Dotaz: Rada co nastudovat o designu sítí

Ahoj,

odešli mi dva kolegové a zdědil jsem kompletní správu všech MS serverů a sítě. Do teď jsem do toho vrtal jen tak okrajově a hlavně za to nebyl zodpovědný.... :)

Ve firmě je víceméně plochá síť - servery a stanice na stejném ip subnetu, vše v default vlan1 .... Vím že je toto špatně, chtěl bych to předělat "tak jak to má být správně" ( oddělení serverů do separátní vlan a také skupin uživatelů např. Sales, Marketing atd. ). Zároveň je pěkný bordel v kabeláži. Administrativní budova 4 patra, uživatelé pozapojováni náhodně do switchů postupně jak přibývali atd.

Rád bych to dal dopořádku ( teď když to mám na krku :) ), ale bohužel momentálně nemám dostatečné znalosti. Můžete mi prosím doporučit nějaký studijní materiál ? Jak se má správně navrhovat síť, jak rozdělit vhodně do vlan, co to obnáší na straně Windows serverů ( aby mi nelehla AD/DNS/DHCP atd. ) co na Linuxových serverech apd. Existuje nějaký ucelený přehled kde je toto postupně vysvětleno ? Děkuji předem za rady, něco jsem vygoogloval, ale vždy jen kusé informace pojednávající o nějaké konkrétní problematice.

To bude tim ze nic urciteho proste neexistuje. Kazda sit je jina a musi se prizpusobyt potrebam firmy, zalezi na poctu stanic, serveru, jejich vytizeni dale pak na vlastni topologii spolecnosti jejim potrebam atd.Nikde nenajdes zadny prehled a s nejvetsi pravdepodobnosti, zeptas-li se x odborniku dostanes i x odpovedi.Kazdopadne si to dobre rozmysli, protoze pak budes muset opravdu pracovat jen jednou, pokud si to dobre navrhnes. Nejlepsi je si to nakreslit na papir a barvama vyznacit pripadnej predpokladanej trafic. Zjistis si nejdulezitejsi uzly kde se ti pak bude kumulovat trafic a tyto budou zrejme i nejslabsim clankem site. Pokud rozdelis sit na jednotlive podsite, jednotlive stanice se pak navzajem neuvidi, coz je z bezpecnostnich duvodu dobre a navic se rozdeli sitovy provoz na domene, coz siti rovnez hodne ulevi. Nejdulezitejsi je si dobre oznacit porty na switchich a kabely jinak se z toho priposrazis. 4 patra budova uz je celkem dost.

Vše v jednom VLAN nemusí být přímo špatně. To co bych se sítí udělal je

1. Udělat si pořádek v kabelech, mít nacvakáno do switchů kanceláře tak aby se šlo s tím rychle vyznat, když je potřeba.
2. Pro rozdělení ploché sítě do VLANů a subnetingu je třeba hlavně mít důvod. Ta rada že ti to někdo udělá za XY tisíc neodpovídá na otázku, proč to dělit. Ta je hlavní!
3. Možné důvody k dělení jsou:
   • Výkonové - nějaké části nestíhají trafik
   • filtrační a bezpečnostní - pravidla přístupu ke zdrojům, jak uvnitř firmy tak mimo ni, jsou potřeba různé pro různé lidi. A zdůrazňuji potřeba nejen možnost. Pak po rozdělení se dají specifikovat firewally a routovací pravidla, která pravidla zavedou.
   • Oddělovací - potřebuji oddělit vnitřní trafic jednoho oddělení od jiného. Je potřeba si uvědomit že díky switchům, které přeposílají unicast pakety pouze cílovému systému se oddělování týká jen a pouze broadcast paketů. Takže opět pro oddělování je třeba mít důvod, že to potřebuji.

Pokud žádné důvody pro dělení nejsou rozumně silné, tak bych to nechal být, protože pak je to jen více práce a žádný zisk.

Zdravim autora, procetl jsem diskuzi a napisu autorovi par postrehu, ktere vyplyvaji z praxe. Celkove je tvuj umysl a cil rozhodne spravnej, provozovat sit kterou popisujes jako plochou v jednom subnetu neni idealni, jak uz tady bylo mnohokrat napsano.

-učeš si kabeláž, popisky, napiš a veď si dokumentaci

-co se týká rekonfigurace sítě - vlan, subnety - BRZDI !

-resit bezpecnost systemu firmy z pohledu site je urcite spravne, ale nezapominej, ze primarni bezpecnost technologii musis resit na urovni end-to-end, jak pise uz Doli. Predstava ze Pepa z konstrukcniho se snazi snifovat pakety lidem z finacniho je iluze, ale predstava ze Pepa zkusi jako heslo do ERP systemu jmena deti financniho reditele je realna/praktikovana.

Scenar 1 - budes to delat sam: -pokud si na to sam a dlouho budes - nechod do toho. Nemas sanci to ukocirovat, s takovym projektem budou mit plny ruce prace i dva zkuseny admini. Nevim jak dlouho to ted delas sam, ale bez zkusenosti je to na jednoho i ted bez rekonfigurace site dost. -pokud mas rodinu nebo naruzivou pritulku - nechod do toho. Pocitej nekolik desitek dlouhych veceru/vikendu stravenych v praci. Nemuzes to delat za chodu.

Scenar 2 - outsource: - pocitej s tim ze prvni castkou za provedenou praci (zmonivanych 80-100k) to vsechno jenom zacina, priprav na to sefa, ta firma vas utaha na dlouhodoubou smlouvu, dalsi desetitisice pravidelne za outsource. Pokud narazite na dobrou firmu, je to pro tebe jenom dobre = nekonecne mnoho usetrenych nervu. Na tu firmu si dlouho hledej reference. Spatne vybrany dodavatel - tvoje problemy. - pokud si na to sam a dlouho budes, pokud mas rodinu nebo pritelku - stejne pocitej s nekolika desitkama dlouhych veceru a vikendu - s tou firmou tam musis byt taky. - za jakoukoliv odchylku nebo chybu/nefungujici neco serezou uzivatele/management v prvni chvili tebe, ne dodavatele

- studuj, testuj, kup si knizky, zkus si vlany, zkus si routovat - vis ze ty podsite musis nekde zacit routovat? - vis ze te ceka prenastavovat vetsinu koncovych stanic? vsechny ty otraveny uzivatele se te budou ptat proc se jim vrtas v pocitaci, ktery jim funguje bez problemu - vis ze te ceka vrtat se v AD, DNS, DHCP, tem vsem sluzbam musis rozumet, v pripade chyb musis hledat zavadu. nic z toho nebude ze zacatku poradne fungovat - nedelej to ke konci roku, vsechny profese potrebujou vsechno dokoncit do vanoc - nedelej to o vanocnich svatcich - ucetni prijdou po novem roce, budou chtit uzavirat rok, sami jsou z toho nervozni a za jakoukoliv odchylku nebo chybu te sezerou

Tot par postehu ode mne.

joudamAtEs