Тотальная переделка сети

Juniper/Cisco/Allied Telesis/D-Link/Zyxel
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
GhOsT_MZ
лейтенант
Сообщения: 662
Зарегистрирован: 2011-04-25 11:40:35
Контактная информация:

Тотальная переделка сети

Непрочитанное сообщение GhOsT_MZ » 2012-01-29 20:55:29

Доброго времени суток!
Есть необходимость перекроить текущую сеть с заменой прокси-сервера, да и самого принципа адресации в сети.
На данный момент используется одноранговая сеть класса С. В связи с переделкой части сети для соответствия 152-ФЗ было принято решение переделать практически все, убрав слабые стороны сети, в виде виндового прокси, и сделать задел на будущее в виде сегментации сети по отделам.
На данный момент из оборудования есть:
2 х Cisco Catalyst WS-C2950T-24 Enhanced Image, IOS 12.1(13)EA1
1 х Cisco Catalyst WS-C2950T-48-SI Standart Image, IOS 12.1(22)EA8
1 х Cisco Catalyst WS-C2950 Standart Image
1 x Cisco Catalyst WS-C2960G-24

2 х CIsco 2621XM
2 х Cisco PIX 515E UR, PixOS 6.3

Собственно, на данный момент 3 100-мегабитных коммутатора с аплинками подключены к гигабитному коммутатору, и являются коммутаторами доступа пользователей. Последний коммутатор, на котором нету аплинков, используется для коммутации в него сетевого оборудования, и одним портом соединен с одинм из 100-мегабитных коммутаторов. К гигабитному коммутатору подключены сервера.

Один из 2621XM используется как PPPoE-клиент, а второй - не знаю как, но подключен к SHDSL-модему, который используется для доступа к ведомственной сети VPN. После каждого из 2621XM идет PIX 515E. В случае с КСПД, на нем поднят транк со стороны локалки, на котором VoIP- и data-VLAN. Второй PIX занимается трансляецией адресов, в будущем было желание поднять DMZ с сервером для мониторинга (Syslog, SNMP, Nagios) сетевого оборудования и серверов, а в DMZ так как у пикса и 2621XM, смотриящих в интернет, внешние белые адреса.

Также, к 2621XM, который смотрит в интернет, подключен Brick 50, который поддерживает несколько IPSec-туннелей к удаленным офисам.

Собственно, на данный момент есть желание сегментировать сеть. Думаю, что имеет смысл выделить по VLAN на отдел и осуществлять маршрутизацию посредством коммутатора, при этом запретив трафик между VLAN-ми отдела с помощью ACL (другого варианта пока не вижу, ну буду рад, если ткнут носом). Про автоматическую раздачу VLAN-ов было много мыслей, в том числе:
1) dot1x
2) VMPS
3) Ручками

Собственно первый вариант не подошел, так как было желание делать это чисто по MAC-адресам, но такой функционал мое оборудование просто не поддерживает.
Что касается VMPS, то в принципе не плохая идея, но вот все упирается в voice vlan, с которым он не дружит, да и при нем не работает VTP, что тоже не есть хорошо.
Ручками выбирать VLAN - тоже не очень удобно, ибо я смогу это сделать, но на работе на этой должности я не один, так что...

Также, было желание выкинуть виндовый прокси и использовать PIX для раздачи интернета, а учитывать трафик и разграничивать доступ пользователей посредством FreeRADIUS, поднятом на FreeBSD. По мне так идея не плохая, особенно в сравнении с текущей реализацией прокси в лице UserGate.

И еще, проблема уперлась в то, что у меня нету L3-коммутатора. На его роль был выбран не дорогой Cisco 3560-E-TS (если память не изменяет, это который достаточно простой, с двумя аплинками и без PoE). Для исполнение 152-ФЗ оба PIX прийдется заменить на сертифицированную ASA. Пока выбор пал на недорогую модель 5510-BUN-SEC.
Собственно один из вопросов: хватит ASA 5510 с лицензией Advanced Security для поддержания порядка 10-15 IPSec-туннелей или нужно расширять лицензию? Хватит ли ее мощности, чтобы заменить 2 PIX 515E и Lucent Brick 50 в сети с около 100 пользователей?
Хватит ли мощности Catalyst 3560 для маршрутизации трафика между 15-20 виланами?

Насчет подсчета трафика, сначала придерживался аккаунтинга на раудисе, но потом почитал про NetFlow. У кого какие мысли по этому поводу? Или есть еще более интересные варианты?

PS: получилось слегка сумбурное описание, но пока нету схемы, скорей всего будет завтра, так что, если нужно, могу показать.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35418
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Тотальная переделка сети

Непрочитанное сообщение Alex Keda » 2012-01-29 22:28:40

показывай
Убей их всех! Бог потом рассортирует...

lap
лейтенант
Сообщения: 608
Зарегистрирован: 2010-08-13 23:39:29
Откуда: Moscow
Контактная информация:

Re: Тотальная переделка сети

Непрочитанное сообщение lap » 2012-01-29 22:31:50

3560 (я так понимаю он с фастезернетами) довольнотаки шустрая девайсина по моим воспоминаниям (у меня есть несколько очень древних 3550 на которых живет кучка вланов +запущены всякие осспф/бгп/втп и проблем с производительностью замечено небыло, также есть офисная сеть с "ядром" из 3-х 3750 в стеке , в обвязке с кучей всякой мелочевки типа 2950/2960/3550/3560 и естественнно тоже с оспф/бгп/дхцп для всякой лабуды типа телефонов +через него ходит куча мультикаста в том числе формата HD). Такчто проблем возникнуть не должно.
Нетфлоу - не факт что такая фича будет на 3560. на 2621 она точно есть. на пиксе и асе - хз.
Не сломалось - не чини.

GhOsT_MZ
лейтенант
Сообщения: 662
Зарегистрирован: 2011-04-25 11:40:35
Контактная информация:

Re: Тотальная переделка сети

Непрочитанное сообщение GhOsT_MZ » 2012-01-30 8:30:54

Ну вот собственно схема:
Изображение
Изображение

Вот собственно есть желание заменить 2 PIX и Brick 50 одним ASA 5510. Поднять на нем DMZ, там поместить FreeBSD с Nagios и Syslog. Brick 50 на данный момент держит около 10 IPSec-туннелей, и это нужно учитывать при покупке ASA, так как там с лицензиями они намудрили не слабо. Остальные межсетевые экраны ничего сложного не делают, на одном NAT, на втором вроде как маршрутизируется трафик, но тут не уверен, ибо я его не настраивал и не смотрел его настройки.
Сделать отдельный managment vlan для управления сетевым оборудованием, туда также поместить сервер с FreeBSD, на котором будет стоять FreeRADIUS, и который будет раздавать VLANы и считать интернет трафик с ASA 5510, ну и соответственно иметь возможность блокировать трафик при достижении определенного лимита.

Далее, за маршрутизацию будет отвечать 3560, который будет подключаться к ws-core0, который в свою очередь гигабитный.

Вот тут есть ряд непоняток в плане реализации. Хватит ли мощности 3560 на маршрутизацию порядка 15-20 VLAN, учитывая, что на них будет повешен ACL, чтобы пользователи в другие VLAN не лазили?

От ASA будет требоваться поддерживать около 10 IPSec-туннелей, само собой PAT, плюс маршрутизация трафика от одного канала передачи данных. Собственно тут аналогичный вопрос, потянет ли эта железка при количестве пользователе около 100?

Ну и само собой момент по раздачи VLAN конечным пользователям. MAC-based dot1x не поддерживается железками, а EAPOL-аутентификация не устраивает. Тут остается вариант с VMPS, но он не особо дружит с voice vlan. Да и непонятно как подружить с VMPS транковые порты, на которых висят телефоны Avaya. Также, есть один момент, который забыл упомянуть - к 3-м портам 2950T подключены "тупые" коммутаторы D-Link, так как СКС не позволила разместить всех пользователей.

Вообщем, ситуация такова. Часть первого поста повторил, так как в нем была неясность, теперь более упорядочены мои мысли.

PS: картинки кликабельны.