информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsЗа кого нас держат?Портрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Logitech готовится закрыть очередную... 
 Серьёзная атака на инфраструктуру... 
 Microsoft призналась в сознательном... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
В последней конторе делали так: 16.07.07 01:01  Число просмотров: 2504
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 16.07.07 01:07  Количество правок: 4
<"чистая" ссылка>
В последней конторе делали так:
свитч с поддержкой vlan ("разделение эфира", иначе компы в ethernet будут друг друга и => можно будет настроить доступ машин друг к другу мимо админа), топология такая:
  R
  |
  S
 ___| |
A B C

---
A B C - клиентские свитчи\компы,
S - Dlinkовский свитч с поддержкой vlan (цену не знаю, от 30уёв по-моему, может и дешевле)
R - комп, выполняющий функцию маршрутизатора - FreeBSD с со статическими маршрутами или поддержкой vlan в ядре. Железо - аж Pentium I ;)
Можно обойтись просто компом с виндой + Kerio + статические маршруты на ней.
<networking>
Организация локалки и выхода в инет, нид хелп 15.07.07 22:06  
Автор: jiZo <Александр> Статус: Member
<"чистая" ссылка>
Разъясните и подскажите пожалуйста нубу в сетевом администрировании))
Есть организация в которой 60-70 машин. Мысль такая: разбиваем локалку на подсети 192.168.10.x/27, получаем 8 подсетей, отделы разбиваем по подсетям. Дальше по замыслу нужно всему этому делу предоставить выход в интернет по ADSL причем так, чтобы одной подсети я мог вручную разрешать/запрещать доступ на некоторое время при этом ограничивая трафик на всю данную подсеть, вторая бы имела постоянный доступ в интернет и была бы так же ограничена в трафике, третья бы имела только мыло и т.п. И при этом требуется, чтобы подсети не видели друг друга, одна подсеть могла видеть вторую и обратно и одна, которая бы видела всех.
Всвязи с чем у меня вопрос. Куда копать? Какое оборудование для этого нужно? Можно ли просто обойтись маршрутизатором, и если да то каким, или нужно поднимать сервак и т.п.? Заранее примного благодарен.
Надеюсь нет отделов с количеством компов более 32 шт. 16.07.07 11:13  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 16.07.07 11:14  Количество правок: 2
<"чистая" ссылка>
> Разъясните и подскажите пожалуйста нубу в сетевом
> администрировании))
> Есть организация в которой 60-70 машин. Мысль такая:
> разбиваем локалку на подсети 192.168.10.x/27, получаем 8
> подсетей, отделы разбиваем по подсетям. Дальше по замыслу

Надеюсь нет отделов с количеством компов более 32 шт.
Тяжело понять смысл этой процедуры. Если только запрещать/разрешать выход в инет. Зачем для этого на сети разбивать.
Если отделов около 8, то лучше так: адресный пул сети класса С бьем по 32, 192.168.0.1-192.168.0.31 прод шлюз,серваки, автоматизаторов, 192.168.0.32-192.168.0.63 под первый отдел и т.д. через статику или DHCP по макам, но маску оставляем 24! В этом случае остается возможность чтобы компы видели друг друга и серваки без лишних шлюзов и маршрутизаторов, и админ будет легко видеть всех напрямую.
Даже в АтГварде (крошечный файрвол, который пользую) есть включение правил по времени/расписанию, а в правиле можно задать диапазон адресов. Что-то подобное и ставим на шлюз.
Касаемо разделения доступа отдела к отделу, то это следует решать не на уровне АиПи, а намного выше.

> нужно всему этому делу предоставить выход в интернет по
> ADSL причем так, чтобы одной подсети я мог вручную
> разрешать/запрещать доступ на некоторое время при этом
> ограничивая трафик на всю данную подсеть, вторая бы имела
> постоянный доступ в интернет и была бы так же ограничена в
> трафике, третья бы имела только мыло и т.п. И при этом

Еще Тметер на шлюз поставить надо.

> требуется, чтобы подсети не видели друг друга, одна подсеть
> могла видеть вторую и обратно и одна, которая бы видела
> всех.

Вам что, жалко что они пинганут друг друга? Если комп слишком персональный и админ его "не админит", то что он там и кому у себя разрешит - его проблема, но чтоб он сам куда залез - паролики надо знать, причем без разницы будь то со своего компа (ноутбука, например), будь то с корпоративного.

> Всвязи с чем у меня вопрос. Куда копать? Какое оборудование
> для этого нужно? Можно ли просто обойтись маршрутизатором,
> и если да то каким, или нужно поднимать сервак и т.п.?

И ни чего для этого не надо. В противном случае можно усложнить жизнь только себе. А разделять доступ следует не на протоколах низкого уровня. А сетка должна быть достаточно хорошо защищена и из нутри от инсайдеров. Расслабляться и давать всем админские права нельзя.

> Заранее примного благодарен.
Нету отделов > 32, но дело, имхо, чуть сложнее 16.07.07 12:10  
Автор: jiZo <Александр> Статус: Member
Отредактировано 16.07.07 12:11  Количество правок: 1
<"чистая" ссылка>
> Если отделов около 8, то лучше так: адресный пул сети
> класса С бьем по 32, 192.168.0.1-192.168.0.31 прод
> шлюз,серваки, автоматизаторов, 192.168.0.32-192.168.0.63
> под первый отдел и т.д. через статику или DHCP по макам, но
> маску оставляем 24! В этом случае остается возможность
> чтобы компы видели друг друга и серваки без лишних шлюзов и
> маршрутизаторов, и админ будет легко видеть всех напрямую.
> Даже в АтГварде (крошечный файрвол, который пользую) есть
> включение правил по времени/расписанию, а в правиле можно
> задать диапазон адресов. Что-то подобное и ставим на шлюз.
> Касаемо разделения доступа отдела к отделу, то это следует
> решать не на уровне АиПи, а намного выше.

собираюсь DHCP по макам

> > нужно всему этому делу предоставить выход в интернет
> по
> > требуется, чтобы подсети не видели друг друга, одна
> подсеть
> > могла видеть вторую и обратно и одна, которая бы
> видела
> > всех.
>
> Вам что, жалко что они пинганут друг друга? Если комп
> слишком персональный и админ его "не админит", то что он
> там и кому у себя разрешит - его проблема, но чтоб он сам
> куда залез - паролики надо знать, причем без разницы будь
> то со своего компа (ноутбука, например), будь то с
> корпоративного.
Ну как сказать, в общем жалко :) Просто два, назовем их, отдела имеют по 20 машин которые неконтролируется и доступ к которым есть у абсолютно левых людей, причем некоторые из них заинтересованы в информации и т.п. находящиеся в др. отделах. Лучше перестраховаться.

> И ни чего для этого не надо. В противном случае можно
> усложнить жизнь только себе. А разделять доступ следует не
> на протоколах низкого уровня. А сетка должна быть
> достаточно хорошо защищена и из нутри от инсайдеров.
> Расслабляться и давать всем админские права нельзя.
>
Вот как раз я и хочу сделать как проще... что бы и надежно и после наладки всего этого дела жизнь заметно бы упростилась.
Сейчас здесь примерно так, как Вы описали, только все очень запущенно и более криво сделано, безопасность и все остальное не то что 0, а в минусе вообще.

Вариант предложенный Ustin меня заинтересовал, простой, надежный, реальный.... Изначально сам хотел примерно такой вариант, только вместо комутатора с vlan воткнуть маршрутизатор и маршрутизацией отгородить подсети и т.п. Но не знал в принципе насколько это реально и какое оборудование для этого нужно.
Вланить будет существенно дешевле 20.07.07 23:11  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
> только вместо комутатора с vlan воткнуть
> маршрутизатор и маршрутизацией отгородить подсети и т.п. Но
> не знал в принципе насколько это реально и какое
> оборудование для этого нужно.
Блин, если компы находятся в одной ethernet, то каждый 8классник может сделать
route add прямой_маршрут_до_целевого_компа_минуя_шлюз_и_файрвол_на_нём в течение 30 секунд. Поэтому для обеспечения прохождения всех пакетов через центральный роутер необходимо иметь число ethernetов равное числу отделов.
Сделать это можно 3мя путями:
1) Купить жирнейший маршрутизатор с огромным числом сетевых портов и запрограммировать его (8 портов - не так уж и много, но в общем случае такая конструкция не расширябельна)
2) Натыкать в комп килограмм (по числу отделов + внешняя) сетёвок и поднять на нём маршрутизацию. Не дёшево (комп-то нужен с местом, куда пихать эти сетёвки) и совершенно нерасширябельно
3) Купить свитч с поддержкой влан, в портмэнэджмент воткнуть хилинький комп и поднять на нём биллинг и роутинг. А можно и только биллинг, развланив доступ на свитче так, как нам хочется.
Пока вижу только два варианта: 16.07.07 16:37  
Автор: Den <Denis> Статус: The Elderman
Отредактировано 16.07.07 16:37  Количество правок: 1
<"чистая" ссылка>
Пока вижу только два варианта:

Самое оптимальное, но не самое дешевое решение - управляемый коммутатор 3-го уровня с валанами и жесткая привязка на коммутаторе порт->MAC->IP.
В этом случае можно обойтись маршрутизатором с двумя интерфейсами (один LAN и один WAN)
В этом случае, центральный DHCP бесполезен.

Если финансы не позволяют, то можно использовать неуправляемые коммутаторы 2-го уровня (свой на каждую подсеть) и low-level сервачек в качестве маршрутизатора с кол-вом сетевух по кол-ву подсетей + 1WAN.
В данном случае можно использовать центральный DHCP, но при обязательном резервировании MAC на IP для каждого хоста, использующего DHCP.
Так, здесь ясно, но если вместо маршрутизатора использовать... 16.07.07 17:12  
Автор: jiZo <Александр> Статус: Member
<"чистая" ссылка>
> Пока вижу только два варианта:
>
> Самое оптимальное, но не самое дешевое решение -
> управляемый коммутатор 3-го уровня с валанами и жесткая
> привязка на коммутаторе порт->MAC->IP.
> В этом случае можно обойтись маршрутизатором с двумя
> интерфейсами (один LAN и один WAN)
> В этом случае, центральный DHCP бесполезен.
>
Так, здесь ясно, но если вместо маршрутизатора использовать для маршрутизации сервак?
Раньше по построению сетей так глубоко не залезал, уж простите если туплю, но возник опрос по поводу жесткой привязки на комутаторе порт->MAC->IP. Я так понял что все машины подсети вешаются на простой комутатор, не управляемый, а он идет на порт управляемого, где под этот порт в нем жестко заносятся MAC->IP всех машин в подсети?
А выдовать серваком посредством DHCP адреса привязаные к MAC машинам подсети уже не выйдет? Или я чего то не понимаю?

> Если финансы не позволяют, то можно использовать
> неуправляемые коммутаторы 2-го уровня (свой на каждую
> подсеть) и low-level сервачек в качестве маршрутизатора с
> кол-вом сетевух по кол-ву подсетей + 1WAN.
> В данном случае можно использовать центральный DHCP, но при
> обязательном резервировании MAC на IP для каждого хоста,
> использующего DHCP.
Это первое что пришло в голову :) но я не смогу найти мать с 8 pci для установки туда стольких сетевух, даже не 8, а 10. Да и выглядит это как-то топОрно
Легко! 16.07.07 17:26  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 16.07.07 17:29  Количество правок: 3
<"чистая" ссылка>
> Так, здесь ясно, но если вместо маршрутизатора использовать
> для маршрутизации сервак?

Легко!

> Раньше по построению сетей так глубоко не залезал, уж
> простите если туплю, но возник опрос по поводу жесткой
> привязки на комутаторе порт->MAC->IP. Я так понял что

Не следует использовать такую привязку, хоть это возможно теоретически и где-то реализовано практически.
Вы покупаете билет на поезд, а там еще пробивают серийный номер вагона. Если что не совпадает - извините :-), зато меньше подделок будет.

> А выдавать серваком посредством DHCP адреса привязаные к
> MAC машинам подсети уже не выйдет? Или я чего то не
> понимаю?

Сервак ищется и адреса через броадкаст запрашиваются. Сервак направляет пакет с адресом конкретному маку. На коммутаторе можно только либо порт задисэйблить, либо конкретный мак к порту привязать и он не будет совпадать с целевым маком. Только в этом случае не пройдет.

> Это первое что пришло в голову :) но я не смогу найти мать
> с 8 pci для установки туда стольких сетевух, даже не 8, а
> 10. Да и выглядит это как-то топОрно

Есть многопортовые сетевые платы, а можно через УСБ, УСБ-хаб, УСБ-2-Эзернет (дешевый).
Спасибо, разъяснили, но есть еще 1 непонятка 16.07.07 17:58  
Автор: jiZo <Александр> Статус: Member
<"чистая" ссылка>
Не совсем ясно только с этим:
> Сервак ищется и адреса через броадкаст запрашиваются.
> Сервак направляет пакет с адресом конкретному маку.
> На коммутаторе можно только либо порт задисэйблить, либо
> конкретный мак к порту привязать и он не будет совпадать с
> целевым маком. Только в этом случае не пройдет.
Брбрбр.... т.е. пакет с адресом до конкретного мака не дойдет чтоли?
Толи мы сейчас о разных вещах говорим толи я продолжаю тупить. Машина делает запрос широковещательно. Между компом и серваком стоит обычный комутатор, на которыом висят все машины подсети и этот комутатор висит на комутаторе с vlan, который запрещает пересечения с другими портами кроме сервачного. Запрос в сторону сервака коснется машин в одной подсети с ней и сервака. Cервак направляет пакет с адресом в обратном направлении нужной машине. Машина не получит адрес чтоли?
Если компу сказано получать адрес динамически, то он, не... 17.07.07 10:59  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Не совсем ясно только с этим:
> > Сервак ищется и адреса через броадкаст запрашиваются.
> > Сервак направляет пакет с адресом конкретному маку.

Если компу сказано получать адрес динамически, то он, не зная ни АйПи адрес ни даже МАК адрес DHCP сервера посылает широковещательный пакет с запросом (МАК получателя все "1", МАК отправителя - свой МАК). Сервак пошлет ответ с адресом и другими параметрами уже на конкретный МАК, с которого пришел запрос, потому что глупо отвечать таким же широковещательным, ни кому больше этот пакет не нужен, только сеть засорять.

> > На коммутаторе можно только либо порт задисэйблить,
> либо
> > конкретный мак к порту привязать и он не будет
> совпадать с
> > целевым маком. Только в этом случае не пройдет.
> Брбрбр.... т.е. пакет с адресом до конкретного мака не
> дойдет чтоли?

Это два случая, почему может не сработать динамическое назначение адреса. В остальных дойдет.

> Толи мы сейчас о разных вещах говорим толи я продолжаю
> тупить. Машина делает запрос широковещательно. Между компом
> и серваком стоит обычный комутатор, на которыом висят все
> машины подсети и этот комутатор висит на комутаторе с vlan,
> который запрещает пересечения с другими портами кроме
> сервачного. Запрос в сторону сервака коснется машин в одной
> подсети с ней и сервака. Cервак направляет пакет с адресом
> в обратном направлении нужной машине. Машина не получит
> адрес чтоли?

Есть различные способы разбиения сети на свитчах, управляемых на втором уровне.
1) Приписывание МАКов к портам. Это типа файрвола на третьем уровне. Комментариев не будет.
2) Прописывание портам с какими портами они могут коммутироваться, а с какими нет.
3) Разбивание свитча на несколько. Это частный случай второго способа. Например на 16 портовом свитче можно сделать так чтоб первые 8 коммутировались только между собой, а 9-16 только между собой. Получаем два логических (виртуальных) свитча, не смотря на то, что это физически все-таки один свитч.
Еще раз спасибо 17.07.07 11:55  
Автор: jiZo <Александр> Статус: Member
<"чистая" ссылка>
> Есть различные способы разбиения сети на свитчах,
> управляемых на втором уровне.
> 1) Приписывание МАКов к портам. Это типа файрвола на
> третьем уровне. Комментариев не будет.
> 2) Прописывание портам с какими портами они могут
> коммутироваться, а с какими нет.
> 3) Разбивание свитча на несколько. Это частный случай
> второго способа. Например на 16 портовом свитче можно
> сделать так чтоб первые 8 коммутировались только между
> собой, а 9-16 только между собой. Получаем два логических
> (виртуальных) свитча, не смотря на то, что это физически
> все-таки один свитч.

В общем, это и хотелось узнать. Вариант 2 ближе всего мне подходит.
Теперь осталось определиться с конкретными комутаторами
D-Link <DES-2110> - http://www.nix.ru/autocatalog/d_link/D-Link_DES-2110_8UTP_1000BASE-T_SFP_32974.html
Оный коммутатор справится? Вроде и цена приемлимая и по функциям то что надо.
Пошел читать Олиферов :)
Дорогой. Бренд все-таки. Умный по полной программе... 17.07.07 12:43  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> В общем, это и хотелось узнать. Вариант 2 ближе всего мне
> подходит.
> Теперь осталось определиться с конкретными комутаторами
> D-Link <DES-2110> -
> http://www.nix.ru/autocatalog/d_link/D-Link_DES-2110_8UTP_1
> 000BASE-T_SFP_32974.html
> Оный коммутатор справится? Вроде и цена приемлимая и по
> функциям то что надо.
> Пошел читать Олиферов :)

Дорогой. Бренд все-таки. Умный по полной программе. Интересно, какая у него латентность. Восмипортовик полностью гигабитник можно и за 20 долларов купить, но нонэймовый и неуправляемый.

http://www.dlink.ru/products/prodview.php?type=13&id=458
Здесь не забываем, что чем круче секъюрити, тем больше... 16.07.07 16:54  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Самое оптимальное, но не самое дешевое решение -
> управляемый коммутатор 3-го уровня с валанами и жесткая
> привязка на коммутаторе порт->MAC->IP.
> В этом случае можно обойтись маршрутизатором с двумя
> интерфейсами (один LAN и один WAN)
> В этом случае, центральный DHCP бесполезен.

Здесь не забываем, что чем круче секъюрити, тем больше геморроя при администрировании.
Любая замена оборудования, перенос/переезд компов, апгрейд, замена сгоревших сетевух, закупка новых приведет к большому количеству привязок. На помощь придет DHCP сервак, чтоб не надо было бегать и прописывать все на самом компе, но в любом случае, хоть и не отрывая %опу от стула надо будет все прописать и на серваке и на коммутаторе.
+1 16.07.07 16:58  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Но тогда это больше похоже на второй вариант, когда на маршрутизаторе нужно использовать кол-во интерфейсов по кол-ву подсетей.
А у крупных провайдеров могут стоять Циски на несколько десятков портов. 16.07.07 17:32  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
Могут... Но Err похоже не у провайдера. 16.07.07 19:11  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Как то все там у вас запущено. 16.07.07 16:09  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 16.07.07 16:11  Количество правок: 3
<"чистая" ссылка>
> собираюсь DHCP по макам
> Ну как сказать, в общем жалко :) Просто два, назовем их,
> отдела имеют по 20 машин которые неконтролируется и доступ
> к которым есть у абсолютно левых людей, причем некоторые из
> них заинтересованы в информации и т.п. находящиеся в др.
> отделах. Лучше перестраховаться.

Что-то там у вас неправильно. Доступ к машинам есть у левых людей, все знают, что конкуренты из соседнего отдела заинтересованы в хищении информации и хотят, чтоб все защищено было.
Конечно можно решить все и маршрутизатором, можно и Вланами, можно еще проще, несложным управляемым свитчем, то есть на втором уровне ОСИ. Только все равно в каждом отделе своя сетка должна быть, то есть по хабу и комп каждого отдела в свой хаб подключен. Тогда у свитча первый порт к интернету, второй к хабу отного отдела, третий порт к хабу другого отдела. В настройках свитча разрешаем коммутацию первого порта со вторым и первого порта с третим, а второго с третим запрещаем.

> Сейчас здесь примерно так, как Вы описали, только все очень
> запущенно и более криво сделано, безопасность и все
> остальное не то что 0, а в минусе вообще.

Все равно, сетки так запускать не следует.
Ну вот так блин, щас приходится разгребать 16.07.07 16:52  
Автор: jiZo <Александр> Статус: Member
<"чистая" ссылка>
> Все равно, сетки так запускать не следует.

Ну дык там сидело в сисадминах 2 старпера которые еще Мамая помнят и кроме Win98 ничего не признают....
В последней конторе делали так: 16.07.07 01:01  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 16.07.07 01:07  Количество правок: 4
<"чистая" ссылка>
В последней конторе делали так:
свитч с поддержкой vlan ("разделение эфира", иначе компы в ethernet будут друг друга и => можно будет настроить доступ машин друг к другу мимо админа), топология такая:
  R
  |
  S
 ___| |
A B C

---
A B C - клиентские свитчи\компы,
S - Dlinkовский свитч с поддержкой vlan (цену не знаю, от 30уёв по-моему, может и дешевле)
R - комп, выполняющий функцию маршрутизатора - FreeBSD с со статическими маршрутами или поддержкой vlan в ядре. Железо - аж Pentium I ;)
Можно обойтись просто компом с виндой + Kerio + статические маршруты на ней.
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach