Версия для печати темы

Нажмите сюда для просмотра этой темы в оригинальном формате

WinCity.Ru _ Локальные сети, безопасность, лицензирование _ Подключение очередного филиала.

Автор: Jeremiah Понедельник, 25 Августа 2003, 15:56

Поключаем к корпоративной сети очередной филиал.
Проблема этого филиала в том, что это фактически чужая сеть, в которую воткнуто десяток наших компов.
Переделать сеть (протянуть персонально нашу сеть) не представляется возможным.
Можно поставить свой маршрутизатор, можно их маршрутизатор настроить так чтобы пакеты ходили во все остальные наши филиалы.
Цель очевидна - наличие связи с этим филиалом и обезопасить остальных от него (точнее от его соседей).

Хотелось бы услышать ваши идеи на эту тему.

Заранее благодарен !

Автор: oleg_woewoda Понедельник, 25 Августа 2003, 16:36

Какое там активное оборудование. К примеру на cisco можно сделать отдельный vlan и маршрутизировать его через роутер прикрыв IPSec'ом.

Автор: Jeremiah Понедельник, 25 Августа 2003, 20:29

У нас в каждом филиале есть cisco (разных моделей).
У них организована DMZ, если я правильно понял, то тоже на двух cisco.
Цитата
на cisco можно сделать отдельный vlan и маршрутизировать его через роутер прикрыв IPSec'ом

на пальцах можно. Где, описываемая тобой cisco, располагается? Т.е. мы поставим в их сети еще свою cisco и будем маршрутизировать пакеты через их роутеры?

Автор: lingod Вторник, 26 Августа 2003, 11:34

Не знаю как с cisko, не юзал, но с помощью стандартного RRAS я такие вопросы решал на ура, да собственно у меня и сейчас завязаны 7 подсетей клиенты которых друг друга не видят а видят только свой сервак, при этом все живут в одном домене.

Автор: mpa Вторник, 26 Августа 2003, 12:25

А Интернет во всех филиалах есть?
Можно шлюз организовать просто...

Автор: oleg_woewoda Вторник, 26 Августа 2003, 15:47

DMZ ни какого отношения к маршрутизации vlan не имеет.
На пальцах. Имея свичи cisco можно сделать отдельный(е) vlan (виртуальная сеть). Далее с помощью маршрутизатора, той же cisco, прямого канала с центральным офисом или Инета, связать удаленный офис. А лучше попроси конслутации у Вашего специалиста, занимающегося cisco

Автор: Egor Вторник, 26 Августа 2003, 16:27

Jeremiah
А ты, в конечном итоге, что хочешь получить? Кто что должен видеть/не видеть, куда ходить/не ходить и.т.д., желательно более подробное ТЗ.

Автор: Jeremiah Среда, 27 Августа 2003, 12:48

Цитата
Имея свичи cisco

А-а-а, вот ты о чём, нет таких свичей нету (скорее всего).

Egor, нужно чтобы наши видели наших, а чужие видели чужих, а наших не видели. Это если коротко.

Если подробнее.
У них сеть(175.х.х.х) с выходом по выдленке в интернет. Несколько наших компов в их сеть воткнули, логически их отделили другим диапазоном адресов (192.168.х.х).
Теперь наш поставщик услуг связи с их поставщиком тех же услуг заключил договор об аренде канала.
Задача наши компы, находящиеся в их сети, подключить к нашей корпоративной сети.
Мне предлагают вариант:
Они дают нам адреса из их диапазона и настраивают свои маршрутизаторы для работы с нашей сетью. Меня это очевидно не устраивает, поскольку любой из их сети сможет попасть в любой из наших филиалов.
Какие есть варианты? Если мы свою Cisco поставим, сможем ли мы как-то образом решить проблему?
Как мне с наименьшими трудозатратами защитить наши филиалы, если я приму их вариант?

PS. В нашей корп. сети выход в интернет имеет только центральный офис, остальные ходят туда через него.

Автор: Vio Четверг, 28 Августа 2003, 11:57

не важно кто производитель свичей, главное чтобы они поддерживали VLAN-ы. Но по мне если даже ты и настроишь VLAN-ы, а админами свичей останутся чужие люди, то это никуда не годится.
Тебе надо настроить VPN с IPSec-ом (т.е. защитить трафик), только тогда ты сможешь обезопасить свою сеть.

Автор: Jeremiah Четверг, 28 Августа 2003, 13:38

свичи с vlan есть (не все, один комп на обычном хабе).
Правда, ситуацию это не упрощает. Кто знает сколько IP адресов поддерживает CISCO на одном интерфейсе?
Сегодня ездил, еще немного прояснил.
Там ситуевина такая, модем висит один на двоих (в смысле на них на нас), соответственно к CISCO идет один RS232 шнурик. На этой киске уже имеется два внешних и два внутренних адреса. Далее идет DMZ, затем файрвол (опять таки CISCO). Если настроить VLAN, то можно миновать их файрвол, но CISCO все равно остается одна на всех.
Таким образом IMHO первый шаг в решении проблемы (в общем-то наверое главный), фактически сводится к проблеме програмирования CISCO так чтобы наши пакеты ходили к нам а их пакеты в интернет и в их корпоративную сеть.
Я CISCO только со стороны видел, поэтому кто знает подскажите для 3-х внешних и 3-х внутренних адресов реально всё разрулить в нужных нам направлениях?

Автор: Egor Четверг, 28 Августа 2003, 17:46

Цитата
подскажите для 3-х внешних и 3-х внутренних адресов реально всё разрулить в нужных нам направлениях?

Если циска-рутер, то это для нее, естественный режим работы.

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)