Прошу помощи в настройке оборудования для небольшой конторы
Добавлено: 26 апр 2013, 11:45
Здравствуйте!
Собственно, прошу помощи. Я сам в железках Mikrotik полный нуб, первый раз приобрел. Писал сюда, чтобы помогли подобрать. В итоге, приобретено:
1. 1100 AHx2 - в центральный офис.
2. 2011 UAS-IN - на удаленные точки.
Сейчас будет копипаст поста, который я писал, когда просил помочь с подбором оборудования:
На сегодняшний день ситуация такая:
- 1 провайдер, на выходе - Cisco. Она же смотрит в локалку, служа шлюзом и dhcp
- 3 управляемых свича D-Link, в которые воткнуты ВСЕ - и компьютеры самой организации и арендаторы.
- 1 сервер с Windows 2008, служит AD и DNS.
- ip-адресация одна для всех
полоса пропускания забита до невозможности, всем все можно.
Надо:
1. Разделить арендаторов и саму организацию в разные подсети, подсети арендаторов ограничить полосу пропускания, всех арендаторов можно сунуть в одну подсеть - не проблема. Туда же суется WiFi. В этой подсети пусть работает DHCP.
2. В самой организации тоже необходимо разделение на две подсети, потому как необходимо выделить те компы, на которых скорость интернет полосы должна быть максимальной, остальным зарезать. В обоих этих сегментах пусть будет статическая адресация.
3. Сервер Windows AD и компьютеры организации должны быть видны любому сегменту сети компьютеров организации, но не видны арендаторам.
4. Убрать с Cisco функции DHCP и прередать их, предположительно, железке MIKROTIK.
5. В данный момент Windows AD является для всех первым DNS (для домена это необходимо, но вот компьютеры арендаторов тоже к нему обращаются). Нужно на Mikrotik передать тоже функции DNS, чтоб арендаторы обращались только к нему, а организация обращалась к обоим DNS.
6. Нужна возможность давать/убирать доступ в интернет у пользователей организации.
7. Также нужна возможность разрешать/запрещать пользователям разный тип трафика, допустим, кому-то запретить торренты, а кому-то разрешить.
8. Нужна возможность мониторинга посещаемых ресурсов.
9. Есть небольшие удаленные подведомственные организации, их 9. Необходимо дать возможность бухгалтеру в такой организации прицепиться через Remote Desctop к Windows AD и работать там в 1С, которая на нем крутится.
10. Сейчас рассматривается вопрос внедрения системы электронного документооборота, который объединить Центральный офис и 9 подведомственных организаций. Нужна возможность организации защищенных VPN-каналов.
Рисунок проекта сети прилагаю.
Такого чувства собственной неполноценности я уже давно не испытывал. )))))) Зашел на 1100AHx2 и понял, что я не понимаю вообще ничего! ))))))
Понятное дело, что у таких железок нету LAN/WAN портов и что они, изначально, равнозначны. Но я даже элементарного сделать не могу ))))))) Вот на первом порту, по умолчанию, адрес 192.168.88.1, я туда зашел и попал в консоль администрирования, решил на 10 порту настроить WAN, дал порту адрес 192.168.10.10, воткнул этот порт в Циску, на Циске провайдер настроил мне интерфейс 192.168.10.1, чтоб этот порт имел связь с инетом, так я даже не могу найти где прописать 10 порту шлюз для выходы в инет и DNS Так что я в полной прострации - как мне настраивать то, что я задумал ))))
Прошу помощи хотя бы в описании укрупненных шагов, основанных на вышеизложенных пунктах. Детали уж как-нибудь через документацию попробую понять.
С чего там вообще начинать надо? Я пока только обновил ее до версии 5.24 )))))
Хотя бы типа: "Сначала настраиваешь этот момент, затем этот, потом этот......"
Заранее огромное спасибо!
С уважением, Алексей
Собственно, прошу помощи. Я сам в железках Mikrotik полный нуб, первый раз приобрел. Писал сюда, чтобы помогли подобрать. В итоге, приобретено:
1. 1100 AHx2 - в центральный офис.
2. 2011 UAS-IN - на удаленные точки.
Сейчас будет копипаст поста, который я писал, когда просил помочь с подбором оборудования:
На сегодняшний день ситуация такая:
- 1 провайдер, на выходе - Cisco. Она же смотрит в локалку, служа шлюзом и dhcp
- 3 управляемых свича D-Link, в которые воткнуты ВСЕ - и компьютеры самой организации и арендаторы.
- 1 сервер с Windows 2008, служит AD и DNS.
- ip-адресация одна для всех
полоса пропускания забита до невозможности, всем все можно.
Надо:
1. Разделить арендаторов и саму организацию в разные подсети, подсети арендаторов ограничить полосу пропускания, всех арендаторов можно сунуть в одну подсеть - не проблема. Туда же суется WiFi. В этой подсети пусть работает DHCP.
2. В самой организации тоже необходимо разделение на две подсети, потому как необходимо выделить те компы, на которых скорость интернет полосы должна быть максимальной, остальным зарезать. В обоих этих сегментах пусть будет статическая адресация.
3. Сервер Windows AD и компьютеры организации должны быть видны любому сегменту сети компьютеров организации, но не видны арендаторам.
4. Убрать с Cisco функции DHCP и прередать их, предположительно, железке MIKROTIK.
5. В данный момент Windows AD является для всех первым DNS (для домена это необходимо, но вот компьютеры арендаторов тоже к нему обращаются). Нужно на Mikrotik передать тоже функции DNS, чтоб арендаторы обращались только к нему, а организация обращалась к обоим DNS.
6. Нужна возможность давать/убирать доступ в интернет у пользователей организации.
7. Также нужна возможность разрешать/запрещать пользователям разный тип трафика, допустим, кому-то запретить торренты, а кому-то разрешить.
8. Нужна возможность мониторинга посещаемых ресурсов.
9. Есть небольшие удаленные подведомственные организации, их 9. Необходимо дать возможность бухгалтеру в такой организации прицепиться через Remote Desctop к Windows AD и работать там в 1С, которая на нем крутится.
10. Сейчас рассматривается вопрос внедрения системы электронного документооборота, который объединить Центральный офис и 9 подведомственных организаций. Нужна возможность организации защищенных VPN-каналов.
Рисунок проекта сети прилагаю.
Такого чувства собственной неполноценности я уже давно не испытывал. )))))) Зашел на 1100AHx2 и понял, что я не понимаю вообще ничего! ))))))
Понятное дело, что у таких железок нету LAN/WAN портов и что они, изначально, равнозначны. Но я даже элементарного сделать не могу ))))))) Вот на первом порту, по умолчанию, адрес 192.168.88.1, я туда зашел и попал в консоль администрирования, решил на 10 порту настроить WAN, дал порту адрес 192.168.10.10, воткнул этот порт в Циску, на Циске провайдер настроил мне интерфейс 192.168.10.1, чтоб этот порт имел связь с инетом, так я даже не могу найти где прописать 10 порту шлюз для выходы в инет и DNS Так что я в полной прострации - как мне настраивать то, что я задумал ))))
Прошу помощи хотя бы в описании укрупненных шагов, основанных на вышеизложенных пунктах. Детали уж как-нибудь через документацию попробую понять.
С чего там вообще начинать надо? Я пока только обновил ее до версии 5.24 )))))
Хотя бы типа: "Сначала настраиваешь этот момент, затем этот, потом этот......"
Заранее огромное спасибо!
С уважением, Алексей