Ajuda de design de rede necessária (escritório principal + filiais + servidor central)

6

Eu tenho uma sede e um número de sub-escritórios. Tanto a matriz quanto as suboficiais precisam acessar algum servidor corporativo, que está fisicamente na matriz. Mas os sub-escritórios não devem poder acessar a sede ou uns aos outros. Sub-escritórios estão a uma distância substancial um do outro e da sede (muitos kms).

Como faço para projetar a rede para essa tarefa?

Suponho que cada sub-gabinete deve ter acesso à Internet. O switch de LAN do Central Server deve ter o IP estático e o software OpenVPN instalado. Por exemplo, a rede do SubOffice1 é 10.0.1.x, o SubOffice2 10.0.2.x etc, a sede 10.254.x.x, a LAN do Servidor Central 192.168.0.x.

Quando o PC da suboficial ou o PC da sede precisar acessar o Central Server, um PC iniciará a conexão VPN para o servidor central.

Eu deveria então usar roteadores para cada rede e configurar o firewall de forma que ele permita conexões de dentro da rede apenas com exceção do roteador LAN do Servidor Central.

Isso está correto? Pode haver alguns detalhes importantes que devo ter em mente para construir esta rede? Qual hardware você recomendaria para isso (roteadores, suporte a modos de firewall necessários, etc.)?

ADICIONADO em 07/05/2012:

Nosso ISP não pode oferecer nada, exceto para acesso à Internet. Eu não posso esperar que eles suportem qualquer coisa como MPLS. ISPs são diferentes em cada suboficial e sede.

O número de sub-escritórios é como 20.

As conexões dos sub-escritórios para o escritório central precisam ser criptografadas porque serão roteadas pela Internet.

Eu quero que sub-escritórios sejam isolados da matriz e um do outro completamente, para que nenhum pacote possa viajar para lá e para cá.

Eu pretendo ter apenas PCs Linux nos escritórios, mas também pode haver algumas máquinas Windows. Nenhum Active Directory ou algo assim. Apenas um PC no Windows / Linux.

Algum livro bom sobre o assunto?

    
por Vladislav Rastrusny 06.05.2012 / 22:21

4 respostas

6

Matt Simmons escreveu uma série de excelentes artigos para conversas simples que você pode achar instrutivas;

  1. Colocação em rede da folha de depósito
  2. Layout de rede física para os que relutam
  3. Layout de rede lógica para pequenas redes

Mas primeiro alguns pontos no seu design:

  1. Suboffice="filial", você pode pesquisar no Google por " design de rede da filial "para ter uma boa ideia do que está disponível e do que geralmente é implementado nessas situações.
  2. Não confunda o seu espaço IP, não há problema em usar uma rede 10.n.n.n em toda a sua LAN. Use sub-redes e VLANs para separar seus domínios de broadcast. O uso de um 192.168.n.n em sua LAN de servidor adiciona complexidade desnecessária (a uma decisão arbitrária).
  3. Não responsabilize cada cliente por estabelecer conexões VPN, isso levará a tantas dores de cabeça quanto os clientes. Estabeleça a VPN no roteador (ou outro dispositivo VPN dedicado).
  4. Entre em contato com seu ISP / Operadora para saber que tipo de equipamento eles oferecem para o seu tipo de serviço. Isso pode afetar suas decisões de implantação.
  5. Hardware específico ... veja as séries Cisco ASA que oferecem firewall, VPN e roteamento tudo em um pacote pequeno.

Boa sorte!

Atualizar

Você pediu alguns livros para começar, posso oferecer a você alguns que lidam diretamente com seu problema aqui, e há um alguns livros excelentes recomendados em outros lugares no serverfault que irão ajudá-lo de outras maneiras, conforme necessário.

Especificamente, recomendo começar com a série de livros CISCO CCNA. Parece que você já foi jogado no fundo do poço com uma implantação tão grande. A Cisco Press CCNA ICND1 abordará muitos dos tópicos fundamentais que você precisa aprender. Você também pode tentar o livro COMPTIA Network + também. Eu nunca li, mas vai oferecer algumas novas perspectivas não oferecidas no CCNA.

Preste especial atenção ao modelo OSI, especialmente as diferenças entre as camadas 1, 2 e 3.

Além disso, eu começaria a procurar por "white papers" e "melhores práticas" para implantações de filiais (há algumas que você verá na pesquisa do Google que eu postei anteriormente). Sysadmin só realmente aprender alguma coisa, fazendo isso, pense nisso como engenharia aplicada. Muitas vezes existem medidas iguais de pensamento analítico e pelo assento de sua ação de calças.

Como você tem 20 ou mais escritórios, você poderá gerenciar centralmente todos os seus serviços. Você pode começar ligando para diferentes fornecedores e pedir a eles uma solução (não se comprometa com nada no telefone! Você pode quase sempre pedir um preço melhor, ou equipamento extra ou suporte extra, você está comprando apenas 20 dispositivos , mas isso é provavelmente mais do que a maioria). Além disso, não acredite em 90% do que o representante de vendas do fornecedor lhe disser, volte aqui e faça outra pergunta sobre as implantações específicas que você tinha em mente.

Mais uma vez, boa sorte!

    
por 07.05.2012 / 02:55
3

Eu realmente sugiro repetir isso novamente. Switches são dispositivos da Camada 2 e geralmente não lidam com IPs e especialmente com VPNs.

A melhor solução seria ter roteadores habilitados para VPN em cada escritório e, em seguida, configurar o vpn de site a site para o escritório central e configurar o roteamento corretamente. Você pode fazer isso mesmo com OpenVPN e PCs com várias placas de rede se você tiver redes pequenas.

A numeração de sub-rede não é importante, apenas não se sobreponha às redes. Você também precisará de sub-redes para conexões de roteador-roteador (/ 30 é bom o suficiente), a menos que você use L2 vpn e conecte os roteadores à sua rede interna central.

Para dois escritórios, o roteamento pode ser feito manualmente.

    
por 06.05.2012 / 22:37
1

Evitarei duplicar o bom conselho que já foi publicado neste tópico, mas gostaria de acrescentar um ponto de consideração. Ao projetar uma rede para lidar com filiais, uma consideração importante deve ser o nível de separação necessário. Outra maneira de analisar essa questão é considerar que o nível de separação pode ser tolerado pelos aplicativos.

Hoje em dia, a maioria dos clientes < - > os aplicativos servidor / ponto a ponto estão satisfeitos com uma separação L3 (em sub-redes diferentes), mas ainda há aplicativos em uso que esperam que os pares estejam no mesmo domínio de transmissão [multicast | subnet] ou, em alguns casos, não falar IP em tudo.

Uma VPN L3 ou um túnel não criptografado (por exemplo, GRE) entre roteadores será administrativamente a menor quantidade de trabalho, e meu conselho seria preferir essa configuração se ela atender aos seus requisitos de negócios. No entanto, é importante considerar quais aplicativos sua rede é necessária para suportar agora e no futuro imediato. Às vezes, uma VPN / túnel L2 será necessária. É importante considerar esse problema no início do processo de design, pois ele terá um grande impacto na seleção de equipamentos e / ou softwares. Geralmente, o tunelamento L2 não é uma opção em equipamentos L3 mais antigos e geralmente não está disponível ou modelos low-end de produção atual.

    
por 07.05.2012 / 08:25
-3

Também depende do tipo de recursos que você precisa acessar.

Se o compartilhamento de arquivos - para uma pequena empresa, eu usaria o dropbox ou seu equivalente comercial jungledisc

Outra opção é usar um MS Sharepoint Server - oferece a você uma opção para uma fácil colaboração de arquivos em vários sites.

    
por 06.05.2012 / 23:51