Сразу оговорюсь, сеть на 450 портов, с активным оборудованием от 3кома, межсегментные соединения гна гигабитэзернете...
Моя задача организовать непосредственно связь, а точнее соединить эту сеть с внешним миром...
Мое предложение такое...Если смотреть изнутри,то...
1) Поинты подключены к шлюзу, на котором крутится pppoe+биллинг...
Таким образом они подключаются к сети и будут 100% обсчитываться...
2) Этот сервер дальше видит почтовый сервер, прокси сервер...
Дело в том, что почтовый сервер я хочу поставить отдельной машинкой под qmail, прокся тоже планируется отдельной тачкой...
3) Вот эти две тачки(прокся и мыльник) подрублены к внешнему шлюзу, который уже подключен к двум адсл каналам (позже будет оптика)...Вопрос куча...
1) Стоит ли реально раскидывать мыльник и проксю на разные машины, насколько это оправданно??? Может кто поделится ссылками, где можно почитать о прожорливости данных серверов...
2) Днску я сначала хотел тоже отдельно, но потом подумал поставить на внешний шлюз, если ей там будет плохо, то поставить по соседству кэширующую...
Правильно ли это, продуктивно???
3) Так как будет два канала, то как динамически их делить??? Года два назад я не нашел ответа на этот вопрос, может сейчас появились возможности???
4) Давать доступ снаружи на смтп собирался dnatом, насколько это корректно???Простите, если вопросы туповаты, опыт у меня есть , просто с такими большими сетями встречаюсь впервые, не хотелось бы лажануться...
Всем спасибо заранее
>Если смотреть изнутри,то...
>1) Поинты подключены к шлюзу, на котором крутится pppoe+биллинг...
>Таким образом они подключаются к сети и будут 100% обсчитываться...а это обязтельное условие? обсчитывать каждого клиента? Это домашняя сеть или организация?
>Вопрос куча...
>1) Стоит ли реально раскидывать мыльник и проксю на разные машины, насколько
>это оправданно??? Может кто поделится ссылками, где можно почитать о прожорливости
>данных серверов...Раскидывать стоит, а прожорливость зависит от почтового оборота в сутки и количества ящиков. Без первичных данных никуда.
>2) Днску я сначала хотел тоже отдельно, но потом подумал поставить на
>внешний шлюз, если ей там будет плохо, то поставить по соседству
>кэширующую...
>Правильно ли это, продуктивно???Тогда уж внешнюю DNS-ку на мыльный сервер, а кеширующую ставить внутри сети отдельно.
>3) Так как будет два канала, то как динамически их делить??? Года
>два назад я не нашел ответа на этот вопрос, может сейчас ,
>появились возможности???Зависит от провайдера(ов). Динамически делить можно.
>4) Давать доступ снаружи на смтп собирался dnatом, насколько это корректно???
Некорректно вовсе.
Предполагаемый план наступления, который вовсе не едиственно верный, а просто один из возможных.1. Организовать DMZ хотябы с небольшим количеством реальных IP.
2. В качестве внешнего роутера я бы выбрал опять же cisco, поскольку у ребят есть правильные протоколы маршрутизации и в сети вагон набросков конфигов, в том числе и с балансировкой по каналам. На ней же первичный фильтр пакетов.
3. Внутри DMZ поставить poxy- и mail- сервера. Как уже говорил выше DNS сервер тогда тоже на mail.
4. Статистику по трафику снимать с cisco по netflow. Смотреть в сторону netams.
5. Сделать отдельную машину , которая будет натить внутреннюю сеть и работать вторым эшелоном защиты.
6. Кэширующий DNS внутри сети.best regards, aleksey
>а это обязтельное условие? обсчитывать каждого клиента? Это домашняя сеть или организация?
офисное здание, так что обязательное :)>Раскидывать стоит, а прожорливость зависит от почтового оборота в сутки и количества
>ящиков. Без первичных данных никуда.
Вот сам к сожалению даже предположить не могу пока>Тогда уж внешнюю DNS-ку на мыльный сервер, а кеширующую ставить внутри сети
>отдельно.
Ясно>Зависит от провайдера(ов). Динамически делить можно.
Каким образом??? Циска пока отпадает...>Некорректно вовсе.
Вот потому и спросил, как чуял, что неверно :)
>
>Предполагаемый план наступления, который вовсе не едиственно верный, а просто один из
>возможных.
>
>1. Организовать DMZ хотябы с небольшим количеством реальных IP.
Все, что знаю про DMZ исключительно теория, не мог бы ты объяснить, как это должно выглядеть на практике?
>2. В качестве внешнего роутера я бы выбрал опять же cisco, поскольку
>у ребят есть правильные протоколы маршрутизации и в сети вагон набросков
>конфигов, в том числе и с балансировкой по каналам. На ней
>же первичный фильтр пакетов.
Циска не катит.
>5. Сделать отдельную машину , которая будет натить внутреннюю сеть и работать
>вторым эшелоном защиты.
>6. Кэширующий DNS внутри сети.
С этим вроде все ясно, так и хотелось...Еще вопрос, есть ли какие траблы с pppoe??? Вроде народ пользуется, все нормально я тоже использую в небольших сетях, проблем не возникало
>офисное здание, так что обязательное :)
т.е. не ты владелец сети полностью, а раздается по другим организациям, правильно?>>Раскидывать стоит, а прожорливость зависит от почтового оборота в сутки и количества
>>ящиков. Без первичных данных никуда.
>Вот сам к сожалению даже предположить не могу пока
А сейчс ничего еще пока не стоит? Если стоит, то что и в каком месте не устраивает.>>Зависит от провайдера(ов). Динамически делить можно.
>Каким образом??? Циска пока отпадает...ну опять же мое, сугубо личное, мнение:
если провайдер один и просто дал два канала, то все достаточно понятно, я думаю. А если это разные провайдеры, то нужна автономная система, которую анонсируют и используют, например в протоколе BGP4. А вот порядок анонсов, регистрации и прочего зависит от провадера.>>
>>Предполагаемый план наступления, который вовсе не едиственно верный, а просто один из
>>возможных.
>>
>>1. Организовать DMZ хотябы с небольшим количеством реальных IP.
>Все, что знаю про DMZ исключительно теория, не мог бы ты объяснить,
>как это должно выглядеть на практике?DMZ.
Грубо говоря на практике это выглядит отдельным коммутатором, в который воткнуты все inet-сервера и два маршрутизатора. В сетке бегает tcp/ip с реальными адресами. Один маршрутизатор смотрит во внешний мир, в твоем случае двумя каналами сразу. На нем чистый роутинг, автономная система (если два провайдера) и первичная фильтрация. Второй маршрутизатор - специально для ната, жесткого контроля пользователей и прочего. Иногда поднимают не нат, а только прокси и тогда у пользователей ничего, кроме того что может прокси, нет... даже маршрутизации. Но они (пользователи) тогда капризничают и пытаются обосновать для чего им все остальное. Иногда аргументировано.>>2. В качестве внешнего роутера я бы выбрал опять же cisco, поскольку
>>у ребят есть правильные протоколы маршрутизации и в сети вагон набросков
>>конфигов, в том числе и с балансировкой по каналам. На ней
>>же первичный фильтр пакетов.
>Циска не катит.тогда просто железка и "умелые ручки" =)
>Еще вопрос, есть ли какие траблы с pppoe??? Вроде народ пользуется,
>все нормально я тоже использую в небольших сетях, проблем не возникалоТраблов с pppoe не изучал, поскольку на практике не использовал.
Тут ничего сказать не могу.aleksey
>т.е. не ты владелец сети полностью, а раздается по другим организациям, правильно?
Сеть наша, но траффик раздается по отдельным договорам, то есть там много организаций...>А сейчс ничего еще пока не стоит? Если стоит, то что и
>в каком месте не устраивает.
Абсолютно ничего нет, вот на днях начинают прокладку кабеля и установку стоек, как только это сделают, на арену надо будет выходить мне :)>ну опять же мое, сугубо личное, мнение:
>если провайдер один и просто дал два канала, то все достаточно понятно,
>я думаю. А если это разные провайдеры, то нужна автономная система,
>которую анонсируют и используют, например в протоколе BGP4. А вот порядок
>анонсов, регистрации и прочего зависит от провадера.
Скажем так, идеальная система, два идентичных канала, нужно просто распределить нагрузку...>DMZ.
>Грубо говоря на практике это выглядит отдельным коммутатором, в который воткнуты все
>inet-сервера и два маршрутизатора. В сетке бегает tcp/ip с реальными адресами.
>Один маршрутизатор смотрит во внешний мир, в твоем случае двумя каналами
>сразу. На нем чистый роутинг, автономная система (если два провайдера) и
>первичная фильтрация. Второй маршрутизатор - специально для ната, жесткого контроля пользователей
>и прочего. Иногда поднимают не нат, а только прокси и тогда
>у пользователей ничего, кроме того что может прокси, нет... даже маршрутизации.
>Но они (пользователи) тогда капризничают и пытаются обосновать для чего
>им все остальное. Иногда аргументировано.
С капризами я сталкивался, нат будет однозначно, прокся исключительно для экономии траффика, ну и в редких случая для ускорения работы пользователей...
Собственно саму систему DMZ я представлял именно так, больше меня интересует другое... Внешний маршрутизатор как будет перекидывать пакеты в DMZ...>тогда просто железка и "умелые ручки" =)
Уфф :) Предположительно несколько 4-х пней (может ксеоны) и от гектара оперативки в каждой...>>Еще вопрос, есть ли какие траблы с pppoe??? Вроде народ пользуется,
>>все нормально я тоже использую в небольших сетях, проблем не возникало
>
>Траблов с pppoe не изучал, поскольку на практике не использовал.
>Тут ничего сказать не могу.
Ок, буду полагаться на свой опыт...Вот еще интересны такие моменты...
1) Чем vpopmail так хорош???
Я всегда использовал qmail+maildir, вот посмотрел на гибкость vpopmail, но так и не нашел для себя причин перехода на него...
2) Стоит ли ставить антиспамку??? (я считаю, что не стоит, но есть другие мнения)
3) Хватит ли для начала 2-х адслей, а при неудачном раскладе 2-х тарелок по 2мбита??? Все понимаю, мало, но пока не выполним этот заказ, оптику тянуть не будем, когда все устаканится, конечно швырнем оптику...