Какой вариант организации сети лучше?
Почему не рассматривается использование выделненного сервера для маршрутицации?
забыл приписать "ламачью просьба не беспокоиться" 
я откуда знаю, не я эти варианты предлогаю
Аппаратный Firewall - чё это такое? 
Реально есть такая маза?
Реально есть такая маза?
есть. и аппаратный антивирус.
аппаратный антивирус
Сцылку дай, плиз. где почитать про это
вот, например. =)
ни у кого нет разумных идей?
меня просто так ломает трем разным людям объяснять что плохого и что хорошого в этих варинтах...
я думал - тут что-нибудь напишут умное, я попрошу кого-нибудь из своих сотрудников это прочитать и разобраться...
меня просто так ломает трем разным людям объяснять что плохого и что хорошого в этих варинтах...
я думал - тут что-нибудь напишут умное, я попрошу кого-нибудь из своих сотрудников это прочитать и разобраться...
ты хотел нас использовать!
нигадяй!
нигадяй!
а я то думал, ты там админ 
а ты походу перепрофилировался
жене кстати задавал подобный вопрос ?
а ты походу перепрофилировался
жене кстати задавал подобный вопрос ?
я никогда не был просто админом
сейчас я выступаю в роли консультанта по таким вопросам, только мне уже это надоело
сейчас я выступаю в роли консультанта по таким вопросам, только мне уже это надоело
кстати файрбокс неплохая штука, но хороша если с подпиской, вот только по поводу модели я тебе точно сказать не смогу - хватит мощностей или нет.
Если выбирать файрбокс то и файервол не нужен, только почтовик.
если компов 50-100 то наверно АД нужен, а если АД, то и эксчейндж будет симпатичнее.
Если выбирать файрбокс то и файервол не нужен, только почтовик.
если компов 50-100 то наверно АД нужен, а если АД, то и эксчейндж будет симпатичнее.
их админ не хочет АД - уже замучался ему объяснять зачем он нужен
и это его вариант с firebox
и это его вариант с firebox
а настраивать этот админ файербокс умеет ?
ну если он не хочет АД то пусть ебется не мешай ему
ну если он не хочет АД то пусть ебется
не мешай емунет, не умеет при покупке ящика - учать его настраивать
я хочу, чтобы там было AD и был вообще другой админ
в джобе тему опять апнул про это :]
в джобе тему опять апнул про это :]
эээх бля
и как такие админы живут то только
и как такие админы живут то только
я хочу, чтобы там было AD и был вообще другой админ
в джобе тему опять апнул про это :]
видимо твои желания не совпадают с возможностями
совпадают, про зарплату в 1000$ и больше для нового админа я с руководством договорился
1. Интренет --> Аппаратный Firewall (D-link, может что и получше)--> Серрвер с ISA + Exchange --> Lan
Я лично, однозначно за ISA и Exchange, хотя бы из соображений простоты в администрировании на такой сети (больше 50 юзверев). С керио, по моему, наживешь только геморой даже просто в плане почты - у Exchange больше возможностей даже просто по интеграции с другими приложениями Microsoft (Instant Messenger Server). Необходимости в аппаратном файрволе не вижу разве что только ради понтов т.к. в случае корпоративной сети настройку фильтрации нужно вести даже на 7-ом уровне, а это посволяет делать только ISA. Также как и не совсем понимаю необходимость в Cisco 2600, если у тебя один офис (а я так подозреваю, что он один, судя по вопросам, что из ПО ставить можно, конечно, с ее помощью сделать ДМЗ зону за ISA сервером если клиенты помешаны на безопасности.
Что такое Firebox не знаю и ничего сказать не могу, но если это фаервол, то на этот счет мнение я уже высказал.
Итак:
Internet->ISA Server->Внешние сервера-> Cisco 2600->Внутрений Exchange&LAN.
сегодня еще один вариает появился
Интренет --> FreeBSD--> Exchange --> Lan
Интренет --> FreeBSD--> Exchange --> Lan
сразу видно полного виндузятника
запомни, если начальство готово платить много бабла на железки, то не стоит стесняться и ужимать себя в бюджете, а купить хороших дорогих железок, т.к. потом скорее всего шансов купить дорогие железки будет меньше
по поводу - изы, то уж лучше какие-нить фрюниксы, просто потому что для интернета - лучше не винду
ну если ты уж прикипел к изе - то ставь ее в ДМЗ
запомни, если начальство готово платить много бабла на железки, то не стоит стесняться и ужимать себя в бюджете, а купить хороших дорогих железок, т.к. потом скорее всего шансов купить дорогие железки будет меньше
по поводу - изы, то уж лучше какие-нить фрюниксы, просто потому что для интернета - лучше не винду
ну если ты уж прикипел к изе - то ставь ее в ДМЗ
сразу видно полного виндузятника
Я одинаково плохо разбираюсь в виндах и цисках. В юниксах не разбираюсь совсем
запомни, если начальство готово платить много бабла на железки, то не стоит стесняться и ужимать себя в бюджете, а купить хороших дорогих железок, т.к. потом скорее всего шансов купить дорогие железки будет меньше
Очень спорно что будет дешевле: Cisco 2600 или двухпроцессорный сервер и лицензия на ИСА.
по поводу - изы, то уж лучше какие-нить фрюниксы, просто потому что для интернета - лучше не винду
ну если ты уж прикипел к изе - то ставь ее в ДМЗ
ДМз зона в отличии от канала интернет более загружен, и на границу ДМЗ-ЛАН надо ставить Cisco или Juniper, которые не анализируют пакеты центральным процессором. ИСА в этом случае, на мой взгляд, просто обречена на смерть. Зато на границе интернета-ДМЗ ИСА будет работать очень великолепно, позволяя фильтровать трафик не только на 3-4 уровне, но так же и на 7-ом, запрещая определенным пользователям (группе) скачивать файлы из инета с определенными разширениями (напр. .avi). При дальнейшем расширении сети и канала интернет, разумно будет поставить хардварный фаервол перед ИСА с целью снижения нагрузки на нее и как следствие увеличения производительности.
не говоря уже о возможностях винды просто составлять отчеты по тому, какие ресурсы были наиболее посещяемыми данным пользователем за этот месяц - тем самым иса делает ещё один шаг на встречу тотального фашизма в корпоративных сетях
это:
с этим:
либо ты пиздишь в первом пункте, либо во втором
ладно спорить с тобой не буду, в виду ненадобности - ни мне - ни тебе
P.S.
Никто не говорил что иза будет маршрутизатором
Да и такое чудо:"двухпроцессорный сервер и лицензия на ИСА." врядли загрузится даже с изой
Я одинаково плохо разбираюсь в виндах и цисках. В юниксах не разбираюсь совсем
с этим:
ДМз зона в отличии от канала интернет более загружен, и на границу ДМЗ-ЛАН надо ставить Cisco или Juniper, которые не анализируют пакеты центральным процессором. ИСА в этом случае, на мой взгляд, просто обречена на смерть. Зато на границе интернета-ДМЗ ИСА будет работать очень великолепно, позволяя фильтровать трафик не только на 3-4 уровне, но так же и на 7-ом, запрещая определенным пользователям (группе) скачивать файлы из инета с определенными разширениями (напр. .avi). При дальнейшем расширении сети и канала интернет, разумно будет поставить хардварный фаервол перед ИСА с целью снижения нагрузки на нее и как следствие увеличения производительности.с этим не стыкуется
либо ты пиздишь в первом пункте, либо во втором
ладно спорить с тобой не буду, в виду ненадобности - ни мне - ни тебе
P.S.
Никто не говорил что иза будет маршрутизатором
Да и такое чудо:"двухпроцессорный сервер и лицензия на ИСА." врядли загрузится даже с изой
2-х процессорный сервер для ИСЫ - это конечно круто
ты как счиатешь, это на сколько пользователей, при каком трафике и какой фильтрации?
ты как счиатешь, это на сколько пользователей, при каком трафике и какой фильтрации?
либо ты пиздишь в первом пункте, либо во втором
сертифицированным специалистом я являюсь только по циске, но почему то меня не оставляет ощущение, что в виндах я знаю значительно больше. При этом меня не покидает ощущения, что винды мне ещё ботать и ботать
ты в своем посте вещал про организацию сети вообще или для сети в 50-100 компов ?
если вообще - то ладно бох тебе судья
если относительно 50-100 компов - то сеть будет плоская: 3-4 нормальных свитча с транками, вланами, управлением и т.д.
так что имхо аллах тебя покарает раньше
если вообще - то ладно бох тебе судья
если относительно 50-100 компов - то сеть будет плоская: 3-4 нормальных свитча с транками, вланами, управлением и т.д.
так что имхо аллах тебя покарает раньше
только не говори что ты имеешь ццна не поверю
а в чем проблема его иметь?
опыт работы год, потом оплачивают тебе курсы, немного ботаешь и сдаешь со 2-3 раза
опыт работы год, потом оплачивают тебе курсы, немного ботаешь и сдаешь со 2-3 раза
2-х процессорный сервер для ИСЫ - это конечно круто
Да, а то, что у Майкрософта еще лицензия на число процессоров есть знаешь? Вот это реально крутые цены. На два процессора, если я не ошибаюсь, ИСА стоит 2000$, на один то ли 1000, то ли 1500...
ты как счиатешь, это на сколько пользователей, при каком трафике и какой фильтрации?
Пользователей 100-200 с каналом до 10Мбит спокойно потянет при любой фильтрации (без антивируса).
ну если ты так себе сертификат зарабатываешь
то уж меня такой процесс не радует
я хочу иметь знания
то уж меня такой процесс не радует
я хочу иметь знания
если относительно 50-100 компов
Вообще, в самом начале я вещал, о именно такой сети, но если начальство дает денег, то я предложил способ для их оправданной реализации
Сертификация реально ссна, сснп буду сдавать в ближайшее время.
мне не нужен сертифкат по циске и на сертификат я себе не зарабатываю
раньше был нужен MCSE, теперь я думаю - что фигня полная и не стоит связывать свою карьеру со всякими сертификатами
раньше был нужен MCSE, теперь я думаю - что фигня полная и не стоит связывать свою карьеру со всякими сертификатами
раньше был нужен MCSE, теперь я думаю - что фигня полная и не стоит связывать свою карьеру со всякими сертификатамиНаверное, когда я сдам MCSE и CCIE, я тоже так буду думать
причем тут лицензии?
я говорю, про то, что для 50-100 человек не нужен 2-х процессорный сервер под ИСУ
я говорю, про то, что для 50-100 человек не нужен 2-х процессорный сервер под ИСУ
MCSE - я сдал
потом вовремя понял, что сдавать что-то еще не надо и надо заниматься чем-то другим
сейчас уже простые вещи могу не помнить и я только рад этому, место в голове освобождается под более интересное
потом вовремя понял, что сдавать что-то еще не надо и надо заниматься чем-то другим
сейчас уже простые вещи могу не помнить и я только рад этому, место в голове освобождается под более интересное
кстати, а нах лицензия для изы в настоящее время, когда надзора нет ?
я говорю, про то, что для 50-100 человек не нужен 2-х процессорный сервер под ИСУДа, не нужен. Так же как и циски и аппаратный фаерфолы. Достаточно третьего пня и все будет работатьв лучшем виде. Аппаратные маршрутизаторы и фаерволы имеет смысл вводить, только тогда, когда сетевой трафик станет реально большим.
при наличии двух каналов инета проще иметь аппаратный маршрутиризатор, чем мучаться с wingate на 3-ем пне
Если реально два канала, то тогда действительно лучше Cisco-->ISA->все остальное. Хотя и ИСА позволяет сосдавать массивы, но для двух каналов тогда понадобиться два сервака.
кстати, а насколько широки каналы ?
корбина - оптика
будет еще adsl от МТУ
будет еще adsl от МТУ
adsl как резервный канал на случай падения первого?
ёбтыть
а оптика стопудово 10мбит/с ?
а оптика стопудово 10мбит/с ?
да
а телефония тоже от них по оптике ?
нет :]
разборки с корбиной уже дошли до ора матом на какого-то главного инженера из корбины
разборки с корбиной уже дошли до ора матом на какого-то главного инженера из корбины
на половину
сроки срывают ?
Тогда однозначно 2600 на вход!
на половину - это ты о чем ?
бля ты бы тогда конкретно модель бы подсказал специалист по циско
специалист по циско нет, канал падает до 70-100 кбит
про телефонию, есть корбина - она по оптике, а еще есть обычный МГТС
потери на канале ?
или типа валят на ваше оборудование ?
или типа валят на ваше оборудование ?
типа валят на разводку и оборудование, хотя все делал и ставил их субподрядчик
бля ты бы тогда конкретно модель бы подсказал специалист по циско
Может ещё конфиг накатать сразу?
кстати а кто субподрядчик?
ну а хули слабо ?
с автоматическим переключением канала
с автоматическим переключением канала
а что умеют циски в плане автоматического переключения между разными каналами до разных провайдеров, кроме bgp?
или именно bgp и будет?
или именно bgp и будет?
не помню, тебе это важно?
ну а хули слабо ?
с автоматическим переключением канала
Для ADSL слабо, для всего остального - нет.
eigrp
ospf
ospf
а хули для адсл
там же с модема наверняка езернет в циску будет, так что все просто должно быть
там же с модема наверняка езернет в циску будет, так что все просто должно быть
а что умеют циски в плане автоматического переключения между разными каналами до разных провайдеров, кроме bgp?
или именно bgp и будет?
BGP здесь непричем. Просто циска умеет в случае падения основного канала переходить на резервный.
ты про cdp ?
eigrp
ospf
В данном случае, все ограничется просто Static route
> Просто циска умеет в случае падения основного канала переходить на резервный.
Можно ссылки на cisco.com?
Именно для случая двух разных провайдеров?
Спасибо.
Можно ссылки на cisco.com?
Именно для случая двух разных провайдеров?
Спасибо.
там же с модема наверняка езернет в циску будет, так что все просто должно быть
E1 и консольный провод.
бля не надо усложнять себе жизнь
будет от модема тебе езернет и успокойся
будет от модема тебе езернет и успокойся
с adsl модема будет обычный изернет
кстати
ospf и eigrp
если провайдер поддерживает, но я думаю что оба поддерживают eigrp в силу специфика российских телекомов
ospf и eigrp
если провайдер поддерживает, но я думаю что оба поддерживают eigrp в силу специфика российских телекомов
Можно ссылки на cisco.com?
Именно для случая двух разных провайдеров?
Ты не совсем понял постановку задачи. Есть просто тупиковая сеть (stub network где все роуты статические. Есть два провайдера, которые тоже предоставляют статический роуты, и в данном случае функциональность циски состоит в том, чтоб быстро определить, что через основной канал трафик не идет и быстро перейти на резервный канал.
BGP используется, когда у тебя распределенная сеть. К данному случаю это не имеет отношения.
> если провайдер поддерживает, но я думаю что оба поддерживают eigrp в силу специфика российских телекомов
никто клиента не пустит в igp, а если по забывчивости пустят, то быстро выгонят (громко при этом матерясь) , когда оный клиент начнёт маршрутизировать трафик между провайдерскими сетями
никто клиента не пустит в igp, а если по забывчивости пустят, то быстро выгонят (громко при этом матерясь) , когда оный клиент начнёт маршрутизировать трафик между провайдерскими сетями
Именно для случая двух разных провайдеров?
BGP - это правильное решение. Ссылку, я думаю, искать не надо?
а если провайдеры и так пирятся ?
ну или хотябы пусть маршрутизирует, клиент ведь на бабло попадает, почему бы не пустить в igp ?
и к тому же наверняка у каждого прова стоят аксес листы в сторону клиента, которые пускают траффик только со своих адресов.
когда я сдам MCSE и CCIEНу ништяк, MCSE уже в один ряд с CCIE записали..... елси бы с CCNA, я бы не возражал, с CCNP - довольно сильно поспорил бы, но CCIE - остается только плакать.
Оставить комментарий
Angelika_900
1. Интренет --> Аппаратный Firewall (D-link, может что и получше)--> Серрвер с ISA + Exchange --> Lan2. Интренет --> Firebox X50 --> Kerio WinRoute Firewall + Kerio MailServer --> Lan
3. Интренет --> Cisco 2600 --> Kerio WinRoute Firewall -> LAN
-> Echange
Все это на 50-100 пользователей.
Интересует оценка по след. параметрам: надежность, простота обслуживания, стоимостЬ обслуживания.