Návrh sítě

[Michaela]

Aha, tak to mate dobre. To je jako ukazat lidem, jak se pumpuje guma u auta a pak je poslat delat automechaniky.

Toz drzim palce. Nezapomente se pochlubit, jak jste dopadla.

Snad to dobře dopadne, v to se všichni modlíme. Díky

[Reklama]

[ZAJDAN]

Ja osobne bych se vyhl jedne veci a to zapojovat server do switche mezi stanice. Delam to tak ze ho dam do routeru na jiny subnet nez jsou stanice a mam vetsi moznosti jak ho izolovat...od DMZ pocinaje, firewall, ...proste si to takto pomoci routeru ohnu jak potrebuju a to obema smery jak prichod na server z netu tak i local

[j]

To muzes, ale tim ti rostou pomerne zasadne naroky na vykon toho routeru. A pro drtivou vetsinu aplikaci je to zcela knicemu. A naopak, router ti pak obratem prestane fungovat jako bezpecnostni GW, protoze ti interni provoz leze pres nej.

[hugochavez]

To muzes, ale tim ti rostou pomerne zasadne naroky na vykon toho routeru.

Tak ten router tam neni na okrasu ale aby taky neco delal.
A kdyz uz clovek nakoupil 20 PC + server tak snad ma jeste par kacek na to aby koupil o 1 PC vic a hodil na nej treba PfSense FW... Ten (podle vyvojaru) zvlada 3/4 mil paketu/sek coz by melo stacit.

A pro drtivou vetsinu aplikaci je to zcela knicemu.

To sem nejak nepochopil.

A naopak, router ti pak obratem prestane fungovat jako bezpecnostni GW, protoze ti interni provoz leze pres nej.

To sem taky nepochopil. V cem je ta nevyhoda ze trafik leze pres router kterej ma nastaveny pravidla a podle toho filtruje/usmernuje provoz?? PfSense napr. ma pro KAZDEJ AKTIVOVANEJ INTERFACE svoji tabulku FW pravidel kteryma "resi" trafik vstupujici prave tim interfacem do routeru ( a urcuje kam dal pakety muzou a kam ne a ktery)
Asi mame oba ruznou predstavu o qualite routeru.

[j]

... ty toho zjevne nechapes ...

Vis hosane, switch je zcela vzdy radove vykonejsi nez router, pokud se budeme bavit o zarizeni ve stejny cene. A v 99,9999% pripadu stejne musi mit ke vsem sluzbam serveru pristup vsechny stroje v siti, tudiz davat mezi to router je naprosta kokotina.

A ze ti nekdo ten router hackne a tim padem se dostane k veskerymu internimu provozu co ty pres nej tlacis, to ti nedoslo ze? Kdyz to pres nej neleze, tak se dostane pouze k provozu pres net.

[Reklama]

[ZAJDAN]

... ty toho zjevne nechapes ...

Vis hosane, switch je zcela vzdy radove vykonejsi nez router, pokud se budeme bavit o zarizeni ve stejny cene. A v 99,9999% pripadu stejne musi mit ke vsem sluzbam serveru pristup vsechny stroje v siti, tudiz davat mezi to router je naprosta kokotina.

A ze ti nekdo ten router hackne a tim padem se dostane k veskerymu internimu provozu co ty pres nej tlacis, to ti nedoslo ze? Kdyz to pres nej neleze, tak se dostane pouze k provozu pres net.

davat do site s tolika stanicemi a serverem router za 600kc muze jen neznalec....
treba dneska uz jsou routery v cene 3 tisic co makaj velice slusne! (bavime se o office cca 30 stanic)
switch ma svou roli, router ma svou roli...mimo jine...router za 3 tisice umi vse...byt i routerem a switchem zaroven
hacknuty router :_)))) -> ten router tam bude vzdy tak i tak a prave od toho ma ten router DMZ zonu a podobne ficury

dale uz se k podobnym neznaleckym prispevkum vyjadrovat nebudu

[j]

Jo, chci videt jak ti router za 3k routuje Gbit, a to vcetne pravidel firewallu ... lol ...

Ty vubec nemas paru co je to DMZ ze?

[ZAJDAN]

tematem vubec nebylo zda zarizeni za tolik ci tolik penez...to uz se proste jen strhlo v diskuzi
ale kdyz uz se to zde zminilo, tak z osobni praxe:
mikrotik za 2500,- Kč
(routuju nekolik subnetu a udela 430Mbit..v router mode jsem vic nevymackl...pak jedine nektere porty zbridgovat - mod switch a da se na to postvat firewal stejne jako v modu router..ovsem CPU furt naplno)

MIKROTIK Cloud Router Switch CRS226 7000,- Kč
(routuju nekolik subnetu a udela cca 900Mbit)

[anonym]

Jo, chci videt jak ti router za 3k routuje Gbit, a to vcetne pravidel firewallu ... lol ...

Asi bych nemíchal dvě věci, routování a firewalling. Routing a přehazování paketů z leva do prava je to nejjednodušší. Koukat se ale co se děje uvnitř TCP spojení, na více vrstvách, nejen TCP ale také na aplikační úrovni, to už samozřejmě žádá procesorový čas a upřímně, Mikrotik jej kupříkladu zrovna moc k dispozici nemá.

[j]

Jo, chci videt jak ti router za 3k routuje Gbit, a to vcetne pravidel firewallu ... lol ...

Asi bych nemíchal dvě věci, routování a firewalling. Routing a přehazování paketů z leva do prava je to nejjednodušší. Koukat se ale co se děje uvnitř TCP spojení, na více vrstvách, nejen TCP ale také na aplikační úrovni, to už samozřejmě žádá procesorový čas a upřímně, Mikrotik jej kupříkladu zrovna moc k dispozici nemá.

Ja osobne bych se vyhl jedne veci a to zapojovat server do switche mezi stanice. Delam to tak ze ho dam do routeru na jiny subnet nez jsou stanice a mam vetsi moznosti jak ho izolovat...od DMZ pocinaje, firewall, ...proste si to takto pomoci routeru ohnu jak potrebuju a to obema smery jak prichod na server z netu tak i local

Asi bych michal ...  mikrotik za 3k nezvladne ani ciste odroutovat Gbit. Takze bude jiste uzasny si interni gigovou sit degradovat zarazenim neceho takovyho mezi stanice a server.

[Hobit]

Už to tu několikrát padlo ale v té odpovědí úplně mimo téma, nechutných až urážejících se nedá vyznat jak to vlastně kdo myslel.

Shrnutí zadání:
- návrh sítě LAN (hardware, použité standardy, použité protokoly, síťové adresy, zabezpečení)
- sdílení dat navzájem
- server pro soubory a aplikace
- přístup do internetu
- zabezpečení
- účel není zadán

1) návrh sítě
Pro takto malou síť je návrh sítě na prvním obrázku OK.
Na druhém obrázku server se samozřejmě nedává mezi router a switch, ale buď přímo do switche, nebo lépe do samostatného portu do routeru s oddělenou sítí označovanou jako DMZ.

Protože není zadán účel sítě, nemá cenu ani polemizovat výkony serverů, nebo routerů a už vůbec nemá cenu řešit cenu. To v zadání už vůbec není. Kdyby bylo v zadání navrhnout co nejlevnější síť, nebo navrhněte síť s dobrou efektivitou pro ten a ten účel, tak je to něco jiného. Tohle je obecné zadání a tak se k tomu musí přistupovat.
A ty příspěvky typu, že tohle ji měla naučit škola jsou taky mimo. Copak vás škola učila hned v první třídě počítat diferenciály? Asi těžko. Začínáte nejdřív od nějakých jednoduchých věcí s tím, že tam je spousta věcí zanedbána, nebo se prostě řekne, že to tak je a dál se to neřeší. Stejně jako tady. Nemůžete chtít hned od studenta vědět všechno do detailu.

Takže dále, topologie sítě namalovala OK, server bych zapojil do DMZ do samostatného portu do routeru.
Router/firewall:   PC s Linuxem, nebo Mikrotik, Fortigate 60D, nebo Cisco ASA5505
Switch bych dneska pro novou síť už použil jen s gigovými porty 100mb, se už podle mne nevyplatí doba přeci jen už pokročila a někteří stale zamrzli na úrovní před 10 lety):  HP 1820-24G, nebo Huawei S5700-LI, nebo Cisco SLM2024, nebo Cisco 2960S-24, nebo spousta dalších...

Použité protokoly TCP/IP, DHCP, FTP, ...
IP adresní schéma, např.:
- Internet: ip adresa od poskytovatele pripojeni: 1.1.1.2 /29, gateway 1.1.1.1, dns 1.2.3.4 a 1.2.3.5
- DMZ zona: ip adresa pro server 192.168.2.2 /24, gateway 192.168.2.1 (ip adresa je na routeru port dmz)
- LAN zona (pres switch): 192.168.1.2 až 192.168.1.254, gateway 192.168.1.1 (toto je ip adresa na interfacu routeru port pro lan)

2) sdílení
například pomocí SAMBA serveru na Linuxu, nebo na Windowsich sdílení

3) server
například PS s Linuxem, kde poběží aplikační a souborový server, nebo dedikovaný server od např. HP, DELL, nebo virtualizační systém jako VMware, nebo HyperV, Citrix, KVM (Linux), vekterých poběží samostatné servery s OS Windows, Linuxem, či jíným...

 4) přistup do internetu
by zajišťoval router s včetně s firewallem

5) zabezpečení
firewall by měl být minimálně na routeru, kde by byly 3 bezpečnostní zóny: INTERNET, DMZ, LAN
mezi těmito zónami nastavená bezpečnostní pravidlo, co kdo odkud a kam může. Například stanice přístup do internetu, přístup na pouze vybrané služby na serveru, přístup z internetu do lan zakazan, přístup z internetu na server povoleno jen konkrétní služby například firemní WWW server.
Router by mohl ještě zastávat funkci VPN serveru pro přístup administrárotů a uživatelů do vnitřní sítě LAN
Dále pak každém PC s Windows by měl být nainstalován ještě firewall, antivir, antispam, atd.

6) authentifikace
buď lokálně na každém PC, nebo
centrální na serveru pomocí například Windows AD, nebo server s Linuxem, nebo i ten radius by se dal použít, ale ten se spíše pouzívá na přístup na switch a router.

Tak asi tak.
Rozhodně se o tom dá povídat daleko víc, určitě jsem toho ještě spoustu zapoměl.

[Michaela]

Už to tu několikrát padlo ale v té odpovědí úplně mimo téma, nechutných až urážejících se nedá vyznat jak to vlastně kdo myslel ...

Díky za vynaložený čas a snahu pomoct moc to oceňuju.

Jen mi vrtá hlavou ještě, jestli by gigabitový ethernet neměl vést od "Internetu" až ke switchi + server a nižší jen ke stanicím..?

[JardaP .]

Jen mi vrtá hlavou ještě, jestli by gigabitový ethernet neměl vést od "Internetu" až ke switchi + server a nižší jen ke stanicím..?

Tak to by mohl. Pokud tedy mate gigabajtovou pripojku k Internetu. To asi nebude ADSL a urcite to nebude za par kilo mesicne.

A proc pomalejsi pripojka ke stanicim? K cemu? Myslete na budoucnost, co kdyz vam narostou datove toky? Krome toho pri nizsi prenosove rychlosti trva prenos paketu umerne dele. Pri hustem provozu by tak mohla narustat pravdepodobnost kolizi.

[j]

Jen mi vrtá hlavou ještě, jestli by gigabitový ethernet neměl vést od "Internetu" až ke switchi + server a nižší jen ke stanicím..?

... viz predchozi, pokud se budeme bavit na aspon trochu realne urovni, tak 100Mbit site se uz 10+ let nestavi. Stovkove pouzite switche (klidne i cisco) se daji koupit za par stokorun, protoze o ne nikdo nestoji. Gigovy switch se kupuje od cca 5kKc (48 portu), tudiz je i ekonomicky naprosty nesmysl resit cokoli jineho. I ten nejlevnejsi pak bohate na spoustu veci staci.

[BrainLess]

No nevim, bud chcete setrit a tudiz to nema smysl tahat zdi a nebo to udelejte poradne. Tzn. 2ks zasuvek per pracovni stul jako minimum. Cat6 jako minimum a nekde umistit patchpanel tak aby "propojit zasuvky dle potreby".

Zasuvka1 <------> patch panel <--> switch
Zasuvka2 <------> patch panel <--> voip gw napr.