igor.grinin писал(а): ↑05 янв 2019, 01:35
Добрый день, потихонечку разбираюсь с Микротиком.
Это хорошо....но дальше, увы...всё плохо
igor.grinin писал(а): ↑05 янв 2019, 01:35
Стоит в офисе MIKROTIK RB941-2ND (дома стоит Mikrotik hAP ac lite (RB952Ui-5ac2nD) )
Хоть бы ознакомились с линейкой всех роутеров микротик!????
941 роутер - самый простой роутер, сделан на архитектуре
smips, под данную
архитектуру даже сервер времени (пакет) не делают. Да и просто сравните память в 941 и в 952!?
Для офиса 941 роутер = категорически
НЕТ. Его атаками, и активным трафиком
можно положить. Официально, РБ941 - называют "
домашней точкой доступа".
Так что советую срочно рассмотреть вопрос замены роутера на более мощный,
чтобы памяти хватало, чтобы можно было строить акцес-листы, адрес-листы, и
прочее. И с гигабитными портами конечно.
(у меня с 3х провайдеров за сутки около 1000-1700 атак в сутки по DNS-и-SSH портам).
igor.grinin писал(а): ↑05 янв 2019, 01:35
гигабитному Свичу, в который заходят 3 сетевых карты от сервера и 1 карта ILO.
карта iLO, как бы существует для резервного/обходного/запасного управления.
Обычно её выводят в отдельную под-сеть и не подключают в общую, или
она подключена в общую физическую сеть, но обернута отдельным виланом.
Вариаций много, но карта iLO или попросту IPMI должен быть доступен
при недоступности сети, свитчей и прочего.
Поэтому как раз возможно, как резерв продумать вариант роутера 941 и iLO карты
= как отдельный сегмент с отдельным входом/подключением.
igor.grinin писал(а): ↑05 янв 2019, 01:35
Основная задача развести физически виртуальные машины от физической сети.
В такой постановке задачи = не получиться. Виртуальные машины (сервера) работают, и дают(предоставляют)
какой-то сервис, значит они взаимодействуют с локальной сетью, поэтому "помыть посуду не намочив её водой"
не получиться. Физическая сеть есть физическая, виртуальные машины можно тоже сегментировать,
вынести часть сервисов в отдельную подсеть (то есть будет сеть локальная и будет DMZ сеть).
Между ними сделать уже защиту/прохождения трафика, и так далее, но это надо всё продумать,
рассчитать и делать....(если сделать по-быстрому, скорее всего локальная сеть встанет и офис остановиться).
igor.grinin писал(а): ↑05 янв 2019, 01:35
Те если гипотетически будет взломан какой то сайт или астериск и получен root доступ, чтобы не было выхода в корп сеть и доступа через сеть к серваку либо в локалку.
Выше объяснил = если сервис работает в общей сети = то доступ будет. Разделять надо сеть, на сети, под-сети,
наконец-то есть технология виланов (VLAN) = это всё основы сетей, с микротиком никак не связаны.
Почитайте...
igor.grinin писал(а): ↑05 янв 2019, 01:35
Возможно ли это все разграничить? когда идет 1 физический кабель к Свитчу, от которого запитан сервак? или нужен отдельный кабель на каждую сетевуху и ее непосредственно в Микротик. Возможно, часть можно сделать на уровне Hyperv, выкладываю скриншот (Hyper-V vSwitch — это программно-определяемый коммутатор трафика сети Ethernet, работающий на канальном уровне (layer-2).)
Нужно понимать сеть, её нагрузку, логику, тем более у Вас 1С там, а это вообще, требования к сети
у 1С = большие, обычно важные сервисы/виртуальные машины делают на одном хосте (на одной физическом сервере,
где работают сервисы), а на другом хосте = делают уже веб-приложения.
igor.grinin писал(а): ↑05 янв 2019, 01:35
p.s. Проброс портов и Нат практически осовил, а вот виртуальные сети, разграничение доступа пока в процессе, поэтому прошу помощи.
На уровне виртуализации чтобы сделать защиту между виртуалками целые системы есть,
которые стоят как джипы, поэтому это задача - целый комплекс подходов и практика+теория.
Изучите вопрос более шире и в целом.
