Поключаем к корпоративной сети очередной филиал.
Проблема этого филиала в том, что это фактически чужая сеть, в которую воткнуто десяток наших компов.
Переделать сеть (протянуть персонально нашу сеть) не представляется возможным.
Можно поставить свой маршрутизатор, можно их маршрутизатор настроить так чтобы пакеты ходили во все остальные наши филиалы.
Цель очевидна - наличие связи с этим филиалом и обезопасить остальных от него (точнее от его соседей).
Хотелось бы услышать ваши идеи на эту тему.
Заранее благодарен !
Какое там активное оборудование. К примеру на cisco можно сделать отдельный vlan и маршрутизировать его через роутер прикрыв IPSec'ом.
У нас в каждом филиале есть cisco (разных моделей).
У них организована DMZ, если я правильно понял, то тоже на двух cisco.
Цитата |
на cisco можно сделать отдельный vlan и маршрутизировать его через роутер прикрыв IPSec'ом |
Не знаю как с cisko, не юзал, но с помощью стандартного RRAS я такие вопросы решал на ура, да собственно у меня и сейчас завязаны 7 подсетей клиенты которых друг друга не видят а видят только свой сервак, при этом все живут в одном домене.
А Интернет во всех филиалах есть?
Можно шлюз организовать просто...
DMZ ни какого отношения к маршрутизации vlan не имеет.
На пальцах. Имея свичи cisco можно сделать отдельный(е) vlan (виртуальная сеть). Далее с помощью маршрутизатора, той же cisco, прямого канала с центральным офисом или Инета, связать удаленный офис. А лучше попроси конслутации у Вашего специалиста, занимающегося cisco
Jeremiah
А ты, в конечном итоге, что хочешь получить? Кто что должен видеть/не видеть, куда ходить/не ходить и.т.д., желательно более подробное ТЗ.
Цитата |
Имея свичи cisco |
не важно кто производитель свичей, главное чтобы они поддерживали VLAN-ы. Но по мне если даже ты и настроишь VLAN-ы, а админами свичей останутся чужие люди, то это никуда не годится.
Тебе надо настроить VPN с IPSec-ом (т.е. защитить трафик), только тогда ты сможешь обезопасить свою сеть.
свичи с vlan есть (не все, один комп на обычном хабе).
Правда, ситуацию это не упрощает. Кто знает сколько IP адресов поддерживает CISCO на одном интерфейсе?
Сегодня ездил, еще немного прояснил.
Там ситуевина такая, модем висит один на двоих (в смысле на них на нас), соответственно к CISCO идет один RS232 шнурик. На этой киске уже имеется два внешних и два внутренних адреса. Далее идет DMZ, затем файрвол (опять таки CISCO). Если настроить VLAN, то можно миновать их файрвол, но CISCO все равно остается одна на всех.
Таким образом IMHO первый шаг в решении проблемы (в общем-то наверое главный), фактически сводится к проблеме програмирования CISCO так чтобы наши пакеты ходили к нам а их пакеты в интернет и в их корпоративную сеть.
Я CISCO только со стороны видел, поэтому кто знает подскажите для 3-х внешних и 3-х внутренних адресов реально всё разрулить в нужных нам направлениях?
Цитата |
подскажите для 3-х внешних и 3-х внутренних адресов реально всё разрулить в нужных нам направлениях? |
Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)