Тотальная переделка сети
Добавлено: 2012-01-29 20:55:29
Доброго времени суток!
Есть необходимость перекроить текущую сеть с заменой прокси-сервера, да и самого принципа адресации в сети.
На данный момент используется одноранговая сеть класса С. В связи с переделкой части сети для соответствия 152-ФЗ было принято решение переделать практически все, убрав слабые стороны сети, в виде виндового прокси, и сделать задел на будущее в виде сегментации сети по отделам.
На данный момент из оборудования есть:
2 х Cisco Catalyst WS-C2950T-24 Enhanced Image, IOS 12.1(13)EA1
1 х Cisco Catalyst WS-C2950T-48-SI Standart Image, IOS 12.1(22)EA8
1 х Cisco Catalyst WS-C2950 Standart Image
1 x Cisco Catalyst WS-C2960G-24
2 х CIsco 2621XM
2 х Cisco PIX 515E UR, PixOS 6.3
Собственно, на данный момент 3 100-мегабитных коммутатора с аплинками подключены к гигабитному коммутатору, и являются коммутаторами доступа пользователей. Последний коммутатор, на котором нету аплинков, используется для коммутации в него сетевого оборудования, и одним портом соединен с одинм из 100-мегабитных коммутаторов. К гигабитному коммутатору подключены сервера.
Один из 2621XM используется как PPPoE-клиент, а второй - не знаю как, но подключен к SHDSL-модему, который используется для доступа к ведомственной сети VPN. После каждого из 2621XM идет PIX 515E. В случае с КСПД, на нем поднят транк со стороны локалки, на котором VoIP- и data-VLAN. Второй PIX занимается трансляецией адресов, в будущем было желание поднять DMZ с сервером для мониторинга (Syslog, SNMP, Nagios) сетевого оборудования и серверов, а в DMZ так как у пикса и 2621XM, смотриящих в интернет, внешние белые адреса.
Также, к 2621XM, который смотрит в интернет, подключен Brick 50, который поддерживает несколько IPSec-туннелей к удаленным офисам.
Собственно, на данный момент есть желание сегментировать сеть. Думаю, что имеет смысл выделить по VLAN на отдел и осуществлять маршрутизацию посредством коммутатора, при этом запретив трафик между VLAN-ми отдела с помощью ACL (другого варианта пока не вижу, ну буду рад, если ткнут носом). Про автоматическую раздачу VLAN-ов было много мыслей, в том числе:
1) dot1x
2) VMPS
3) Ручками
Собственно первый вариант не подошел, так как было желание делать это чисто по MAC-адресам, но такой функционал мое оборудование просто не поддерживает.
Что касается VMPS, то в принципе не плохая идея, но вот все упирается в voice vlan, с которым он не дружит, да и при нем не работает VTP, что тоже не есть хорошо.
Ручками выбирать VLAN - тоже не очень удобно, ибо я смогу это сделать, но на работе на этой должности я не один, так что...
Также, было желание выкинуть виндовый прокси и использовать PIX для раздачи интернета, а учитывать трафик и разграничивать доступ пользователей посредством FreeRADIUS, поднятом на FreeBSD. По мне так идея не плохая, особенно в сравнении с текущей реализацией прокси в лице UserGate.
И еще, проблема уперлась в то, что у меня нету L3-коммутатора. На его роль был выбран не дорогой Cisco 3560-E-TS (если память не изменяет, это который достаточно простой, с двумя аплинками и без PoE). Для исполнение 152-ФЗ оба PIX прийдется заменить на сертифицированную ASA. Пока выбор пал на недорогую модель 5510-BUN-SEC.
Собственно один из вопросов: хватит ASA 5510 с лицензией Advanced Security для поддержания порядка 10-15 IPSec-туннелей или нужно расширять лицензию? Хватит ли ее мощности, чтобы заменить 2 PIX 515E и Lucent Brick 50 в сети с около 100 пользователей?
Хватит ли мощности Catalyst 3560 для маршрутизации трафика между 15-20 виланами?
Насчет подсчета трафика, сначала придерживался аккаунтинга на раудисе, но потом почитал про NetFlow. У кого какие мысли по этому поводу? Или есть еще более интересные варианты?
PS: получилось слегка сумбурное описание, но пока нету схемы, скорей всего будет завтра, так что, если нужно, могу показать.
Есть необходимость перекроить текущую сеть с заменой прокси-сервера, да и самого принципа адресации в сети.
На данный момент используется одноранговая сеть класса С. В связи с переделкой части сети для соответствия 152-ФЗ было принято решение переделать практически все, убрав слабые стороны сети, в виде виндового прокси, и сделать задел на будущее в виде сегментации сети по отделам.
На данный момент из оборудования есть:
2 х Cisco Catalyst WS-C2950T-24 Enhanced Image, IOS 12.1(13)EA1
1 х Cisco Catalyst WS-C2950T-48-SI Standart Image, IOS 12.1(22)EA8
1 х Cisco Catalyst WS-C2950 Standart Image
1 x Cisco Catalyst WS-C2960G-24
2 х CIsco 2621XM
2 х Cisco PIX 515E UR, PixOS 6.3
Собственно, на данный момент 3 100-мегабитных коммутатора с аплинками подключены к гигабитному коммутатору, и являются коммутаторами доступа пользователей. Последний коммутатор, на котором нету аплинков, используется для коммутации в него сетевого оборудования, и одним портом соединен с одинм из 100-мегабитных коммутаторов. К гигабитному коммутатору подключены сервера.
Один из 2621XM используется как PPPoE-клиент, а второй - не знаю как, но подключен к SHDSL-модему, который используется для доступа к ведомственной сети VPN. После каждого из 2621XM идет PIX 515E. В случае с КСПД, на нем поднят транк со стороны локалки, на котором VoIP- и data-VLAN. Второй PIX занимается трансляецией адресов, в будущем было желание поднять DMZ с сервером для мониторинга (Syslog, SNMP, Nagios) сетевого оборудования и серверов, а в DMZ так как у пикса и 2621XM, смотриящих в интернет, внешние белые адреса.
Также, к 2621XM, который смотрит в интернет, подключен Brick 50, который поддерживает несколько IPSec-туннелей к удаленным офисам.
Собственно, на данный момент есть желание сегментировать сеть. Думаю, что имеет смысл выделить по VLAN на отдел и осуществлять маршрутизацию посредством коммутатора, при этом запретив трафик между VLAN-ми отдела с помощью ACL (другого варианта пока не вижу, ну буду рад, если ткнут носом). Про автоматическую раздачу VLAN-ов было много мыслей, в том числе:
1) dot1x
2) VMPS
3) Ручками
Собственно первый вариант не подошел, так как было желание делать это чисто по MAC-адресам, но такой функционал мое оборудование просто не поддерживает.
Что касается VMPS, то в принципе не плохая идея, но вот все упирается в voice vlan, с которым он не дружит, да и при нем не работает VTP, что тоже не есть хорошо.
Ручками выбирать VLAN - тоже не очень удобно, ибо я смогу это сделать, но на работе на этой должности я не один, так что...
Также, было желание выкинуть виндовый прокси и использовать PIX для раздачи интернета, а учитывать трафик и разграничивать доступ пользователей посредством FreeRADIUS, поднятом на FreeBSD. По мне так идея не плохая, особенно в сравнении с текущей реализацией прокси в лице UserGate.
И еще, проблема уперлась в то, что у меня нету L3-коммутатора. На его роль был выбран не дорогой Cisco 3560-E-TS (если память не изменяет, это который достаточно простой, с двумя аплинками и без PoE). Для исполнение 152-ФЗ оба PIX прийдется заменить на сертифицированную ASA. Пока выбор пал на недорогую модель 5510-BUN-SEC.
Собственно один из вопросов: хватит ASA 5510 с лицензией Advanced Security для поддержания порядка 10-15 IPSec-туннелей или нужно расширять лицензию? Хватит ли ее мощности, чтобы заменить 2 PIX 515E и Lucent Brick 50 в сети с около 100 пользователей?
Хватит ли мощности Catalyst 3560 для маршрутизации трафика между 15-20 виланами?
Насчет подсчета трафика, сначала придерживался аккаунтинга на раудисе, но потом почитал про NetFlow. У кого какие мысли по этому поводу? Или есть еще более интересные варианты?
PS: получилось слегка сумбурное описание, но пока нету схемы, скорей всего будет завтра, так что, если нужно, могу показать.
