Organização de uma rede

[nulless]

Boas pessoal...

Bem é o seguinte, numa empresa com varios gabinetes com diferentes permissões de rede, portateis ligados por wireless, servidores, impressoras e router, mais escritórios externos a este local.
A minha questão é qual a maneira de organizar a rede em termos de ips?
Em breve vai-se colocar mais 2 servidores... qual é a melhor organização dos ips na empresa?
Falaram-me em subnets mas n sei como isso funciona! Tb tenho de fazer vpn com os escritorios externos!

Obrigado

 

[Gu@rdian]

Viva.

Quem é o administrador da rede, dessa empresa?

Gu@rdian

 

[d@niel]

boas

vê este link, fala sobre subneting (CIDR, VLSM, ...)

 

[nulless]

vou passar a ser eu...

 

[Gu@rdian]

Nesse caso onde está o teu MCSE, ou outro?

Boa sorte para o teu desafio.

Gu@rdian

 

[nulless]

Ainda estou a acabar o CCNA!

ok, obrigado na mesma

 

[nothing]

Se estás a acabar o CCNA então já falaste em VLSM e CIDR. São a resposta para o teu problema.

 

[_Neo__]

esta a acabar o ccna e vem para aqui.....
ok....

quantos computadores tens por edificio?
se menos de 250 podes deixar tudo na mesma subnet
algo do tipo
192.168.0.1 (router)
192.168.0.2 a 192.168.0.10 para os servers + reservas
192.168.0.11 a 192.168.0.20 para print servers + aps + etc
192.168.21 a 192.168.0.x ips reservados a maquinas com coisas importantes q podes por depois no server de dhcp a fornecer estes ips por mac adress
o resto fica para as outras maquinas

nos escritorios metes
192.168.1.x escritorio 1
192.168.2.x escritorio 2 etc
depois com routers com vpn juntas as redes
tens de ter cuidado é com as taxas de upload contratadas no serviço de net ou vais ter isso a passo de caracol
podes em ultimo caso optar por colocar o server num data center (para sqls etc q para ficheiros fica uma tanga) para pelo menos o server poder enviar a boas velocidades para o pessoal

para o pessoal q gosta de subneting so digo uma coisa:
vao estar a separar o pessoal para evitar broadcasts... porreiro mas lembrem-se q depois vao ter um funil na largura de banda q é o cabo entre o router e o switch onde esta ligado o pessoal q ja vi cromos com os ccna e companhia limitada q para evitar 2-3 MB de broadcasts metem 40 caramelos pendurados em um cabo gigabit ou pior em 100mb

 

[b1t dA3m0n]

para o pessoal q gosta de subneting so digo uma coisa:
vao estar a separar o pessoal para evitar broadcasts... porreiro mas lembrem-se q depois vao ter um funil na largura de banda q é o cabo entre o router e o switch onde esta ligado o pessoal q ja vi cromos com os ccna e companhia limitada q para evitar 2-3 MB de broadcasts metem 40 caramelos pendurados em um cabo gigabit ou pior em 100mb

Bem, pegar em 3 switches, meter um em cada subnet e liga-los uns aos outros com 1 cabo de Gigabit é suicidio, de facto... A fazer subneting dessa maneira, tambem eu nao sou grande adepto
Usando core switches com modulos de routing incorporados em conjunto com VLAN tagging, nao há necessidade de repartir a banda dessa maneira. Qualquer cisco da familia Catalyst (a partir da serie 3500) já sabe lidar com isso, Huawei e companhia a mesma coisa.

Com a atribuicao da devida VLAN na respectiva porta do switch, o unico factor que condiciona a velocidade para cada "caramelo" é o speed do backplane do proprio switch e claro está do backbone que liga os varios switches uns aos outros pois a segmentacao da rede é feita em layer 3.

Sendo que uma rede possui um backbone de 1Gbit/s, a partir do momento que um switch de 48 portas esteja completamente preenchido, em pleno "load" cada PC já só terá ca. de 20 *****/s á disposicao, isso é um facto irrevogavel (isto se o CPU do switch nao tiver já antes disso problemas e comece a "dropar" pacotes )
De resto, o subneting nao faz só sentido do ponto de vista da performance (broadcasts) como tambem da seguranca. É sempre boa ideia manter pelo menos os servidores num broadcast proprio.

Outro criterio para a decisao a favor do subnetworking com a ajuda de Virtual Lans é a reserva para poder crescer. Assim que se tiver mais de 250 clients num segmento, basta adicionar uma nova VLAN e continuar a distribuir IPs nesse novo range.

Por outro lado, claro que há coisas que passam a ter que ser consideradas pois estas significam um acrescimo do trabalho administrativo tais como a implementacao de DHCP relayers, WoL (Wake On Lan) relayers, definicao de ranges de DHCP multiplos, etc...

 

[Condez]

E porque não optares por algo mais simples:

Declaras 3 redes Classe C: uma para os servidores, uma para workstations e impressoras e outra para portateis.

Ligas cada rede a um switch e interligas todos os switch num servidor com 3 NIC's.
Podes até por mais uma NIC e fazer dele a gateway para a internet.
Instalas-lhe firewall/proxy/vpn/(o que quiseres) e ficas com tudo interligado, estruturalmente simples e eficaz.

Sinceramente, não vejo a necessidade de implementação de VLAN's e Subneting, para o teu caso especifico.
Acho que só vais complicar e tornar a adminstração mais complexa.


Fica a minha opnião.
Um abraço.

 

[b1t dA3m0n]

E porque não optares por algo mais simples:

Declaras 3 redes Classe C: uma para os servidores, uma para workstations e impressoras e outra para portateis.

Ligas cada rede a um switch e interligas todos os switch num servidor com 3 NIC's.
Podes até por mais uma NIC e fazer dele a gateway para a internet.
Instalas-lhe firewall/proxy/vpn/(o que quiseres) e ficas com tudo interligado, estruturalmente simples e eficaz.

Sinceramente, não vejo a necessidade de implementação de VLAN's e Subneting, para o teu caso especifico.
Acho que só vais complicar e tornar a adminstração mais complexa.


Fica a minha opnião.
Um abraço.

Viva Condez,

eu nao partilho a tua opiniao, eu nunca implementaria nem aconselharia essa solucao num ambiente que exiga maior estabilidade, isto pelas seguintes razoes:

- Menos trabalho com a configuracao de VLANs, mais trabalho com a configuracao do routing/firewall nesse servidor gateway -> simplificacao = 0

- Single Point of Failure. Se esse servidor que poes a fazer de gateway nao estiver operacional, fica tudo de pantanas. Teoricamente o mesmo pode acontecer com um switch mas na practica estes sao muito menos susceptiveis de falhar pois foram concebidos com essa finalidade.

- Rede Wireless sem seguranca adicional! Normalmente devido a susceptibilidade de Wirelesses poderem ser mais facilmente "atacadas", os APs deveriam estar no minimo isolados numa subnet diferente e separada dos servidores e demais pcs por uma firewall. Ou entao precisavas de mais um switch e um NIC adicional na gateway.


A implementacao de VLANs pode ser algo "tricky" para alguem nao esteja familiarizado com a matéria, mas depois de configurada, a administracao é nula.
A nao ser de vez em quando configurar uma porta do switch para uma determinada VLAN, o que demora menos de 1 minuto.

Um servidor de vpn, firewall e proxy tudo bem, é necessário de qualquer das maneiras. Mas a razao pela qual este deveria ainda por cima ser um router é que eu nao atingi pois a mer ver isto nao tira complexidade nenhuma a configuracao.


Mas nao me interpretes mal, é para trocar opinioes e dar ideias que aqui estamos

 

[Condez]

De forma alguma fico ofendido.
Estamos a trocar experiencias e opniões.

Em VLAN's se o switch falha, perdes a conectividade entre todas as redes.
Mesmo que o teu gateway com firewall, proxy e por ai fora não seja um router, se falhar perdes a conectividade á internet.

Claro que como sugeri, também tem de haver switch's, mas a sua substituição em caso de falha, é bastante mais simples, pois é pura e simplesmente um swithc "normal" (layer 2) sem qualquer configuração.

Quanto ao wireless, poderá ser mais uma função desse PC como router, visto que para mim faz todo o sentido interligar as diversas redes através dele e com a firewall controlar todas as ligações entre as redes.
Novamente relembro, cada rede com a sua gama de ip's.

Quantos mais equipamentos tiveres na rede, maior as probabilidades de falha da mesma.

Como te referi, fazendo um PC de gateway e router, ficas apenas com um equipamento critico, ao invés de 2 ou 3.
Tens também a vantagem de teres um unico ponto de configuração, sem teres que correr o risco de ter que alterar as configurações de vários equipamentos caso desejes implementar alguma mudança na rede.
E quanto a configuração, pouco mais trabalho dá que confgurar um gateway que não faça de router.

Se esse PC falha, claro que perdes toda a conectividade das redes, mas ficas unicamente com um ponto fulcral para te preocupares e dares manutenção.

Ao teres um PC para fazer "apenas" de gateway/proxy/vpn, como referes, ficas sujeito ao mesmo problema de um dia esse PC poder falhar.

É evidente que à prós e contras nas nossas visões.
Acredita que estou apenas a expressar o meu ponto de vista.

Estas ideas que te estou a passar, são baseadas em experiencia pessoal.
Na empresa onde trabalho, os nosso clientes estão todos estruturados desta forma.
E os novos clientes, assim também o serão.
Acreditamos que este tipo de configuração é a que traz mais vantagens.
Mas claro, estamos a falar de redes para PME's.

No entanto, espero que tenhas muito sucesso na configuração e implementação dessa rede.
Independentemente da estrutura que optares.

Um abraço.