Задать вопрос
@AlexanderSuz

Разделить два провайдера на разные (коммутаторы) сети?

Доброго времени суток, возник вопрос с разделением сети, так как придя в одну фирму, у них здесь творится непонятно что

Что мы имеем сейчас:

Сейчас творится ад, приходит 2 провайдера. через PPPoE (ip динамика, возможно в дальнейшем удастся взять статичный ip)

ISP1 - провайдер уходит на wi-fi роутер на котором и поднято подключение по PPPoE. Потом этот инет уходит на 3 других wi-fi роутера в офисе, так и сидят сотрудники. 
ISP2 - уходит на wi-fi роутер бухгалтеров на котором тоже поднято подключение по PPPoE, Потом инет уходит по проводам от этого роутера на бухгалетрские компы

Сейчас что я хочу сделать: 

srv1 с AD доменом, dhcp, принт сервер, зеркало обновления антивиря и мелочь.
vpn сервер на вируталку поднятую на srv1
srv2, репликация данных с 1 сервера, и по мелочи задачи.
srv3, под сетевой рендер макса или полноценно для ревит сервера, или как то совместить, это посмотрим.
NAS сервер отдельно, для бэкапа важных данных.

Из железок для сети, что куплено (увы, что то докупить пока нет возможности)

1. Mikrotik RB3011UiAS-RM
2. SNR-S2985G-48T
3. SNR-S2982G-24T

Задача:

На микротике разделить инет офис/бухгалтерия (офисные сотрудники все на isp1, бухи на своём канале на isp2)

srv1 с AD доменом, желательно через него dhcp настроить для офиса.
(Получается инет приходит на Микротик eth1, PPPoE подключение срабатывает, уходит на порт eth2, с которого идёт в srv1, там в 1 сетевуху настройка dhcp и прочего берётся, и из 2 сетевухи уже идёт в коммутатор snr 48 портовый).

dhcp для бухов будет сам микротик раздавать.

srv1 с AD и nas (для бэкапа) должны иметь доступ к бухам и их вилану.
(для возможности удалённой помощи)

На 48 портовом SNR, будут весить сервера/принтеры/wi-fi/мониторинг юпс и что то может ещё (по подсчётам 48 портов уже заняты)

На 24 портовом SNR, 6 портов уходят в офис, так как докупили принтеры и пару ПК, 6 портов уходят для бухов.
(12 портов остаются в резерв)

На 24 портовом уже 6 портов бухов загнал для теста в VLAN. Имеет ли смысл загонять все порты из 48 SNR и оставшиеся 6 портов из 24 SNR в единый vlan для офиса?

Возможно, в дальнейшем какой то отдел потребуется загнать в отдельный вилан.
Кто-то оргтехнику загоняет, кто-то wi-fi, кто то сервера старается загнать в отдельные виланы
(подскажите как лучше сделать и разделить)

Извиняюсь за сумбурность. Если где-то нужно дописать, допишу.

Надеюсь поможете всё раскидать правильно с настройками и конфигами для моего случая.
  • Вопрос задан
  • 1077 просмотров
Подписаться 3 Простой 12 комментариев
Пригласить эксперта
Ответы на вопрос 3
jamakasi666
@jamakasi666
Просто IT'шник.
Что то вы мудрите слишком сильно. Тут сейчас будет количество людей= количеству вариантов, так же все сильно зависит от рассадки персонала\кабинетов\планировки кабинетов.
С моей колокольни и реалий рассадки я бы разделил так:
Как предпосыл, яб набрал побольше железа пусть и более дешевого.
1) все все все, что связанно с бухами в свою подсеть, на свой свитч. Т.е. компы\принтеры\сервер бухов.
2) отдельная сеть для прочих серверов которые юзают все или всё.
3) отдельная сеть для wifi, отдельно для видеонаблюдения.
4) отдельная сеть "прочая" где все остальные.
Между всем этим тупое разграничение правилами фаирвола или фаирволов в идеале(т.е. каждой сетью рулит своя железка, даже микротик).
Но опять же, это мой случай. У нас все бухи сидят на одном этаже в 3х соседних кабинетах как пример. Если у вас 1 кабинет на одном этаже , второй на 5 этажей выше а еще пара рандомно находится то тут однозначно вланы. Главное помнить что чем сложнее схема, особенно с вланами, тем сложнее потом будет это контролировать, искать проблемы, прокидывать, особенно если люди обслуживающие это меняются и особенно не документируют. В этом плане раздельные подсети гораздо проще.
Ответ написан
@Drno
Александр. Моё лично мнение такое.
DHCP - всё на микротике. создаем неск подсетей, и оттуда управляем. На srv1 сотавляем всё кроме dhcp и шлюза.

srv1 с AD и nas (для бэкапа) должны иметь доступ к бухам и их вилану.
(для возможности удалённой помощи)

Этот вопрос решается ip>routes на самом Микротике. доступы поп подсетям.

Нафиг Вланы -накладные расходы. просто поделите сети на микротике, в роутах сделайте нужные маршруты...
допустим - с SRV и компов админа доступ разрешен, с других IP - запрещен(если надо так прям жестко разграничить безопасность)

Т.к. имеете разные подсети, 2 провейдера - задайте маркировкой тарффика движение в инет. по модели - подсеть 192.168.0.1 >>> маркировка>>>ISP1
подсеть 192.168.0.2 >>> маркировка >>>ISP2

Имеем - доступность серверов с любой подсети\пк(ограничения сами поставите_), разделения инетов для разных подразделений, управление всем с микротика...
Ответ написан
@graf_Alibert
Настраиваете PPPoE Client для ISP1 и для ISP2, создаете bridge1 и bridge2 для будущих подсетей, добавляете в них необходимые порты и NAT-ите ISP1 в первый bridge, а ISP2 во второй.
DHCP server так же настраивается для каждого bridge, а при необходимости можно добавить и vlan.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы