как разделить сеть для трафика
На данный момент все наши компьютеры в одной большой локальной сети, мы намерены разделить администратора и edu (это в школе), особенно для трафика и меньше для безопасности. Как это лучше всего?
Firewall ?, VLAN ?, IPCop (нет двух зеленых зон) ?, pfsense? ...
Должны ли быть две области на DHCP-сервере (WIN 2008 R2), одна для администратора и одна для edu, или достаточно одной области?
Я хотел бы получить ваш совет, я учусь на тренинге с этой задачей в качестве проекта.
Спасибо
Я консультируюсь со многими австралийскими частными школами, и их лучший метод - использовать VLAN. Один для сотрудников, один для администратора и один для студентов.
Таким образом, школьные устройства безопасности могут быть легко настроены и поддержаны для учащихся без особых ограничений для персонала или администратора.
В школах вижу 4 типа движения. Администраторы, Персонал (не преподаватель), Учителя и студенты. В настоящее время большинство частных школ добавляются в две новые группы: «Родители» и «Выпускники». Ситуация становится довольно сложной.
2 области в DHCP подходят, но вам нужно настроить гораздо больше, с конфигурацией порта коммутатора. Согласитесь с @ voretaq7 Наличие 2 экземпляров DHCP намного эффективнее, чем 2 сетевых адаптера на одной машине с отдельными подсетями
Первая ссылка описывает несколько различных способов выполнения сплита - http://social.technet.microsoft.com/Forums/en-US/winserverNIS/thread/9ae4e7dd-f73e-4cce-bdff-5913d5961c09
Вторая ссылка - это фактическое руководство по развертыванию от Microsoft для нескольких подсетей. http://technet.microsoft.com/en-us/library/cc758865(WS.10).aspx
Еще одно интересное замечание: большинство крупных частных школ, похоже, используют Net Box Blue в качестве устройства фильтрации / межсетевого экрана перед аппаратным межсетевым экраном. http://netboxblue.com/ Я ненавижу эту штуку, но для небольших ИТ-команд она работает хорошо.
Поскольку это школьный проект, мне не стоило бы отвечать за вас на ваши вопросы. ржунимагу
Это отличный проект, который можно использовать в качестве примера проектирования сетей.
Я не думаю, что кто-то из присутствующих здесь даст вам полный ответ (противоречит цели в качестве учебного упражнения), но вот несколько практических советов:
Для школы вы хотите сделать свои сети как можно более раздельными - вам нужно «физическое» разделение (разные коммутационные инфраструктуры или, по крайней мере, разные VLAN), а также сетевое / логическое разделение (разные подсети).
Просматривая ваши вопросы, отмеченные выше:
Брандмауэр?
Да. Определенно. С соответствующими наборами правил.
Бренд зависит от вас, но оба из них, которые вы упомянули, - хороший выбор, ИМХО.
VLAN?
Это дешевле, чем отдельные коммутационные инфраструктуры :-)
Должны ли быть две области на DHCP-сервере?
Должно быть два DHCP-сервера (потому что ваша сеть будет разделена на два разных широковещательных домена). Возможно, вам также понадобится DC в каждой сети.
Если вы хотите получить техническую информацию, вам, вероятно, следует создать поддерево в AD для хранения "edu" (пользователи / пароли и т. Д.), Чтобы оно было отделено от административного материала.