@hunter2-2
Начинающий системный администратор

Как правильно разворачивать сетевую инфраструктуру с dhcp? С использованием отдельного оборудования или все на одном сервере?

Привет всем! Просвятите, пожалуйста, как правильно с точки зрения системного администратора разворачивать сетевую инфраструктуру в организации?
Чтобы было понятно о чём речь, я перечислю несколько вариантов, укажите на самый технически правильный или опишите свой.

1. Все через один сервер, в котором сетевая карта с двумя входами: доступ в интернет, прокси, AD, Exchange, раздача ip от dhcp - все на одной машине, возможно есть реплика.

2.Есть коммутатор, к нему приходит кабель провайдера. В тот же коммутатор включены хосты на том же этаже, свитчи на других этажах + сервер с AD, Exchange и прочим.

3. В отдельную сетевую "железку" (например от cisco или mikrotik) приходит кабель провайдера, она же раздает адреса по своему dhcp. В этой же сети сервер с windows server, но на нем только AD, Exchange и по необходимости другие роли.
  • Вопрос задан
  • 3931 просмотр
Решения вопроса 1
CityCat4
@CityCat4
//COPY01 EXEC PGM=IEBGENER
Вариант 1 используют очень храбрые, очень ...неумные либо фанаты Microsoft, непоколебимо верящие в силу файрволла от MS. Если это про Вас - Ваш выбор.
Вариант 2 используют те, кто любит постоянно лечить компы юзеров от майнеров и жаловаться на то, что почту блокируют за спам. Ну, либо тот, кому совсем уж нечего скрывать :) Если это про Вас - Ваш выбор.
Вариант 3 уже больше похож на типовую схему построения.

DHCP не стоит держать на роутере. Роутер должен делать то, для чего предназначен - роутить. Ну еще файрволл и VPN, по необходимости. DHCP относится к базовым ролям внутренней сети и держать его IMHO нужно на сервере AD - нагрузка копеечная, зато если вовремя заполнять данные оснастки - можно использовать ее в качестве таблицы распределения IP - не весь же сегмент у Вас динамика, сервера как правило имеют статические адреса.

Эксч категорически рекомендуется отделить от AD. Прокси, если есть - тоже отделить. При нынешних технологиях виртуализации это сделать куда как просто. Файлопомойку - тоже отделить.
Ответ написан
Пригласить эксперта
Ответы на вопрос 4
@mafusailmagoga
Задачи бывают очень разные.
Скажем вам нужно VPN сделать на роутере или шлюзе.
Если у вас 1-2 пользователя - то это дело потянет Микротик легко.
Если у вас 50 пользователей - вам для этого нужен настоящий компьютер.

Я бы разделил роли.
DHCP довольно небольшая нагрузка.
Зачем её пихать на сервер?
Пусть будет на роутере.

DHCP нужно пихать на сервер если есть какая то веская причина.
Скажем у меня это на сервере, так как нужна интеграция с DHCP+BOOTP (или PXE - не помню уже, 100 назад настраивал)

А для серверов желаю вам изучить технологию виртуализации. ESX, Xen, KVM.
Позволяет здорово упросить оживление сервера в случае чего.

Вполне можно раздавать DHCP прямо с роутера из внешнего мира который связь дает.
Они сейчас довольно совершенны в этом плане.

Но с другой стороны, если вы заходите кого то лимитировать, отрезать от интернета,
то, возможно вам такой вариант и не подойдет.
Ответ написан
Aleksei-Shelepov
@Aleksei-Shelepov
Как уже отметили всё весьма индивидуально и зависит от имеющихся ресурсов, задач, планов на будущее и прочего.
Если мы предполагаем небольшой офис, сильную ограниченность по деньгам и другим ресурсам, то я бы сделал что-то вроде этого:
(1) Внешний роутер -> (2) Управляемый коммутатор -> (3) Компьютеры
                                     |
                        (4) Сервер AD + DHCP + ...

Сервер с двумя сетевыми портами выставлять в интернет одним из портов плохо, потому что потенциальный злоумышленник получает доступ ко многим внутренним ресурсам, взломав лишь один сервер, который, судя по всему, на Windows.
Внешний маршрутизатор пусть делает то, что умеет лучше всего - маршрутизирует. То есть балансировка по двум провайдерам, например, динамическая маршрутизация и т.п. Настраиваются как минимум широкие простые правила файрвола (ACL).
На коммутаторе настраиваются несколько vlan и желательно тоже ACL. Распределение по vlan на основе выполняемых функций. Сервера отдельно, конечно.
Функции внутренних сервисов лучше разделить на несколько серверов. Например, если нужен прокси-сервер, и если есть такая возможность, то лучше использовать отдельный сервер. Засунуть его в отдельный vlan, с чёткими ACL, получится некая DMZ.
Ну а потом покупаем ещё хороший файрвол...
Ответ написан
Комментировать
@Dobryak88
Системный администратор
IMHO, что бы ни говорили крутые специалисты, но в первую очередь всё упирается в ресурсы: деньги на железо и лицензии, место для размещения всего оборудования. Если есть в наличии или возможность приобрести только один сервер + одна лицензия на ОС, то естественно всё придётся ставить на одном, если есть ресурсы, то вариантов много.

DHCP сервис малотребовательный, особенно для небольших сетей. Виндовый по соседству с AD/DNS меня ещё ни разу не подводил, но ни разу не подводил также и DHCP на базе pfSense или домашних роутеров (Zyxell/Asus).
Если почтовый сервер находится в локальной сети, то для него я бы посоветовал выделить отдельную машину (хотя бы виртуальную) и отдельный IP-адрес, чтобы зараженный клиентский компьютер или личный смартфон сотрудника в локальной сети не подставлял адрес под антиспам фильтры. Дополнительный адрес у многих провайдеров стоит копейки.
В целях экономии файл-сервер можно прикрутить на контроллере, но может возникнуть неприятная ситуация с закончившимся свободным местом, бэкапами или вредоносом из пользовательской папки. Если есть возможность: на виртуалку или на отдельную железку.
Ответ написан
Комментировать
ushliy
@ushliy
nix-админ
Мой вариант: провайдер приходит в слабый сервер, на котором спокойно живет линукс (точно не помешает освоить), нормально настроенный iptables и fail2ban, которые дадут представление о работе маршрутизатора, там же dhcp+dns+vpn, можно и прокси какой-нить поднять. Squid вполне себе функционален. Из него в коммутатор выходит пара аплинков для внутренней сети. Сейчас AD уже вполне неплохо дружит с линуксами, поэтому авторизацию в том же сквиде сделать не проблема. Ну и плшки типа вланов настроить тоже несложно, что опять же даст практический опыт. К слову, в микротике тот же самый embedded-linux, даже не особо embedded. Готовые сборки типа pfsense - странное решение, потому что чтобы оно нормально работало постоянно нужно патчить, установка нового пакета, как правило, вызовет необходимость обновления, опять же патчей, извращенная некрофилия в общем. Веб интерфейс вырвиглазный. Ну и для небольшой организации exchange - оверхед. имхо.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы