Искренне рекомендую не использовать в адрессации внутренних подсетей 192.168.0.0 и 192.168.1.0
Уходите выше, типа 192.168.100.0
Почему? Потому что дефолтные настройки железок обычно тоже в этих подсетях, притом DHCP-сервер обычно включен по-умолчанию. И при попадании подобной "инородной" железки в рабочую сеть получается такой расколбас, что мало не покажется.
А если к тому же Вы не в курсе (а обычно так и бывает), что кто-то принес и воткнул железку в сеть - то порой мозги плавятся мгновенно, а желание расплющить деителя, который это несанкционированно воткнул, растет с каждой минутой по экспоненте.

Элементарный пример - точка доступа DWL-2100AP.
Адрес по дефолту 192.168.0.50
Включенный DHCP кладет адреса в диапазоне с 101 по 199.
Аргументация деителя - а я не знал, я думал что по вайфаю можно мой ноут подцепить...
И ему невдомек, что в это время офис офигевает от коллизий, а телефон сисадмина напоминает помидор, впрочем, как и он сам.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

+1.
Да. Все делать правильно с самого начала намного проще.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

спасибо за дельные советы

перевел локальную в зону 100

авторизация сделана, только все толпятся под общим логином

DHCP лучше на сервере 2003 оставить или DFL-800 запустить?

какие рекомендуете дальнейшие действия?
- регистрация
- IDS/IDP
- прописание всех пользователей
- ...

Если у Вас домен, то DHCP конечно лучше оставить на сервере 2003.
Регистрируйтесь на сайте, заказывайте подписку на IDS/IDP, после триального периода можете продлить эту подписку путем ее покупки.
Штука полезная. Например, с ее помощью Аська закрывается за 5 мин.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...