В настоящее время я проектирую сеть в своем офисе, который сейчас относительно невелик, но планирует очень быстро расти. Дизайн практически готов, проблема возникает во время реализации. Итак, сценарий следующий:
4 подсети
и сеть DMZ
Одна из подсетей должна иметь DHCP, поскольку она предназначена для размещения всех компьютеров в офисе. Аппаратное обеспечение, которое у нас есть в настоящее время, - это брандмауэр, то есть наш интерфейс с внешней сетью, у этого есть 5 интерфейсов, один из которых для получения соединения от провайдера.
К этому межсетевому экрану подключен коммутатор уровня 3 HP procurve 2650.
Дело в том, что я не знаю, как их реализовать. Я читал, что мне также следует использовать VLAN, и это нормально, но как я могу подключить все?
Кроме того, у нас есть 2 сервера Active Directory, которые являются частью сети 10.70.0.0/24, а брандмауэр, который также является шлюзом по умолчанию, имеет адрес 10.70.0.1.
Если вы не являетесь опытным администратором, настройка новой сети с несколькими подсетями и VLAN будет очень сложной задачей.
ВЛАНС
Прежде всего, давайте объясним VLAN. Проще говоря, настройка виртуальных локальных сетей на коммутаторе разбивает его на несколько отдельных коммутаторов. Итак, если я возьму 48-портовый коммутатор, я смогу настроить две сети VLAN и получить эквивалент двух 24-портовых коммутаторов.
Некоторые межсетевые экраны также поддерживают VLAN, и их можно настроить так, чтобы они могли взаимодействовать с несколькими разными VLAN через один интерфейс, вместо того, чтобы использовать несколько кабелей. В документации к вашему брандмауэру должно быть указано, возможно ли это и как его настроить.
ПОДСЕТИ
Каждой подсети (которая хочет общаться за пределами этой подсети, с другими или двумя в Интернете) потребуется шлюз по умолчанию. внутри этой подсети. Таким образом, вашему брандмауэру действительно нужны IP-адреса, такие как 10.70.0.1, 10.70.0.2, 10.70.0.3 и 10.70.0.10.
Связь между подсетями может происходить ТОЛЬКО через шлюз по умолчанию, поэтому весь трафик между подсетями будет проходить через ваш брандмауэр. Это может быть хорошо, если вам нужно фильтровать трафик между ними, или плохо, если ваш брандмауэр работает медленно и становится узким местом.
Вместо такой сегментации сети я настоятельно рекомендую использовать меньшее количество подсетей большего размера. Начните с одного для серверов и одного для клиентов. Если вы думаете, что будете быстро расти, используйте подсети / 16 вместо / 24. Вы по-прежнему можете использовать определенные диапазоны для определенных целей.
БУДУЩЕЕ РАСШИРЕНИЕ
Если вы используете сеть / 16, скажем 10.50.xxx.xxx, вы можете указать все адреса вашего серверного оборудования в диапазоне 10.50.0.xxx и настроить DHCP для выдачи адресов в 10.50.2.xxx. Поскольку все они находятся в одной подсети, они могут легко общаться друг с другом. Позже, если у вас заканчиваются адреса DHCP, вы можете просто начать раздавать адреса DHCP в диапазоне 10.50.3.xxx без необходимости НИЧЕГО перенастраивать.
В будущем, когда вы расширитесь, получите немного больше опыта и решите, что вам нужно, чтобы некоторые серверы были изолированы от остальной сети, вы можете настроить другой интерфейс на брандмауэре и начать использовать другой диапазон, например 10.51.0.0/24 для этих систем. Затем настройте VLAN или получите второй коммутатор. Это легко добавить позже. Если он вам сейчас не нужен, я бы не стал с этого начинать. Чем сложнее вы делаете свою сеть, тем сложнее устранять неполадки.
Если вы действительно хотите быть умным, когда вы выбираете, какие диапазоны адресов использовать для разных целей, выбирайте те, которые можно легко разделить на подсети позже, поэтому вам нужно только изменить маску подсети для всего, если вы хотите их изолировать. Это, как правило, более простая задача, чем изменение IP-адресов серверов.