none
התיעצות - הקמת רשת מחשבים פנימית , ברשת דומיין קיימת RRS feed

  • שאלה

  • שלום,
    אנו עובדים בחברה בעלת דומיין וחיבור המחשבים ל- AD.
    מס' חדרים מוקצים לגורם חיצוני אשר ישתמשו בתשתית שלנו- באינטרנט שלנו - אך לא בחיבור לדומיין ולא לחיבור לשרתים.
    ברצוני לעשות הפרדה ברשת הקיימת והמחשבים שישמשו אותם ואשר לא יתחברו לדומיין שלנו.
    האם הפתרון הנכון הוא הקמת רשת מחשבים ביתית ? (כרשת פנימית עם קב' עבודה שונה מזו של הדומיין) או שיש רעיון מוצלח יותר ?
    האם העובדה שמדובר ברשת מחשבים ביתית פוגעת בהם בשימושים שונים הקשורים לצד העסקי - חיבור למיקרוסופט ושרותי ענן של מיקרוסופט (כמו דואר ואופיס 365 כד')

    תודה רבה
    יום שני 22 יולי 2013 09:12

תשובות

  • עומרי ויזהר תודה רבה,

    ראשית חשוב לי לציין - שהמשרדים שיוקצו לקבוצה החדשה היו מאוישים ע"י חבר'ה שלנו - כך שהנקודות רשת וטלפונים ובכלל התשתית כבר קיימת , כבלי הרשת מגיעים עד ל- SWITCH שלנו.

    דבר נוסף חשוב שאני אמור לספק להם תשתית וחיבור לאינטרנט על גבי האינטרנט הקיים שלנו בחברה (אין מטרה להוציא עלויות נוספות על חיבורי ADSL ו/או תשתית ספק אינטרנט)

    כמו כן הם אמורים להיעזר בשרותי המדפסות רשת שלנו שיושבות אצלנו המשמשות כמכונות צילום וסריקה.

    הם יעזרו במחשב שולחני שרכשו אשר ישמש כ"שרת" ורוב עבודתם תהיה על לפטופים ושרותי ענן (כגון אופיס 365 , מייל בענן וכד' - ואולי גם אחסון בענן כגיבוי).

    והם לא יחוברו לשרתים שלנו.

    הראוטר שיש לנו הינו CISCO SA-540 המשמש גם כ- FW  - מנוהל על ידנו (עד כמה שאני יודע).

    הדגם של ה- SWITCH :  hp procurve 1410-24g - ועד כה הסוויטש לא היה מנוהל .

    תודה רבה על עזרתכם.

    • סומן כתשובה על-ידי aarrek יום רביעי 24 יולי 2013 05:32
    יום שלישי 23 יולי 2013 05:49
  • שלום.

    אם כל הנקודות מרוכזות בארון תקשורת יחיד - הפתרון שאני ממליץ כפי שכתבתי קודם הוא לרכוש switch נפרד (זה משהו זול יחסית בערך 1000 שח ל 24 פורטים 1gb) ולחבר לשם את הנקודות המתאימות.

    לגבי ה cisco תבדוק אם יש לך אפשרות לחבר את הרשת החדשה ליציאה נפרדת - אני מניח שזה אפשרי אבל צריך לבדוק לגבי הדגם הספיציפי שלך.

    להת

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    • סומן כתשובה על-ידי aarrek יום רביעי 24 יולי 2013 05:32
    יום שלישי 23 יולי 2013 22:01

כל התגובות

  • היי,

    חשוב להבין ולשים לב לכמה נקודות בתכנון מהלך שכזה.

    1. במידה ואכן תלך לכיוון של הקמת רשתות ביתיות בכל החדרים הללו זה בעצם ידרוש ממך עוד קווי ADSL/כבלים+ תשלום קבוע להם ולספקית.

    בעת חיבור הקווים החדשים אתה תצטרך לחשוב על כבילה מסודרת,סוויץ,נק' רשת וארון (זה בהחלט תלוי בכמות המחשבים בכל חדר).

    אך הפתרון הזה הוא בהחלט לא מומלץ,לא יעיל כלכלית ולא יעיל ניהולית.

    2.הדרך הנכונה היא:  VLAN.

    א.   אני מניח שבארגון שלכם כבר יש מתג חכם שתומך ב VLAN. בוא נגיד לדוגמא שהמתג הזה הוא של חברת HP והוא יושב בארון השרתים הראשי שלכם.

    אל המתג ישנה כבילה מסודרת של כל המחשבים בארגון (אני מניח שאתם ארגון קטן) ואל המתג מחובר נתב עיסקי.

    עד כאן הכל מצויין (במידה ואין לכם נתב שתומך ב VLAN אז יש צורך לרכוש, אני ממליץ על HP ).

    ב.  בחדרים שבהם תשב הרשת החדשה יש צורך להוסיף ארון תקשורת קטן ובו מתג שגם הוא תומך ב VLAN כמו כן אתם צריכים להזמין איש מקצוע לסדר בחדרים האלה כבילה מסודרת . בין המתג בחדר החדש יש למתוח כבל על מנת לשרשר אותו למתג הראשי שיושב בחדר השרתים .

    בהגה המקצועית המתג שאליו מתחברים כל המתגים נקרא בשם: backbone switch.

    חשוב שתדע ששרשור הכבל בין 2 המתגים תלוי מאוד במרחק ביניהם, ע"פ המרחק סוג הכבל/אופטי משתנה.

    את התהליך שציינתי יש לבצע גם בשאר החדרים החדשים.

    ג.  לאחר שפיזית ביצעתם את עבודות התשתית והכל מוכן לעבודה, תצטרכו להגדיר Vlans ו trunk בין הציודים.

    האפשרות הזאת בעצם תתן לך את האפשרות לחלק את הרשת שלך ל Subnets שונים. המטרה היא שהארגון שלך ימשיך לעבוד ב subnet הקיים ללא כל שינוי של מרחב הכתובות ואילו החדרים החדשים יקבלו טווח כתובות חדש ב VLAN שונה.

    באמצעות זאת אתה תשיג אבטחה גבוהה ושיפור התעבורה ברשת .

    ד. במידה ובחדרים החדשים שלך אין שום צורך לצאת החוצה אל האינטרנט אז תוכל לקצר תהליכים ולחבר את כולם למתג פשוט וכך כל התחנות יוכלו לדבר ב LAN שלך אך אני מניח שזהו לא המצב.

    מיותר לציין שזהו תהליך מורכב המחייב עבודה של איש מקצוע מכיוון שישנם שיקולים רבים שלא ציינתי .

    בהצלחה.


    אם תגובתי תרמה לפתרון בעייתך - לחץ על "סמן כתשובה" ליד סימן ה V הירוק שמשמאלך. תודה

    יום שני 22 יולי 2013 14:11
  • שלום.

    1. במידת האפשר - הפתרון הכי מוצלח הוא הפרדה פיסית.

    בארון תקשורת אתה יכול לחבר את הנקודות של אותם מחשבים ל switch נפרד.

    בהגדרות רשת אתה נותן להם כתובות ip מטווח נפרד.

    בחיבור לאינטרנט - זה כבר תלוי ב firewall שלכם. תרשום כאן בבקשה איזה ציוד בדיוק יש לך, איזה דגם ומי מנהל אותו.

    בחלק גדול מה firewall יש אפשרות לחיבור רשת פנימית נפרדת ושימוש ביציאה משותפת לאינטרנט.

    הפרדה כזו היא פתרון זול, פשוט ויעיל, ולכן זו צריכה להיות העדיפות הראשונה אלא אם יש מכשול שמונע את זה.

    2. במידה שלא מסתדר לבצע הפרדה פיסית - אפשר לשקול גם הפרדה באמצעות vlan אבל במידת האפשר עדיף פשוט להשתמש בציוד נפרד כפי שכתבתי באופציה 1.

    3. מבחינת שיתוף קבצים - האם לארגון החדש יהיה גם שרת שלהם? האם יש להם צורך בשיתוף קבצים פנימי שלהם או שהם רק צריכים גישה לאינטרנט?

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    יום שני 22 יולי 2013 19:12
  • עומרי ויזהר תודה רבה,

    ראשית חשוב לי לציין - שהמשרדים שיוקצו לקבוצה החדשה היו מאוישים ע"י חבר'ה שלנו - כך שהנקודות רשת וטלפונים ובכלל התשתית כבר קיימת , כבלי הרשת מגיעים עד ל- SWITCH שלנו.

    דבר נוסף חשוב שאני אמור לספק להם תשתית וחיבור לאינטרנט על גבי האינטרנט הקיים שלנו בחברה (אין מטרה להוציא עלויות נוספות על חיבורי ADSL ו/או תשתית ספק אינטרנט)

    כמו כן הם אמורים להיעזר בשרותי המדפסות רשת שלנו שיושבות אצלנו המשמשות כמכונות צילום וסריקה.

    הם יעזרו במחשב שולחני שרכשו אשר ישמש כ"שרת" ורוב עבודתם תהיה על לפטופים ושרותי ענן (כגון אופיס 365 , מייל בענן וכד' - ואולי גם אחסון בענן כגיבוי).

    והם לא יחוברו לשרתים שלנו.

    הראוטר שיש לנו הינו CISCO SA-540 המשמש גם כ- FW  - מנוהל על ידנו (עד כמה שאני יודע).

    הדגם של ה- SWITCH :  hp procurve 1410-24g - ועד כה הסוויטש לא היה מנוהל .

    תודה רבה על עזרתכם.

    • סומן כתשובה על-ידי aarrek יום רביעי 24 יולי 2013 05:32
    יום שלישי 23 יולי 2013 05:49
  • שלום.

    אם כל הנקודות מרוכזות בארון תקשורת יחיד - הפתרון שאני ממליץ כפי שכתבתי קודם הוא לרכוש switch נפרד (זה משהו זול יחסית בערך 1000 שח ל 24 פורטים 1gb) ולחבר לשם את הנקודות המתאימות.

    לגבי ה cisco תבדוק אם יש לך אפשרות לחבר את הרשת החדשה ליציאה נפרדת - אני מניח שזה אפשרי אבל צריך לבדוק לגבי הדגם הספיציפי שלך.

    להת

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    • סומן כתשובה על-ידי aarrek יום רביעי 24 יולי 2013 05:32
    יום שלישי 23 יולי 2013 22:01
  • תודה רבה על העזרה !!!
    יום רביעי 24 יולי 2013 05:33