شبکه من!!!

**Lisa Rose** · 2004-12-12, 08:24 AM

شبکه من!!!

با سلام خدمت استادان و دوستان عزیزم

من در حال کار روی یه پروژه هستم که طرح آن را کشیده و در سایت زیر قرار داده ام
http://blueskymail.netfirms.com/network.htm

شرح :
- 6 تا اتاق داریم هر اتاق مخصوص دانشجویان در حال کار روی یک پروژه واحد
- هرکدام از اتاقها در یک Subnet مستقل.
- تمام کامپیوترها از DHCP Server ، ای پی میگیرند.
- در هر کدام از این اتاقها میتواند در اینده تا 20 تا کامپیوتر یا بیشتر داشته باشد.
- تمام اتاقهای پروژه از سرورهای اتاق مرکزی سرویس میگیرند. که در آنجا این سرورها نصب شده است:
سرور Domain Controller
DHCP ServerReplica Serverو و DNS Server
FTP Serverو File Server
Print Server

خواسته ها:
- هیچ کدام از اتاقهای پروژه باهم ارتباط نداشته باشند. فقط سیستم های یک اتاق واحد باهم در ارتباط باشند.
یعنی: No Sharing, No connectiong between them
- ارتباط دانشجوان با دنیای خارج فقط از طریق FTP Server نصب شده در اتاق مرکزی میباشد. سروری که فقط

اجازه فقط خواندن وبرداشت اطلاعات را به دانشجویان میدهد و اجازه write و read به همان دانشجویان اگر در

خارج از این اتاقها باشند میدهد. هدف از اتخاذ این تصمیم:
1. جلوگیری از نفوذ اطلاعات محرمانه دانشجویان مشغول تحقیق در سالن پروژه، به خارج از اتاق
2. صدور اجازه بلامانع ورود اطلاعات به این سالن (البته توسط فقط همان دانشجویان سال اخر)

تصمیمی که من گرفتم:
در داخل هرکدام از اتاقها یک سویچ گذاشتم
تمامی سویچها به یک کامپیوتر ادونید سرور که حکم روتر دارد (دارای 8 کارت شبکه ) وصل شده اند

با این اوصاف و با توجه به شکل:
ایا من به خواسته هایم مبنی بر عدم ارتباط دانشجویان هر اتاق با هم و همچنین ارتباط تمام اتاقها با اتاق مرکزی

خواهم رسید؟ یا نه؟ چه تدابیری باید اتخاذ کنم؟ ایا سویچها را باید فیلتر کنم؟ نظر شما چیست؟

با تشکر فراوان

**M-r-r** · 2004-12-12, 05:21 PM

با اين تفاصيل شما ارتباطي ميان هر سيستم با اف تي پي مركزي برقرار نموده ايد .
بنابر اين همه ي سيستم ها روي يك سيستم به اطلاعاتي مشابه و عينا يكي دسترسي خواهند داشت.
با اين وضعيت احتمال زيادي براي دسترسي هر سيستم به سيستم هاي ديگر ميباشد .
به نظر من بايد براي هر اتاق يك رنج آي پي تعريف كنيد و چنان تدابيري انجام دهيد كه فقط رنج آي پي داخلي و نيز سرور اصلي اجازه دسترسي به آن را داشته باشد .

**Lisa Rose** · 2004-12-12, 05:59 PM

همانطوری که از اسکچ طرحی که کشیدم برمیآید، هر اتاقی دارای یک رنج ای پی مشخصی میباشد:
مثلا اتاق اول:
192.168.1.2 تا 192.168.1.10
وبا تعریف default gateway: 192.168.1.1 .

بنابراین سیستم های این اتاق فقط وفقط با این رنچ از DHCP ای پی میگیرند. ومیتوان گفت که براي هر اتاق يك رنج آي پي تعريف شده است.
حال به نظر شما این تدابیر چه میتواند باشد فقط رنج آي پي داخلي و نيز سرور اصلي اجازه دسترسي به آن را
داشته باشد. ایا نرم افزاری باید نصب شود که فیلتر کند؟

متشکرم

**nkm** · 2004-12-12, 06:07 PM

خيلي راحت ميتوني با سويچ هاي لايه 3 اين كار رو انجام بدي
بدون هيچ دردسري!

يه سري از پرتهاي سويچ رو به هم دسترسي بده و پرت سرورت هم به همه

به همين راحتي!
توي اين حالت اگه كاربرات هم به هر طريق رنج آي پي خودشونو عوض كنن ديگه نميتونن به جاي ديگه دسترسي داشته باشن
درضمن، يه سوال
چطور ميتوني چنيدين رنج آي پي واسه يه سري كامپيوتر كه همه به هم وصل هستند، اونم از طريق يه سرور اعمال كني؟
من هر بار كه خواستم اين كار رو بكنم سرويس سرور دومي از كار مي افتاد!

**nkm** · 2004-12-12, 06:14 PM

در ضمن همون طور كه محمد جان گفتن
شما بايد يك سري تدابير امنيتي هم روي سرورهات به عنوان يك منبع مشترك انجام بدي
سطحهاي دسترسي و ...

مثلا براي FTP Server علاوه بر اينكه يه سري يوزر خاص رو تعريف ميكني، بايد اون رنج IP كه نياز به ارطباط با سرور هست رو هم تعريف كني كه اتاق كناري اگه نام و كلمه عبور هم داشت نتونه وارد فضاي اختصاصي اتاق ديگه بشه

**Lisa Rose** · 2004-12-13, 12:27 AM

سلام...

من نیاز به توضیح بیشتری درباره سويچ هاي لايه 3 دارم دقیقا نمیدانم که باید چطور این تنظیم را انجام داد؟
در تک تک سویچ های اتاقها؟ به چه صورت نرم افزاری؟ سخت افزاری؟.... راستش یکمی با سویچ مشکل دارم.
ممنون میشم اطلاعات بیشتری به من بدهید.

بله درسته درباره امنیت هم فکرهایی کرده ام....

در مورد تعریف وتخصیص چندین رنج، من اینکار را در با تعریف 7 تا Scope در DHCP Server انجام میدهم ودر هر
Scope رنج خاصی را در نظر میگیرم مثلا 192.168.1.2 تا 192.168.1.10 و برای هر Scope نیز default gateway ای
که در همان رنج یا به اصطلاح subnet است تعریف میکنم. با توجه به اینکه در سیستم های هر اتاق default
gateway خاصی که با default gateway آن Scope برابری میکنه، در نظر گرفته بودم، انها فقط میتوانند از همان رنج
ای پی بگیرند. اگر هم احیانا مشکلی برای عدم دسترسی کاربران به DHCP Server بوجود بیاید، به نظر من با در
نظر گرفتن وتعریف DHCP Relay Agent مشکل حل خواهد شد.

با تشکر

**nkm** · 2004-12-13, 04:48 PM

نيازي نيست كه در هر اتاق يك سويچ بزاري
مگر اينكه فاصله بين اتاقهات با سايت زياد باشه
كه در اون صورت در هر اتاق يه سويچ معمولي ميزاري و بعد اون ارتباط را به يه سويچ لايه 3 ميدي

سويچهاي لايه 3 امكان فيلتر كردن پرتها و حتي اعمال DHCP رو از طريق سويچ بهت ميده
اونجاست كه ميتوني كاراي فيلترينگ رو روي سويچ اصلي انجام بدي و محدوديت اعمال كني

مثلا من الان يه سويچ 3550 سيسكو 48 پرت اينجا دارم كه فقط يه سري از پرتهاي اون امكان ارتباط با شبكه ناول من دارن ولي بقيه امكان ارتباط ندارن و فقط از شبكه ويندوز من استفاده ميكنن

**Lisa Rose** · 2004-12-13, 05:23 PM

متشکر از توضیحاتتون
یک سوال:
این کارهای فیلترینگ روی سویچ لایه 3 واعمال DHCP را از چه طریقی تعریف میکنند (وارد سویچ میکنند)؟

ممنون میشم اگر اختلاف قیمت سویچ لایه 3 ونیز سویچهای معمولی را بفرمایید. (البته با اجازه مدیریت محترم سایت)

**a_arabbeigi** · 2004-12-14, 01:02 AM

اين نوع سوئيچ ها با توجه به انواع اون هم سخت افزاري و هم نرم افزاري (به وسيله نرم افزاري كه از طريق CD راه انداز اون نصب مي كنيد) پيكر بندي ميشن و امكانات خوبي را بهتون ميده.قيمت هم ندارم

**nkm** · 2004-12-14, 10:20 AM

بسته به نوع سويچها و ماركشون داره
مثلا سويچ 3750 سيسكو 24 پورت گيگ حدود 3 ميليون تومن اينا بايد باشه
البته ماركهاي ديگه مثلا كامپلكس اونم گيگ حدود 700 -800 بايد باشه

سويچچ هاي سيسكويي كه من ديدم همه مثل روتر يا از طريق كابل كنسول و يا اگه فعال شده باشه تل نت يا از طريق وب ميشه اونا رو كانفيگ كرد

**MCP** · 2004-12-14, 10:54 AM

من متوجه مشكلي كه باعث شده به فكر سوئيچ لايه 3 بيوفتيد نشدم! چرا لازمه كه اين كارو كنين؟؟!!؟

آيا همه اتاق ها نبايد به Ftp سرور دسترسي داشته باشند؟ آيا اتاق ها نبايد به هم دسترسي داشته باشند؟

اگر subnet ها از نظر سخت افزاري از هم جدا باشند ، حتي با تغيير IP توسط يوزر هم امكان ورود به Subnet ديگري نيست.
من بودم يه ISA نصب ميكردم و براي هر Subnet يه كارت شبكه ميدادم به ISA. هر كارت هم به يه سوئيچ و همه يوزر هاي اون ساب نت هم به همون سوئيچ. بعد هر سروري كه ميخواستم توي ISA براي هر subnet كه دلم ميخواست! Publish ميكردم.
ميتونيد يه DMZ هم بسازيد با ISA . ( راستي به اينترنت هم دسترسي دارن يوزر ها؟؟؟! )

**Lisa Rose** · 2004-12-15, 08:45 AM

نوشته اصلی توسط MCP

من بودم يه ISA نصب ميكردم و براي هر Subnet يه كارت شبكه ميدادم به ISA. هر كارت هم به يه سوئيچ و همه يوزر هاي اون ساب نت هم به همون سوئيچ. بعد هر سروري كه ميخواستم توي ISA براي هر subnet كه دلم ميخواست! Publish ميكردم.
ميتونيد يه DMZ هم بسازيد با ISA . ( راستي به اينترنت هم دسترسي دارن يوزر ها؟؟؟! )

دقیقا همان کاری که من کرده بودم.... هر Subnet مخصوص هر اتاق به همراه کارت شبکه مستقل در سرور
اصلی. با این تفاوت که من ISA نصب نکردم.
کدام روش بهتر، بصرفه تره..... ISA یا استفاده از سوئيچ لايه 3؟ یا......

به اینترنت دسترسی ندارن.... ولی این شبکه به شبکه دیگری که در سالن دیگری است وصل میشه که همان
دانشجویان میتوانند در آن شبکه به اینترنت دسترسی داشته باشند، واز طریق همان FTP Server نتایج سرچ
وغیره را وارد ان بکنند. (برای FTP Server یوزرها وسطوح امنیتی خاصی در نظر گرفته شده که دانشجویان شبکه فعلی فقط میتوانند دانلود کنند وبس).

**MCP** · 2004-12-15, 11:10 AM

از نظر قيمت كه ISA فقط يه پول CD! ،و قيمت سوئيچ ها رو هم كه ملاحظه فرمودين!
يه نكته هميشه يادتون باشه. تو بحث شبكه راه حل هاي بسيار زيادي وجود داره و اين شما هستين كه بهتر بودن يه راه حل رو با توجه به نيازتون تشخيص ميديد.

فرق روش خودتون با استفاده از ISA اينه كه شما ابزار مديريتي بسيار زيادي را با نصب ISA در اختيار خواهيد داشت.

**nkm** · 2004-12-15, 02:46 PM

بسته داره به تعدا اتاقها و تعداد كامپوترها
از لحاظ مادي
تو حالت اول به تعداد اتاقها سويچ و يك كارت شبكه براي سرور نياز داري و اينكه توي هر اتاق بايد يك سايت راه بندازي
والبته تجمع و درستي كابلها در پشت سرور و .....
ولي تو حالت دوم به تعداد كامپوترهات بايد روي پرتهاي سويچت حساب كني و نهايت يك ارتباط هست كه به سرور برقرار ميشه

توي حات اول افزايش تعداد كارتها مسلما روي سيستمت تاثير ميزاره
براي اينترنت به نظر من از پروكسي استفاده كن
هم امنيت اون بالا تره، هم ميتوني روي اون كنترل بيشتري داشته باشي

در آخر هم به قول امير اقا بايد ببيني چه نيازي داري اصلا

**NetMaster** · 2004-12-15, 03:07 PM

Interesting point and tompology, i would really use a VLan capable switch, along with a squid server.

This way i have master two devices only with small acl files. then i would use wccp on the witch/router or

have the connection straight to the squid and do the filtering there.

i would use some Samba server (could be the same machine with with squid) and limit the users for not

chaning there network settings or do file sharing etc.

even a L2 switch would do it i gues incase i have some user policy set on each client.

موضوع: شبکه من!!!

پیوند

ابزارهای موضوع

نمایش

شبکه من!!!

کلمات کلیدی در جستجوها:

برچسب برای این موضوع

مجوز های ارسال و ویرایش