|
Подключение очередного филиала.
|
|
|
|
Jeremiah |
Понедельник, 25 Августа 2003, 15:56
|
Участник
Профиль
Группа: Участник
Сообщений: 597
Регистрация: 12.08.2002
Из: Москва
Пользователь №: 3015
Конфигурация
Корпус: Mini Tower Материнская плата: Intel 840 Оперативная память: 512 Мб Видеокарта: NVIDIA RIVA TNT2 Model 64 Жесткий диск (винчестер): Seagate 60ГБ; Seagate 20ГБ 5400rpm Дисковод: 3.5" CD/DVD: LG 52x Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: ViewSonic EF70 Операционная система: Windows XP SP2 Прочее: --
|
Поключаем к корпоративной сети очередной филиал. Проблема этого филиала в том, что это фактически чужая сеть, в которую воткнуто десяток наших компов. Переделать сеть (протянуть персонально нашу сеть) не представляется возможным. Можно поставить свой маршрутизатор, можно их маршрутизатор настроить так чтобы пакеты ходили во все остальные наши филиалы. Цель очевидна - наличие связи с этим филиалом и обезопасить остальных от него (точнее от его соседей).
Хотелось бы услышать ваши идеи на эту тему.
Заранее благодарен !
Сообщение отредактировал Jeremiah - Понедельник, 25 Августа 2003, 15:57
|
|
|
|
|
oleg_woewoda |
Понедельник, 25 Августа 2003, 16:36
|
Участник
Профиль
Группа: Участник
Сообщений: 156
Регистрация: 28.06.2002
Пользователь №: 2566
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Какое там активное оборудование. К примеру на cisco можно сделать отдельный vlan и маршрутизировать его через роутер прикрыв IPSec'ом.
|
|
|
|
|
Jeremiah |
Понедельник, 25 Августа 2003, 20:29
|
Участник
Профиль
Группа: Участник
Сообщений: 597
Регистрация: 12.08.2002
Из: Москва
Пользователь №: 3015
Конфигурация
Корпус: Mini Tower Материнская плата: Intel 840 Оперативная память: 512 Мб Видеокарта: NVIDIA RIVA TNT2 Model 64 Жесткий диск (винчестер): Seagate 60ГБ; Seagate 20ГБ 5400rpm Дисковод: 3.5" CD/DVD: LG 52x Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: ViewSonic EF70 Операционная система: Windows XP SP2 Прочее: --
|
У нас в каждом филиале есть cisco (разных моделей). У них организована DMZ, если я правильно понял, то тоже на двух cisco. Цитата | на cisco можно сделать отдельный vlan и маршрутизировать его через роутер прикрыв IPSec'ом |
на пальцах можно. Где, описываемая тобой cisco, располагается? Т.е. мы поставим в их сети еще свою cisco и будем маршрутизировать пакеты через их роутеры?
--------------------
Пьяный русский хакер практически непобедим!
|
|
|
|
|
lingod |
Вторник, 26 Августа 2003, 11:34
|
Участник
Профиль
Группа: Участник
Сообщений: 282
Регистрация: 29.04.2003
Из: Украина, Киев
Пользователь №: 5147
Конфигурация
Корпус: Midi Tower 300W Материнская плата: ASUSP4P800 Deluxe Оперативная память: 2*512 DRR 400 Видеокарта: GE force 4 MX 440 Жесткий диск (винчестер): WD 80 Gb 7200 rpm Дисковод: 3.5" CD/DVD: LG DVD/CDRW Модем: -- Сетевой адаптер: 3Com Gigabit Lom Звуковая плата: Creative sb128 Монитор: 15" LG L1510M Операционная система: Windows XP Professional Прочее: --
|
Не знаю как с cisko, не юзал, но с помощью стандартного RRAS я такие вопросы решал на ура, да собственно у меня и сейчас завязаны 7 подсетей клиенты которых друг друга не видят а видят только свой сервак, при этом все живут в одном домене.
--------------------
Знал бы прикуп... жил бы в Сочи...
|
|
|
|
|
mpa |
Вторник, 26 Августа 2003, 12:25
|
Участник
Профиль
Группа: Участник
Сообщений: 1786
Регистрация: 11.06.2002
Пользователь №: 2401
Конфигурация
Корпус: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: Нет дисковода CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
А Интернет во всех филиалах есть? Можно шлюз организовать просто...
|
|
|
|
|
oleg_woewoda |
Вторник, 26 Августа 2003, 15:47
|
Участник
Профиль
Группа: Участник
Сообщений: 156
Регистрация: 28.06.2002
Пользователь №: 2566
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
DMZ ни какого отношения к маршрутизации vlan не имеет. На пальцах. Имея свичи cisco можно сделать отдельный(е) vlan (виртуальная сеть). Далее с помощью маршрутизатора, той же cisco, прямого канала с центральным офисом или Инета, связать удаленный офис. А лучше попроси конслутации у Вашего специалиста, занимающегося cisco
|
|
|
|
|
Egor |
Вторник, 26 Августа 2003, 16:27
|
reader
Профиль
Группа: Профессионалы
Сообщений: 4172
Регистрация: 29.03.2001
Из: Подмосковья
Пользователь №: 55
Конфигурация
Корпус: ASCOT Premium Edition 500 Wt Процессор: Core2 Duo/Extreme Материнская плата: ASUS P5K Deluxe Оперативная память: (4x1G) PC2-6400 800MHz DDR2 Kingston Видеокарта: ATI Radeon HD 4730 Жесткий диск (винчестер): (2x1TB) Western Digital WD10EADS Green Power Дисковод: Нет дисковода CD/DVD: DVD-RW Lite-on iHAS124-19 SATA Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: Acer AL2216W Операционная система: Win7 x64 Pro Прочее: --
|
Jeremiah А ты, в конечном итоге, что хочешь получить? Кто что должен видеть/не видеть, куда ходить/не ходить и.т.д., желательно более подробное ТЗ.
|
|
|
|
|
Jeremiah |
Среда, 27 Августа 2003, 12:48
|
Участник
Профиль
Группа: Участник
Сообщений: 597
Регистрация: 12.08.2002
Из: Москва
Пользователь №: 3015
Конфигурация
Корпус: Mini Tower Материнская плата: Intel 840 Оперативная память: 512 Мб Видеокарта: NVIDIA RIVA TNT2 Model 64 Жесткий диск (винчестер): Seagate 60ГБ; Seagate 20ГБ 5400rpm Дисковод: 3.5" CD/DVD: LG 52x Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: ViewSonic EF70 Операционная система: Windows XP SP2 Прочее: --
|
А-а-а, вот ты о чём, нет таких свичей нету (скорее всего).
Egor, нужно чтобы наши видели наших, а чужие видели чужих, а наших не видели. Это если коротко.
Если подробнее. У них сеть(175.х.х.х) с выходом по выдленке в интернет. Несколько наших компов в их сеть воткнули, логически их отделили другим диапазоном адресов (192.168.х.х). Теперь наш поставщик услуг связи с их поставщиком тех же услуг заключил договор об аренде канала. Задача наши компы, находящиеся в их сети, подключить к нашей корпоративной сети. Мне предлагают вариант: Они дают нам адреса из их диапазона и настраивают свои маршрутизаторы для работы с нашей сетью. Меня это очевидно не устраивает, поскольку любой из их сети сможет попасть в любой из наших филиалов. Какие есть варианты? Если мы свою Cisco поставим, сможем ли мы как-то образом решить проблему? Как мне с наименьшими трудозатратами защитить наши филиалы, если я приму их вариант?
PS. В нашей корп. сети выход в интернет имеет только центральный офис, остальные ходят туда через него.
Сообщение отредактировал Jeremiah - Среда, 27 Августа 2003, 12:51
|
|
|
|
|
Vio |
Четверг, 28 Августа 2003, 11:57
|
Администрация
Профиль
Группа: WinCity Team
Сообщений: 1331
Регистрация: 22.08.2001
Из: Moldova, Chisinau
Пользователь №: 237
Конфигурация
Корпус: IBM NetVista 6792-kkg Материнская плата: IBM Intel Оперативная память: 256 MB Видеокарта: Riva Vanta Жесткий диск (винчестер): Seagate Barracuda IV Дисковод: 3.5" CD/DVD: LG Модем: -- Сетевой адаптер: Intel 100MB RJ45 Звуковая плата: AC'97 incorporated Монитор: 17'', IBM G74 Операционная система: WIndows XP Proffesional Eng Прочее: --
|
не важно кто производитель свичей, главное чтобы они поддерживали VLAN-ы. Но по мне если даже ты и настроишь VLAN-ы, а админами свичей останутся чужие люди, то это никуда не годится. Тебе надо настроить VPN с IPSec-ом (т.е. защитить трафик), только тогда ты сможешь обезопасить свою сеть.
|
|
|
|
|
Jeremiah |
Четверг, 28 Августа 2003, 13:38
|
Участник
Профиль
Группа: Участник
Сообщений: 597
Регистрация: 12.08.2002
Из: Москва
Пользователь №: 3015
Конфигурация
Корпус: Mini Tower Материнская плата: Intel 840 Оперативная память: 512 Мб Видеокарта: NVIDIA RIVA TNT2 Model 64 Жесткий диск (винчестер): Seagate 60ГБ; Seagate 20ГБ 5400rpm Дисковод: 3.5" CD/DVD: LG 52x Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: ViewSonic EF70 Операционная система: Windows XP SP2 Прочее: --
|
свичи с vlan есть (не все, один комп на обычном хабе). Правда, ситуацию это не упрощает. Кто знает сколько IP адресов поддерживает CISCO на одном интерфейсе? Сегодня ездил, еще немного прояснил. Там ситуевина такая, модем висит один на двоих (в смысле на них на нас), соответственно к CISCO идет один RS232 шнурик. На этой киске уже имеется два внешних и два внутренних адреса. Далее идет DMZ, затем файрвол (опять таки CISCO). Если настроить VLAN, то можно миновать их файрвол, но CISCO все равно остается одна на всех. Таким образом IMHO первый шаг в решении проблемы (в общем-то наверое главный), фактически сводится к проблеме програмирования CISCO так чтобы наши пакеты ходили к нам а их пакеты в интернет и в их корпоративную сеть. Я CISCO только со стороны видел, поэтому кто знает подскажите для 3-х внешних и 3-х внутренних адресов реально всё разрулить в нужных нам направлениях?
--------------------
Пьяный русский хакер практически непобедим!
|
|
|
|
|
Egor |
Четверг, 28 Августа 2003, 17:46
|
reader
Профиль
Группа: Профессионалы
Сообщений: 4172
Регистрация: 29.03.2001
Из: Подмосковья
Пользователь №: 55
Конфигурация
Корпус: ASCOT Premium Edition 500 Wt Процессор: Core2 Duo/Extreme Материнская плата: ASUS P5K Deluxe Оперативная память: (4x1G) PC2-6400 800MHz DDR2 Kingston Видеокарта: ATI Radeon HD 4730 Жесткий диск (винчестер): (2x1TB) Western Digital WD10EADS Green Power Дисковод: Нет дисковода CD/DVD: DVD-RW Lite-on iHAS124-19 SATA Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: Acer AL2216W Операционная система: Win7 x64 Pro Прочее: --
|
Цитата | подскажите для 3-х внешних и 3-х внутренних адресов реально всё разрулить в нужных нам направлениях? |
Если циска-рутер, то это для нее, естественный режим работы.
|
|
|
|
|
|
1 чел. читают эту тему (1 Гостей и 0 Скрытых Пользователей)
|
0 Пользователей:
|
|
© Copyright by WinCity.Ru 2001 - 2008 | Обратная связьУслуги веб-хостинга предоставлены компанией MTW.RU
|
|