Author Topic: Модель сеть в сети  (Read 3177 times)

0 Members and 1 Guest are viewing this topic.

Offline Fedor

  • Full Member
  • ***
  • Posts: 186
  • Karma: +0/-0
Модель сеть в сети
« on: May 07, 2008, 13:56:38 »
Тут над одной задачей думаю.
Вот в чём суть.
Будет одна сеть с адресами например 192.168.0.1-192.168.0.50, компьютеры из этой сети будут выходить в интернет через сервер который будет настроен как прокси сервер.
В этой сети будет ещё один сервер в которой будет два сетевых интерфейса. На нём будет запущен AD и терминал. На внешнем интерфейсе будет ip 192.168.0.50 например. Этот сервер будет сервером бухгалтерии. Сетки друг друга видеть не будут. Как правильно настроить DNS на сервере бухгалтерии, какие лучше ip назначить.

Offline never hood

  • Hero Member
  • *****
  • Posts: 845
  • Karma: +16/-10
  • www.4job.co
    • Работа, которую ты искал
Модель сеть в сети
« Reply #1 on: May 07, 2008, 14:10:26 »
Суть в изложении сути просматривается нечетко.
Если исходить из догадок, то можно предложить поднять DNS на сервере бухгалтерии, в котором правильно прописать forwarders, т.е. внешние DNS-сервера, которые и будут реально использоваться. Т.е. сервер бухгалтерии будет играть роль прокси-сервера для DNS-запросов.
Ну и, возможно, на нем стоит прописать свои собственные зоны.

Offline anovo

  • Sr. Member
  • ****
  • Posts: 273
  • Karma: +0/-0
Модель сеть в сети
« Reply #2 on: May 07, 2008, 14:32:54 »
Quote from: Fedor
Тут над одной задачей думаю.
Вот в чём суть.
Будет одна сеть с адресами например 192.168.0.1-192.168.0.50, компьютеры из этой сети будут выходить в интернет через сервер который будет настроен как прокси сервер.
В этой сети будет ещё один сервер в которой будет два сетевых интерфейса. На нём будет запущен AD и терминал. На внешнем интерфейсе будет ip 192.168.0.50 например. Этот сервер будет сервером бухгалтерии. Сетки друг друга видеть не будут. Как правильно настроить DNS на сервере бухгалтерии, какие лучше ip назначить.
Вот уж определитесь, что надо-то   Какой-то сумбур в целом - микс серверов/сервисов/IP-адресов. Разложите уж тогда по уровням ISO/OSI свою задачу и опишите здесь, чтобы телепатов не привлекать   Либо отвлекитесь на время от "низких" представлений (IP-адреса к примеру) в пользу "более высоких" (сервисы - AD/1C/TS/DNS, разделение доступа к этим сервисам) и излагайте  
« Last Edit: May 07, 2008, 14:38:00 by anovo »
The White Rabbit put on his spectacles. "Where shall I begin, please your Majesty?" he asked.
"Begin at the beginning," the King said, very gravely, "and go on till you come to the end: then stop."
"Alice's Adventures in Wonderland" by Lewis Carroll

Offline Fedor

  • Full Member
  • ***
  • Posts: 186
  • Karma: +0/-0
Модель сеть в сети
« Reply #3 on: May 07, 2008, 16:27:01 »
Quote from: anovo
Вот уж определитесь, что надо-то   Какой-то сумбур в целом - микс серверов/сервисов/IP-адресов. Разложите уж тогда по уровням ISO/OSI свою задачу и опишите здесь, чтобы телепатов не привлекать   Либо отвлекитесь на время от "низких" представлений (IP-адреса к примеру) в пользу "более высоких" (сервисы - AD/1C/TS/DNS, разделение доступа к этим сервисам) и излагайте  


Да надо было подробнее написать ). Нарисовал так будет быстрее и понятнее. Вообщем вот такая гремучая смесь. Кто как посоветует разрулить

Offline zhenya

  • Administrator
  • Full Member
  • *****
  • Posts: 215
  • Karma: +14/-5
Модель сеть в сети
« Reply #4 on: May 07, 2008, 17:54:36 »
а цель где на рисунке?

Offline never hood

  • Hero Member
  • *****
  • Posts: 845
  • Karma: +16/-10
  • www.4job.co
    • Работа, которую ты искал
Модель сеть в сети
« Reply #5 on: May 07, 2008, 18:07:05 »
хотелось бы понять, какие цели преследуются?
Сервер 3 - является "слабым звеном" в вашей схеме, при его отказе работа стоящих за ним РС будет невозможна с сервисами других серверов.
Если Сервер3 изолирует сети, то зачем на нем NAT? Дань плохой привычке?
Не ясно из схемы, используете ли вы VLAN'ы?
Если нет, возможен конфликт DHCP серверов.
Вполне хороша классическая схема сегментации внутренней сети за счет VLAN'ов, выделение DMZ, куда поместить proxy, почту и DNS, как минимум, от NAT'а отказаться вообще (ходить через прокси).

Offline Fedor

  • Full Member
  • ***
  • Posts: 186
  • Karma: +0/-0
Модель сеть в сети
« Reply #6 on: May 07, 2008, 19:46:09 »
Quote from: never hood
хотелось бы понять, какие цели преследуются?
Сервер 3 - является "слабым звеном" в вашей схеме, при его отказе работа стоящих за ним РС будет невозможна с сервисами других серверов.
Если Сервер3 изолирует сети, то зачем на нем NAT? Дань плохой привычке?
Не ясно из схемы, используете ли вы VLAN'ы?
Если нет, возможен конфликт DHCP серверов.
Вполне хороша классическая схема сегментации внутренней сети за счет VLAN'ов, выделение DMZ, куда поместить proxy, почту и DNS, как минимум, от NAT'а отказаться вообще (ходить через прокси).


Как быть тогда с бухгалтерским софтом, который через прокси работать не умеет ? VLAN настраивал, суть в одной сети две разные или более сетей. Разводил сети на активном сетевом оборудование. Про DMZ знаю только в теории, не приходилось встречаться. Есть какая нибудь литература?
« Last Edit: May 07, 2008, 19:52:54 by Fedor »

Offline Fedor

  • Full Member
  • ***
  • Posts: 186
  • Karma: +0/-0
Модель сеть в сети
« Reply #7 on: May 07, 2008, 19:50:41 »
Quote from: zhenya
а цель где на рисунке?

Цель на рисунке реализовать рисунок ) или сделать чьё нибудь предложение.

Offline never hood

  • Hero Member
  • *****
  • Posts: 845
  • Karma: +16/-10
  • www.4job.co
    • Работа, которую ты искал
Модель сеть в сети
« Reply #8 on: May 07, 2008, 20:32:16 »
Quote from: Fedor
Как быть тогда с бухгалтерским софтом, который через прокси работать не умеет ? VLAN настраивал, суть в одной сети две разные или более сетей. Разводил сети на активном сетевом оборудование. Про DMZ знаю только в теории, не приходилось встречаться. Есть какая нибудь литература?
Убедиться, что действительно не умеет. Для этого тщательно изучить программу и, в случае необходимости, выйти на разработчиков и задать им этот вопрос. Напомнить авторам, если нужно, что бухгалтерский компьютер с прямым доступом к инету - не есть гуд!
Если действительно не умеет и прогресс недостижим (здесь вспомнить, что любые программы, прежде чем их использовать, необходимо соотносить с политикой безопасности предприятия и тем геморроем, который они могут вызвать при внедрении  ), то тогда думать о грамотном "пропуске" данной программы через шлюз. В любом случае одного NAT'а будет достаточно (на внешнем сервере) и делать его только для конкретной машины, на которой он нужен и на те целевые хосты куда нужно обеспечить доступ (здесь масса вариантов - фильтрация по MAC'у, фиксирование ip-адреса на машине или на DHCP, применение VLAN и т.д.). Все остальные через прокси.
Про DMZ, конечно же, масса литературы! Начните с википедии, не обижайте вниманием гугл.
Суть VLAN несколько шире, чем в вашем описании, но это уже отдельный разговор (Хороший обзор технологии здесь).