Tomsk Sysadmins Forum

Windows => Администрирование => Topic started by: Fedor on May 07, 2008, 13:56:38

Title: Модель сеть в сети
Post by: Fedor on May 07, 2008, 13:56:38
Тут над одной задачей думаю.
Вот в чём суть.
Будет одна сеть с адресами например 192.168.0.1-192.168.0.50, компьютеры из этой сети будут выходить в интернет через сервер который будет настроен как прокси сервер.
В этой сети будет ещё один сервер в которой будет два сетевых интерфейса. На нём будет запущен AD и терминал. На внешнем интерфейсе будет ip 192.168.0.50 например. Этот сервер будет сервером бухгалтерии. Сетки друг друга видеть не будут. Как правильно настроить DNS на сервере бухгалтерии, какие лучше ip назначить.
Title: Модель сеть в сети
Post by: never hood on May 07, 2008, 14:10:26
Суть в изложении сути просматривается нечетко.
Если исходить из догадок, то можно предложить поднять DNS на сервере бухгалтерии, в котором правильно прописать forwarders, т.е. внешние DNS-сервера, которые и будут реально использоваться. Т.е. сервер бухгалтерии будет играть роль прокси-сервера для DNS-запросов.
Ну и, возможно, на нем стоит прописать свои собственные зоны.
Title: Модель сеть в сети
Post by: anovo on May 07, 2008, 14:32:54
Quote from: Fedor
Тут над одной задачей думаю.
Вот в чём суть.
Будет одна сеть с адресами например 192.168.0.1-192.168.0.50, компьютеры из этой сети будут выходить в интернет через сервер который будет настроен как прокси сервер.
В этой сети будет ещё один сервер в которой будет два сетевых интерфейса. На нём будет запущен AD и терминал. На внешнем интерфейсе будет ip 192.168.0.50 например. Этот сервер будет сервером бухгалтерии. Сетки друг друга видеть не будут. Как правильно настроить DNS на сервере бухгалтерии, какие лучше ip назначить.
Вот уж определитесь, что надо-то   Какой-то сумбур в целом - микс серверов/сервисов/IP-адресов. Разложите уж тогда по уровням ISO/OSI свою задачу и опишите здесь, чтобы телепатов не привлекать   Либо отвлекитесь на время от "низких" представлений (IP-адреса к примеру) в пользу "более высоких" (сервисы - AD/1C/TS/DNS, разделение доступа к этим сервисам) и излагайте  
Title: Модель сеть в сети
Post by: Fedor on May 07, 2008, 16:27:01
Quote from: anovo
Вот уж определитесь, что надо-то   Какой-то сумбур в целом - микс серверов/сервисов/IP-адресов. Разложите уж тогда по уровням ISO/OSI свою задачу и опишите здесь, чтобы телепатов не привлекать   Либо отвлекитесь на время от "низких" представлений (IP-адреса к примеру) в пользу "более высоких" (сервисы - AD/1C/TS/DNS, разделение доступа к этим сервисам) и излагайте  


Да надо было подробнее написать ). Нарисовал так будет быстрее и понятнее. Вообщем вот такая гремучая смесь. Кто как посоветует разрулить
Title: Модель сеть в сети
Post by: zhenya on May 07, 2008, 17:54:36
а цель где на рисунке?
Title: Модель сеть в сети
Post by: never hood on May 07, 2008, 18:07:05
хотелось бы понять, какие цели преследуются?
Сервер 3 - является "слабым звеном" в вашей схеме, при его отказе работа стоящих за ним РС будет невозможна с сервисами других серверов.
Если Сервер3 изолирует сети, то зачем на нем NAT? Дань плохой привычке?
Не ясно из схемы, используете ли вы VLAN'ы?
Если нет, возможен конфликт DHCP серверов.
Вполне хороша классическая схема сегментации внутренней сети за счет VLAN'ов, выделение DMZ, куда поместить proxy, почту и DNS, как минимум, от NAT'а отказаться вообще (ходить через прокси).
Title: Модель сеть в сети
Post by: Fedor on May 07, 2008, 19:46:09
Quote from: never hood
хотелось бы понять, какие цели преследуются?
Сервер 3 - является "слабым звеном" в вашей схеме, при его отказе работа стоящих за ним РС будет невозможна с сервисами других серверов.
Если Сервер3 изолирует сети, то зачем на нем NAT? Дань плохой привычке?
Не ясно из схемы, используете ли вы VLAN'ы?
Если нет, возможен конфликт DHCP серверов.
Вполне хороша классическая схема сегментации внутренней сети за счет VLAN'ов, выделение DMZ, куда поместить proxy, почту и DNS, как минимум, от NAT'а отказаться вообще (ходить через прокси).


Как быть тогда с бухгалтерским софтом, который через прокси работать не умеет ? VLAN настраивал, суть в одной сети две разные или более сетей. Разводил сети на активном сетевом оборудование. Про DMZ знаю только в теории, не приходилось встречаться. Есть какая нибудь литература?
Title: Модель сеть в сети
Post by: Fedor on May 07, 2008, 19:50:41
Quote from: zhenya
а цель где на рисунке?

Цель на рисунке реализовать рисунок ) или сделать чьё нибудь предложение.
Title: Модель сеть в сети
Post by: never hood on May 07, 2008, 20:32:16
Quote from: Fedor
Как быть тогда с бухгалтерским софтом, который через прокси работать не умеет ? VLAN настраивал, суть в одной сети две разные или более сетей. Разводил сети на активном сетевом оборудование. Про DMZ знаю только в теории, не приходилось встречаться. Есть какая нибудь литература?
Убедиться, что действительно не умеет. Для этого тщательно изучить программу и, в случае необходимости, выйти на разработчиков и задать им этот вопрос. Напомнить авторам, если нужно, что бухгалтерский компьютер с прямым доступом к инету - не есть гуд!
Если действительно не умеет и прогресс недостижим (здесь вспомнить, что любые программы, прежде чем их использовать, необходимо соотносить с политикой безопасности предприятия и тем геморроем, который они могут вызвать при внедрении  ), то тогда думать о грамотном "пропуске" данной программы через шлюз. В любом случае одного NAT'а будет достаточно (на внешнем сервере) и делать его только для конкретной машины, на которой он нужен и на те целевые хосты куда нужно обеспечить доступ (здесь масса вариантов - фильтрация по MAC'у, фиксирование ip-адреса на машине или на DHCP, применение VLAN и т.д.). Все остальные через прокси.
Про DMZ, конечно же, масса литературы! Начните с википедии (http://en.wikipedia.org/wiki/Demilitarized_zone_(computing)), не обижайте вниманием гугл.
Суть VLAN несколько шире, чем в вашем описании, но это уже отдельный разговор (Хороший обзор технологии здесь (http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113ed_cr/switch_c/xcvlan.htm)).