Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Pomoc w konfiguracji sieci

10 Lis 2010 12:09 1806 6
  • Poziom 9  
    Witam

    Moja sieć w chwili obecnej wygląda mniej więcej tak:

    Shdsl Dialog -> draytek Vigor 3300V -> 2x Linksys SGE2000 , 3COM 4400 SE, 3COM 3300XM -> stacje robocze, drukarki, etc

    Szykuje się zmiana zarządzona przez centralę firmy :

    VPN TPSA (Cisco 1841) - > no i dalej nasza sieć.

    Oczywiście każdy oddział jest w innej podsieci mi przypada 10.20.30.1/255.255.255.0. Jakie zaproponowalibyście rozwiązanie, aby odizolować się nieco od reszty sieci wykorzystując obecne urządzenia (nie mam dostępu do Cisco 1841)?.

    Chodzi o to, ze w tej chwili router blokuje wszystko co się da, np. WWW i zezwala tylko serwerowi Proxy na takie połączenia. Po wyrzuceniu routera jeden ‘mądry’ z drugim zmieni ustawienia przeglądarki i znów porno zakróluje w firmie a filmy z sieci będą zapychać łącza - chciałbym mieć nad tym kontrolę. Pozatym udostępnione są na niektórych stacjach drukarki co może spowodować, że inny ‘mądry’ z innej podsieci będzie robił psikusy.

    Pozdrawiam
  • Poziom 12  
    Piszesz, że router blokuje prawie wszystko - a więc jeżeli router ma możliwość to wpisz adresy stron, których sobie nie życzysz/cie i powinno być po sprawie.

    Jeżeli zależało by wam na możliwości wchodzenia na każdą stronę bez zapychania łącza innym, to pomógłby Router z podziałem łącza(Funkcja Qos(czy jakoś podobnie)) lub serwer DHCP.


    Serwer lub odpowiedni router powinien dać ci możliwość zarządzania siecią (Tutaj raczej większość pewnie zaproponuje) przydzielenie adresów ip ręcznie z filtracją MAC.
  • Poziom 43  
    Sądzę, że w takiej konfiguracji należy zacząć czytać instrukcję draytek Vigor 3300V i bliżej przyjrzeć się pozycji Firewall oraz Lan Vlan, Port blokc.
  • Poziom 9  
    koledzy chyba nie do końca mnie zrozumieli albo ja ich :). teraz sieć wygląda tak (bez połączenia VPN z innymi oddziałami firmy !)


    Shdsl Dialog -> draytek Vigor 3300V monitor ruchu, ograniczenia (firewall) -> 2x Linksys SGE2000 , 3COM 4400 SE, 3COM 3300XM -> stacje robocze, drukarki, etc

    do zmianie operatora (sieć VPN, wszystkie oddziały mają jednego operatora i wszystkie w jednej sieci, kontrola internetu odbywa się w innym centralnym oddziale - nie mam nic do gadania)

    inne odziały firmy adresacja 10.30.0.0 -> VPN TPSA -> (Cisco 1841) -> (moja siec) 2x Linksys SGE2000 , 3COM 4400 SE, 3COM 3300XM -> stacje robocze, drukarki, etc

    czyli nie mamy routera. Wszyscy wszystkich widzą wszyscy wszystko mogą.

    Czy proponujecie zotawić router draytek? Nie wiem czy dobrze to widzę.
    1. Cisco 1841 adres w tej chwili 10.20.30.1 >
    2. Draytek adres np wan 10.20.30.11 , lan 10.20.30.12- robi mi nat >
    3. stacje robocze np 10.20.30.50-200

    To by było niezłe tylko czy router będzie działał w takiej konfiguracji - wan i lan ta sama adresacja ?

    Nie znam się super na sieciach ale myślałem zamiast routera i NAT dać, nazwijmy to czarną skrzynkę nie robiącą NAT ale ograniczającą ruch. Tylko co nią by mogło być ?
  • Poziom 43  
    Nie da się po obu stronach routera mieć tej samej podsieci, nie możesz dalej zostać na starej podsieci po stronie LAN? Nie będąc bramą nic nie zrobisz oprócz konfigu na pecetach "pracusi".
  • Poziom 13  
    Pierwsza ważna rzecz to czy to będzie VPN czy MPLS ?
  • Poziom 31  
    Pierwsza sprawa, to zakres obowiązków i zakres odpowiedzialności. Musisz upewnić się, że nie wchodzisz do czyjejś piaskownicy.

    Kontrole nad udostępnionymi zasobami (drukarkami, folderami, itd) możesz uzyskać poprzez nadanie odpowiednich uprawnień. Jeśli masz drukarki z kartami sieciowymi, to często da się wpisać uprawnione IP a w ostateczności można usunąć bramę domyślną wówczas będzie tylko dostęp z sieci lokalnej.

    Pewną kontrolę nad siecią dobrze mieć dla własnego bezpieczeństwa... jeśli w Twoich obowiązkach nie leży filtrowanie ruchu, to proponuję tylko obserwację co się dzieje na łączu. "Mądrzejsze" switche mają tzw. SPAN port lub port mirroring. Umożliwia on przekierowanie ruchu z danego portu na inny port. Wystarczy podłączyć komputer (najlepiej z Linux-em), uruchomić np. NTOP-a, SNORT-a, itd żeby wiedzieć co się dzieje i ew. do kogo skierować OPR za ściąganie pornola ;).

    Pozdr!