструктуры. (Обучающий курс есть, денег лишних нет на него, да и сам руками хочу пощупать)

[Алексей]

Саша, вот один из вариантов небольшого офиса, как примерно я бы сделал с учётом некоторой безопасности и с заделом на будущее. Можно как раз в лаборатории построить подобное, а потом увеличивать офис и добавлять новые сервисы

Логическая схема:

Физическая схема:

[CityCat4]

Саша, у меня файрволл программный, поднят прямо на микротике

Answer 2

[mafusailmagoga]

Задачи бывают очень разные.
Скажем вам нужно VPN сделать на роутере или шлюзе.
Если у вас 1-2 пользователя - то это дело потянет Микротик легко.
Если у вас 50 пользователей - вам для этого нужен настоящий компьютер.

Я бы разделил роли.
DHCP довольно небольшая нагрузка.
Зачем её пихать на сервер?
Пусть будет на роутере.

DHCP нужно пихать на сервер если есть какая то веская причина.
Скажем у меня это на сервере, так как нужна интеграция с DHCP+BOOTP (или PXE - не помню уже, 100 назад настраивал)

А для серверов желаю вам изучить технологию виртуализации. ESX, Xen, KVM.
Позволяет здорово упросить оживление сервера в случае чего.

Вполне можно раздавать DHCP прямо с роутера из внешнего мира который связь дает.
Они сейчас довольно совершенны в этом плане.

Но с другой стороны, если вы заходите кого то лимитировать, отрезать от интернета,
то, возможно вам такой вариант и не подойдет.

Comments

[Саша]

Да, согласен. что зависит от ситуации.

Правильно ли я понял, что если PXE используется, то ближайший к истине ответ формулируется примерно так: Кабель провайдера пусть приходит в сетевую "железку", но раздача адресов и все остальное выполняется на сервере?

[mafusailmagoga]

Саша, не факт.
просто в моем конкретном индивидуальном случае была очень удобная утилита, которая управляет всем в одном флаконе. конкретно для вот этого ПО, загружаемого по сети - WTWare

[Саша]

mafusailmagoga, я всё-таки хочу вывести некую аксиому, как делать правильно. Я понимаю, что это невозможно, и для каждого случая своё решение.
Но, получается, что первый вариант самый рабочий? В один интерфейс провайдерский кабель, во-второй все остальное?

[d-stream]

Саша, только первый просочившийся враг положит всю эту бодягу целиком...

[Саша]

d-stream, a защита там такая, как самоуспокоение.....

[d-stream]

Саша, по принципу неуловимого джо?

[mafusailmagoga]

Саша,

я всё-таки хочу вывести некую аксиому, как делать правильно.

Аксиома следующая:

Разделять задачу на части и смотреть какая из частей чего требует и чем ограничивается.
Критериев тут куча: и какое аппаратное обеспечение доступно, и можно ли что либо докупить. Что именно можно докупить, а что нельзя.
Какая часть функционала будет сильно нагружена, а какая почти ничего и не требует по ресурсам.
Какое ПО с каким не совместимо или просто неудобно в эксплуатации.
И пр. и пр.

На этом основании собирать ту или иную программно-аппаратную конфигурацию

Answer 3

[Алексей]

Как уже отметили всё весьма индивидуально и зависит от имеющихся ресурсов, задач, планов на будущее и прочего.
Если мы предполагаем небольшой офис, сильную ограниченность по деньгам и другим ресурсам, то я бы сделал что-то вроде этого:

(1) Внешний роутер -> (2) Управляемый коммутатор -> (3) Компьютеры
                                     |
                        (4) Сервер AD + DHCP + ...

Сервер с двумя сетевыми портами выставлять в интернет одним из портов плохо, потому что потенциальный злоумышленник получает доступ ко многим внутренним ресурсам, взломав лишь один сервер, который, судя по всему, на Windows.
Внешний маршрутизатор пусть делает то, что умеет лучше всего - маршрутизирует. То есть балансировка по двум провайдерам, например, динамическая маршрутизация и т.п. Настраиваются как минимум широкие простые правила файрвола (ACL).
На коммутаторе настраиваются несколько vlan и желательно тоже ACL. Распределение по vlan на основе выполняемых функций. Сервера отдельно, конечно.
Функции внутренних сервисов лучше разделить на несколько серверов. Например, если нужен прокси-сервер, и если есть такая возможность, то лучше использовать отдельный сервер. Засунуть его в отдельный vlan, с чёткими ACL, получится некая DMZ.
Ну а потом покупаем ещё хороший файрвол...

Answer 4

[Роман Молчанов]

IMHO, что бы ни говорили крутые специалисты, но в первую очередь всё упирается в ресурсы: деньги на железо и лицензии, место для размещения всего оборудования. Если есть в наличии или возможность приобрести только один сервер + одна лицензия на ОС, то естественно всё придётся ставить на одном, если есть ресурсы, то вариантов много.

DHCP сервис малотребовательный, особенно для небольших сетей. Виндовый по соседству с AD/DNS меня ещё ни разу не подводил, но ни разу не подводил также и DHCP на базе pfSense или домашних роутеров (Zyxell/Asus).
Если почтовый сервер находится в локальной сети, то для него я бы посоветовал выделить отдельную машину (хотя бы виртуальную) и отдельный IP-адрес, чтобы зараженный клиентский компьютер или личный смартфон сотрудника в локальной сети не подставлял адрес под антиспам фильтры. Дополнительный адрес у многих провайдеров стоит копейки.
В целях экономии файл-сервер можно прикрутить на контроллере, но может возникнуть неприятная ситуация с закончившимся свободным местом, бэкапами или вредоносом из пользовательской папки. Если есть возможность: на виртуалку или на отдельную железку.

Answer 5

[Александр]

Мой вариант: провайдер приходит в слабый сервер, на котором спокойно живет линукс (точно не помешает освоить), нормально настроенный iptables и fail2ban, которые дадут представление о работе маршрутизатора, там же dhcp+dns+vpn, можно и прокси какой-нить поднять. Squid вполне себе функционален. Из него в коммутатор выходит пара аплинков для внутренней сети. Сейчас AD уже вполне неплохо дружит с линуксами, поэтому авторизацию в том же сквиде сделать не проблема. Ну и плшки типа вланов настроить тоже несложно, что опять же даст практический опыт. К слову, в микротике тот же самый embedded-linux, даже не особо embedded. Готовые сборки типа pfsense - странное решение, потому что чтобы оно нормально работало постоянно нужно патчить, установка нового пакета, как правило, вызовет необходимость обновления, опять же патчей, извращенная некрофилия в общем. Веб интерфейс вырвиглазный. Ну и для небольшой организации exchange - оверхед. имхо.

Comments

[Саша]

Спасибо! Как раз собирался уточнить про такую вариацию. Linux кручу очень активно)))