Здравствуйте!

Помогите подобрать тип оборудования исходя из хотелок.

Суть: неразделенная сеть на 1000 ПК в нескольких корпусах, в каждом корпусе по шкафу, которые соединены оптикой. В шкафах стоят разномастные устройства всех веков, а сеть забита хламом.

Клиент вкладываться в модернизацию не хочет, так как у него все работает. Правда, иногда в колхозе происходит пичалька: дядя Вася делает петлю где нибудь на складе, а генеральный за километр от него испытывает трудности с загрузкой одноклассников, или спятивший свич подвешивает половину сети. При этом волна "компьютерщиков" несется по всей конторе, последовательно отключая корпуса в надежде найти источник. Провайдеры закрылись фаерволами.

Есть желание сегментировать сеть установкой некоего устройства (межсетевого экрана?), в каждом шкафу в месте перехода с оптики на медь. Устройство должно фильтровать трафик по портам, допустим разрешены порт 8080 для прокси, 137-139, 445 для nas и тд. Остальное все отметать. При этом сеть должна остаться в той же адресации.

Интересует централизованное управление этими устройствами, использование как единого профиля, так и удобная персональная настройка для кого то одного.

Буду признателен всем за ответы.

Подробнее об этом.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Нет привязки адресации подсети к какому то корпусу, то есть в одном корпусе могут находиться устройства с ip разных подсетей. Не знаю важно это или нет.
Сеть С /22 - 4 подсетки.

Этот раздел форума вам вряд ли подходит. Тут точно нет устройств, которые отвечали бы вашему желанию централизованного управления.

Вам лучше обратиться в раздел коммутаторов.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Тогда непонятно, как в таком случае Вы хотите сегментировать сеть, чтобы ее не штормило.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

На моем, прямо скажем, невысоком уровне понимания, решение проблемы представлялось так:
шкаф к которую подключены клиенты отделен от остальной сети фаерволом. Клиенты по обе стороны фаервола имеют адреса разных подсетей, например 192.168.35.100 и 192.168.34.200. Фаервол фильтрует трафик согласно правилам. 192.168.35.100 и 192.168.34.200 видят друг друга в пределах фаервола и видят других, допустим, 192.168.33.150 за вторым фаерволом по портам, которые разрешены.

Мне почему то думалось, что в небольшой сетке, обычным домашним микротиком это можно разрулить. И я спроецировал решение на данную проблему, предполагая взять железки по мощнее.

Если я не прав, то при сохранении текущей схемы, нужно переписать адреса на конечных устройствах в пределах отделяемых сеток?

Может быть Вы посоветуете другое решение?

Тогда Вам действительно в соседний раздел.
В голову я бы поставил DFL-2560 если его еще найдете, либо DFL-870, если его уже можно найти.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Если топик стартер еще заглянет сюда, поделюсь своим кратким взглядом на решение его задачи.

Мне представляется, что ядром сети должен быть мощный управляемый коммутатор третьего уровня. На уровень ниже располагаются управляемые коммутаторы третьего уровня или же, вероятно, второго уровня с поддержкой VLAN-ов. При этом подсети не обязательно совпадают с территориальным расположением предприятия. Вся инфраструктура управляемых коммутаторов управляется централизованным софтом.

Подобные решения точно есть у Cisco, но, полагаю, у D-Link тоже. Не исключено, что можно сделать бюджетный вариант на основе MikroTik, но есть сомнения по поводу существования софта централизованного управления. Хотя, может быть, есть решения от сторонних компаний.

Возможно, имеется смысл разослать по представительствам ведущих вендоров сетевого оборудования и/или по их партнерам краткое техзадание с просьбой предоставить возможное решение. И затем выбрать на кого ориентироваться.

Выход в интернет - отдельный сегмент сети, где могут пригодиться файрволлы D-Link DFL или конкурирующие аналоги. К примеру, тот же MikroTik, Cisco и т.п.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

и о чем разговор ?
толчия воды в ступе ?

на микроте можно конечно замутить . но его опять надо покупать а .....


а там сумма кругленькая

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

А без покупки - тут вариантов не будет.

Главное помнить, что L3 коммутаторы хоть и дороги, но на фоне цен на маршрутизаторы со сходными производительностями - совсем дешевы -)

Спасибо, видимо так и нужно сделать. Как Вы считаете, если написать моим "простым" языком, что мне нужно - меня поймут? И не перейдет это уже перейдет в область разработки проекта?

Мне необходимо понимать порядок цифр и иметь хотя бы концепцию модернизации, чтобы знать что предлагать.

Благодарю всех за Ваше участие.

Порядок цифр - 20-30 килобаксов.
Минимум.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Вы оперируете такими цифрами, а я даже не назвал количество узлов для модернизации.
Все равно спасибо, за Ваше мнение.

корпусов 4-5 , раз

При Этом лучше пилить на /24 . значит берем 5ть корпусов

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Вы практически угадали! Пусть даже 5 сегментов будет, в этом случае стоимость на шкаф выходит в 4-6 тыс.$ ~ от 300-400 тыс рублей за одну железку?

Мне однажды предлагали некую железку с оптическими портами, от которой предполагалось провести отдельные оптические линии до каждого шкафа, а старую оптику переключить на другую сеть. Вы не слышали про подобное оборудование?