Przebudowa sieci

Wiadomość

one · #1

Witam,

Dostałem zadanie przebudowania sieci firmowej. W chwili obecnej wygląda ona następująco:

Mam do dyspozycji dwa routery i kilka switchy. Chcę wydzielić dmz, sieć LAN dla pracowników, sieć dla wewnętrznych serwerów firmowych i sieć dla innych firm którym udostępniamy łącze do internetu. I nie wiem jakie rozwiązanie wybrać.
Czy na styku z internetem dać router, do niego podłączyć firewall i za nim znowu router (routing między sieciami i zestawienie vpn, a sieć innych firm i moją lokalną oddzielić vrfami):

Czy router na brzegu nie jest potrzebny?

Czy może "Inne sieci" podłączyć bezpośrednio pod firewall lub dać router na styku z internetem i podłączyć je do routera?

Ogólnie to jakie są praktyki przy budowie takiego rodzaju sieci?

Dzięki z góry za pomoc,
Pozdrawiam.

PatrykW · #2

Moze zacznij od opisu, ile userow w sieci, cos zserwerownia, dmz ?
jak duza ta siec jest ?

one · #3

Sieć LAN to w skrócie około 300 stacji roboczych, 1/3 z tego to kilka site to site vpn. Chcę zrobić osobną sieć na serwery, kontrolery domeny, wifi, radius, dhcp, pocztę itp. DMZ na pocztę, www i inne usługi wystawiane na świat. "Inne sieci" to jak wspomniałem sieci firm którym udostępniamy dostęp do internetu i naturalnie oni nie mogą mieć dostępu do niczego prócz internetu.
Chodzi mi głównie o tą warstwę core, ponieważ jakbym nie zrobił to będzie jakoś działać, ale jaka jest najlepsza praktyka w tym przypadku, aby siec była skalowalna i żeby nie męczyć urządzeń niepotrzebną konfiguracją i ruchem.

PatrykW · #4

one pisze:Sieć LAN to w skrócie około 300 stacji roboczych, 1/3 z tego to kilka site to site vpn. Chcę zrobić osobną sieć na serwery, kontrolery domeny, wifi, radius, dhcp, pocztę itp. DMZ na pocztę, www i inne usługi wystawiane na świat. "Inne sieci" to jak wspomniałem sieci firm którym udostępniamy dostęp do internetu i naturalnie oni nie mogą mieć dostępu do niczego prócz internetu.
Chodzi mi głównie o tą warstwę core, ponieważ jakbym nie zrobił to będzie jakoś działać, ale jaka jest najlepsza praktyka w tym przypadku, aby siec była skalowalna i żeby nie męczyć urządzeń niepotrzebną konfiguracją i ruchem.

opisales ze masz do dyspozycji jakies urzadzenia L2 i L3. Co to za pudelka ?

one · #5

2x CISCO 1800
a switche to HP ale modelu nie podam z głowy.

Z siecią od kilku lat nikt nic nie robił prócz dodawania nowych switchy i hostów. Kiedyś jak sieć była mała to taki układ się sprawdzał, ale teraz to panuje tam jeden wielki chaos

frontier · #6

Może zatrudnijcie kogoś do tego projektu?

one · #7

Za dużo informacji dałem i odbiegamy od tematu.
Chodzi mi tylko i wyłącznie o podpowiedź w jakiej kolejności postawić urządzenia:
1. Czy dać od strony internetu najpierw router potem firewall tak aby firewall filtrował wszystko nawet routing między vlanami. (ISP --> Router --> Firewall )
2. Dać najpierw firewall a potem router tak aby przez firewalla trafiał tylko ruch do dmz i internetu. (ISP --> Firewall --> Router )
3. Czy może ISP --> Router --> Firewall --> Router.

Kyniu · #8

No to ja do ankiety dorzucam:

Kod: Zaznacz cały

ISP1 --- ROUTER1 ---
                   |
                   |----- FIREWALL --- LAN
                   |
ISP2 --- ROUTER2 ---

lukaszbw · #9

Najlepiej ISP --> Router ---> Firewall ---> SwitchL3. Inna sprawa, że 2 routery z serii 1800 na 300 stacji roboczych to nie wróży dobrze.

Pozdr.