Корпоративная сеть из трех офисов: как организовать?

Question

[nagatofm]

Есть три офиса (далее: офис1, офис2 и офис3), два из них (офис1 и 2) находятся в соседних помещениях и между ними прокинут сетевой кабель, третий доступен через VPN.

В каждом из офисов стоит сервер (DHCP, терминальный сервер и SQL база), толстые и тонкие клиенты, принтеры, вай-фай точки. Соседние офисы (1 и 2) подключены к интернетам через один DSL-модем, установленный в центральном (офис 1). В офис3 выход в интернет свой. Сейчас все это находится в одном диапазоне (192.168.0.xxx) и создает кучу неприятностей.

Планируется разбить сеть на подсети по географическому признаку (по подсети на офис). Как при таком подходе организовать общий интернет для офис1 и офис2 и доступный из любой подсети компьютер бухгалтера (на нем крутится 1C)?

Comments

[nagatofm]

Текущая схема сети. VPN используется исключительно для перебрасывания документов из удаленного офиса (№3) в локальную файлопомойку и ОЧЕНЬ (!) редкого использования 1С. VPN от провайдера, так что на нашей стороне имеем только два модема.

[nagatofm]

UPD: Окей, с топологией сети разобрался благодаря фантазии и серии статей "Сети для самых маленьких". Остается вопрос: как настроить маршрутизацию в удаленном офисе? В той же самой серии статей весь трафик удаленного офиса через VPN идет на маршрутизатор (он же выступает шлюзом по-умолчанию). Мне кажется такой вариант несколько странным, т.к. через узкий канал VPN (в моем случае: 2Mbit/s) пускать весь трафик в шлюз по-умолчанию, который по решению маршрутизатора должен уйти обратно в тот же удаленный офис на ADSL-модем (где канал около 10Mbit/s) не кажется хорошим решением.
Из идей только установка еще одного l3-коммутатора в удаленном офисе, который уже будет решать, пускать трафик в VPN (на маршрутизатор двух оставшихся офисов) и, соответственно, в локальную сеть, или в интернет через ADSL-модем.

Answer 1

[Николай Турнавиотов]

в принципе где какие сети/подсети не так важно. потому что если делать грамотно то это уже роли не играет.
я бы делал например так:
офис1
10.1.2.0/влан2 - менеджмент - свичи, коммутаторы
10.1.3.0/влан3 - сервера
10.1.4.0/влан4 - офисные станции/принтера
10.1.5.0/влан5 - внутрений вифи
10.1.6.0/влан6 - впн клиенты на офис из дому
10.1.7.0/влан7 - внп сетки на другие офисы
10.1.8.0/влан8 - открытый вифи
10.1.9+.0/влан9+ остальное - всякие кластеры, тестовые лабы и прочий хлам.

по аналогии остальные офисы,
только для офис2 -
10.2.х.х и 10.3.х.х

ну и в 10.1.7.0 выгнал маршрутизацию между офисами, чтобы там были
.1 - роутер первого офиса, .2 второго, .3 третьего

ну а клиентам вообще пофигу - у них есть дефолт роут на гейтвей, а он уже сам трафик куда надо гоняет между офисами

Answer 2

[svd71]

настраиваите сеть категории В. гэтвэй должен быть настроен на компьютер с соединением с Интернетом и виртуальной сетью. на этом компьютере устанавливаете гэйтвей на виртуальную сеть. все неизвестные адреса будут направляться на гэйтвей, то есть в vpn.

но га самом деле лучше организовывать бридж. ьогда пропускная способность будет выше.

Comments

[nagatofm]

То есть, грубо говоря, создаются 4 VLAN'а: по VLAN'у на офис и один на сервера + 1С (компьютер бухгалтера), в VLAN'е высшего уровня (с серверами который) шлюз по-умолчанию идет на модем, а во всех низших VLAN'ах -- на маршрутизатор?

[svd71]

примерно так.

[Александр Чекалин]

@svd71 А что такое сеть категории B? Бридж может оказаться быстрее, но весь паразитный трафик полетит через VPN - тут надо оценивать, стоит ли оно того. Бридж - чтобы сеть не ощущала, что есть разрыв, а здесь есть физическое и логическое деление, так что лучше маршрутизацией.

Answer 3

[Сергей]

Эмм. Начнем с простого. Если 1с валяется файловой базой и имеет приличный размер ... то возникает 2!! проблемы.

1. Нужен хороший впн сервер. Дабы он был во состоянии протолкнуть шифруя такй объем и быстро. Тут нужно смотреть в сторону асы от циски,
2. Для этого нужна стабильная линия с широким каналом. А не адсл.

Comments

[nagatofm]

VPN от провайдера. Им пользуются, в основном, только чтоб документы на сетевую файлопомойку перебрасывать. Все остальное -- исключительные случаи.

Answer 4

[kodi]

@nagatofm
А зачем Вам в каждом офисе свой терминальный и sql сервер? Если для 1с, то не проще все на одном завести и пользователей через терминал цеплять к нему. В результате впн не будет так сильно забиваться.

Comments

[nagatofm]

Повторяю: VPN используется только для передачи документов на файлопомойку, находящуюся в главном офисе, из удаленного офиса. Терминальный сервер в каждом офисе, потому что почти все машины -- тонкие клиенты. SQL необходим для работы ключевого приложения и используется только в локальной сети (никакого трафика через VPN).