Добрый день.
Взываю к помощи всемирного разума, в частности пользователей данного ресурса.
Суть проблемы:
Жила были под одной крышей несколько организаций.
В качестве маршрутизатора для всей сети работала ISA 2006, прекрасно работала, железнобетонно, попутно организовывая DMZ зону для hhtp и ftp ресурсов. На борту была целая сеть внешних адресов, по которым отвечали разные сайты, службы и приложения.
Сейчас, так сложилась жизнь, организация разъезжается на несколько офисов, в следствие чего в качестве маршрутизаторов для офисов были выбраны MikroTik 1100AHx4, чтобы и L2TP с IPSec поднять между офисами и OSPF подключить.
А теперь встаёт вопрос по организации сети в двух из четырёх офисах.
Дело в том, что этим двум конторам будет продолжать требоваться DMZ. А исторически сложилось, что весь "зоопарк" адресов, которые разруливала ISA остался. ISA умеет рулить URLы куда надо. Таким образом, на один "белый" ip может вести много-много разных URL, при этом сервера, на которых крутятся службы и сайты могут быть разными, фактически, по количеству URL.
Никак не могу приложить ума, как грамотно попытаться построить схему, чтобы маршрутизатором для интернета и соединения с удалёнными офисами стал MikroTik, при этом желательно оставить железнобетонную и умную ISA в качестве организатора DMZ в "трёхногом" варианте.
Или есть иные предложения?
ПС. Микротик помимо прочего рулит Vlan пользователи/серверы/админы/ip-телефония.
Буду признателен за любые мысли, подсказки и предположения.
Новая топология сети на МикроТик
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
kt72ru
- Сообщения: 141
- Зарегистрирован: 23 июн 2017, 07:55
1.ISA организовывала не DMZ, а reverse proxy.
2.Выделяйте новые подсети разъехавшимся офисам.
3.Настраивайте туннели. Чистый IPSEC или GRE+IPSEC для работы OSPF. Надеюсь внешние адреса в офисах фиксированные.
4.OSPF вам потребуется если в офисах будет несколько каналов для резервирования, иначе хватит и статической маршрутизации.
5.Оставляете ISA в офисе где остаются ваши белые адреса. Если внутренние ресурсы, доступ к которым осуществлялся через ISA переезжают в удаленные офисы, то на ISA указываете новые внутренние IP адреса этих ресурсов.
6.Самая простая схема это звезда.
В принципе все примитивно.
2.Выделяйте новые подсети разъехавшимся офисам.
3.Настраивайте туннели. Чистый IPSEC или GRE+IPSEC для работы OSPF. Надеюсь внешние адреса в офисах фиксированные.
4.OSPF вам потребуется если в офисах будет несколько каналов для резервирования, иначе хватит и статической маршрутизации.
5.Оставляете ISA в офисе где остаются ваши белые адреса. Если внутренние ресурсы, доступ к которым осуществлялся через ISA переезжают в удаленные офисы, то на ISA указываете новые внутренние IP адреса этих ресурсов.
6.Самая простая схема это звезда.
В принципе все примитивно.
-
algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
Ага, откажет центральный и звездец
Отказоустойчивое решение это чаще несколько центральных "хабов", резервирование каналов и динамическая маршрутизация.
А так, все зависит от компромисса между хочу и могу.
Последний раз редактировалось algerka 24 окт 2019, 09:58, всего редактировалось 1 раз.
Александр
-
algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31