Назад | Перейти на главную страницу

Требуется помощь в проектировании сети (главный офис + филиалы + центральный сервер)

У меня есть головной офис и несколько дополнительных офисов. И головному офису, и подразделениям необходим доступ к корпоративному серверу, который физически находится в головном офисе. Но дочерние офисы не должны иметь доступа к головному офису или друг к другу. Подофисы находятся на значительном удалении друг от друга и от головного офиса (многие км).

Как спроектировать сеть для этой задачи?

Полагаю, в каждом подразделении должен быть доступ в Интернет. Коммутатор LAN центрального сервера должен иметь статический IP и программное обеспечение OpenVPN. Например, сеть SubOffice1 - 10.0.1.x, SubOffice2 10.0.2.x и т. Д., Головной офис - 10.254.x.x, LAN центрального сервера - 192.168.0.x.

Когда ПК подчиненного офиса или ПК головного офиса нуждается в доступе к центральному серверу, ПК запускает для этого соединение VPN с центральным сервером.

Затем я должен использовать маршрутизаторы для каждой сети и настроить брандмауэр так, чтобы он разрешал соединения только из внутренней сети, за исключением маршрутизатора LAN центрального сервера.

Это верно? Может быть, есть некоторые важные детали, которые я должен учитывать при построении этой сети? Какое оборудование вы бы порекомендовали для этого (маршрутизаторы, поддерживающие необходимые режимы межсетевого экрана и т. Д.)?

ДОБАВЛЕНО 05.07.2012:

Наш провайдер не может предоставить ничего, кроме доступа в Интернет. Я не могу ожидать, что они будут поддерживать что-то вроде MPLS. Интернет-провайдеры разные в каждом подразделении и головном офисе.

Количество дополнительных офисов - около 20.

Соединения из подофисов с головным офисом должны быть зашифрованы, потому что они будут маршрутизироваться через Интернет.

Я хочу, чтобы подофисы были полностью изолированы от головного офиса и друг от друга, чтобы никакие пакеты не могли перемещаться туда и обратно.

Я планирую иметь в офисах только компьютеры с Linux, но может быть и несколько компьютеров с Windows. Нет Active Directory или что-то в этом роде. Просто ПК под Windows / Linux.

Есть какие-нибудь хорошие книги по этой теме?

Мэтт Симмонс написал серию отличных статей для простой беседы, которая может показаться вам поучительной;

  1. Сеть Шпаргалка
  2. Схема физической сети для противников
  3. Схема логической сети для малых сетей

Но сначала несколько моментов по вашему дизайну:

  1. Suboffice = "филиал", который можно найти в Google "проектирование сети филиалов"чтобы получить хорошее представление о том, что доступно и что обычно используется в таких ситуациях.
  2. Не путайте свое IP-пространство, можно использовать сеть 10.n.n.n во всей вашей локальной сети. Используйте подсети и VLAN для разделения ваших широковещательных доменов. Использование 192.168.n.n в локальной сети вашего сервера добавляет ненужной сложности (к произвольному решению).
  3. Не возлагайте на каждого клиента ответственность за установление VPN-соединений, это вызовет столько же головной боли, сколько и клиентов. Установите VPN на маршрутизаторе (или другом выделенном устройстве VPN).
  4. Свяжитесь с вашим интернет-провайдером / оператором связи, чтобы узнать, какое оборудование они предлагают для вашего типа услуг. Это может повлиять на ваше решение о развертывании.
  5. Конкретное оборудование ... посмотрите на cisco серии ASA они предлагают межсетевой экран, VPN и маршрутизацию в небольшом пакете.

Удачи!

Обновить

Вы попросили несколько книг для начала, я могу предложить вам несколько, которые непосредственно касаются вашей проблемы, и есть несколько отличных книг, рекомендованных в другом месте по serverfault которые помогут вам в других отношениях по мере необходимости.

В частности, я бы рекомендовал начать с серии книг CISCO CCNA. Похоже, вы уже были брошены в самую глубину пула с таким масштабным развертыванием. Cisco Press CCNA ICND1 затронет многие фундаментальные темы, которые вам необходимо изучить. Вы также можете попробовать COMPTIA Network + книга тоже. Я никогда не читал его, но он предлагает несколько новых перспектив, которых нет в CCNA.

Обратите особое внимание на модель OSI, особенно на различия между уровнями 1, 2 и 3.

Помимо этого, я бы начал искать «официальные документы» и «лучшие практики» для развертывания в филиалах (некоторые из них вы увидите в поиске Google, который я опубликовал ранее). Сисадмин действительно чему-то учится, только делая это, думайте об этом как о прикладной инженерии. Часто есть равные меры аналитического мышления и места действия ваших штанов.

Поскольку у вас 20 или более офисов, вы захотите иметь возможность централизованно управлять всеми своими услугами. Вы можете начать с того, что обзвоните разных поставщиков и попросите их предложить решение (не связывайтесь ни с чем по телефону! Вы почти всегда можете попросить лучшую цену, дополнительное оборудование или дополнительную поддержку, вы покупаете всего 20 устройств. , но это, вероятно, больше, чем у большинства). Кроме того, не верьте 90% тому, что говорит вам торговый представитель поставщика, вернитесь сюда и задайте еще один вопрос о конкретных развертываниях, которые вы имели в виду.

Еще раз удачи!

Я действительно предлагаю повторить это еще раз. Коммутаторы являются устройствами уровня 2 и обычно не работают с IP-адресами, особенно с VPN.

Лучшим решением было бы иметь маршрутизаторы с поддержкой VPN в каждом офисе, а затем настроить VPN типа «сеть-сеть» в центральном офисе и правильно настроить маршрутизацию. Вы можете сделать это даже с OpenVPN и ПК с несколькими сетевыми картами, если у вас небольшие сети.

Нумерация подсетей не важна, просто не перекрывайте сети. Вам также понадобятся подсети для соединений маршрутизатор-маршрутизатор (/ 30 достаточно хорошо), если вы не используете L2 vpn и соединяете маршрутизаторы с центральной внутренней сетью.

Для двух офисов маршрутизацию можно выполнить вручную.

Я буду избегать дублирования хороших советов, которые уже были опубликованы в этой ветке, но я хотел бы добавить момент для рассмотрения. При проектировании сети для работы с филиалами главное внимание следует уделять необходимому уровню разделения. Другой способ взглянуть на этот вопрос - подумать о том, какой уровень разделения может быть терпимый по приложениям.

В наши дни большинство приложений клиент <-> сервер / одноранговая сеть довольны разделением L3 (в разных подсетях), но все еще используются приложения, которые ожидают, что одноранговые узлы будут в одном широковещательном домене [multicast | subnet]. или в некоторых случаях вообще не говорят по IP.

L3 VPN или незашифрованный туннель (например, GRE) между маршрутизаторами будет административно минимальным объемом работы, и я бы посоветовал предпочесть эту конфигурацию, если она соответствует вашим бизнес-требованиям. Однако важно учитывать, какие приложения используются в вашей сети. обязательный поддерживать как сейчас, так и в ближайшем будущем. Иногда потребуется L2 VPN / туннель. Важно рассмотреть этот вопрос на ранней стадии процесса проектирования, поскольку он будет иметь большое влияние на выбор оборудования и / или программного обеспечения. Как правило, туннелирование L2 не подходит для более старого оборудования L3 и часто недоступно или в текущих производимых моделях низкого уровня.

Также в зависимости от того, к какому типу ресурсов вам нужно получить доступ.

Если обмен файлами - для небольшой компании я бы использовал dropbox или его коммерческий аналог джунгли

Другой вариант - использование MS Sharepoint Server, что дает вам возможность легко организовать совместную работу с файлами на нескольких сайтах.