Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Два интернет-подключения – одна сеть – как управлять

На чтение 6 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Теоретическая часть
  4. Пример применения
  5. Применение к вашему сценарию

Вопрос или проблема

Вот моя ситуация. Я не эксперт в сетях, поэтому извините, если я объясняю это неправильно.

В моей компании у нас есть два отдельных интернет-соединения от разных провайдеров. Оба роутера подключены к коммутатору.

У нас есть два сервера Windows (2019) для прокси и файлового сервера. (Предположим, что прокси-сервер или брандмауэр сейчас не установлены, предложите мне хороший прокси и брандмауэр для моей цели)

В компании на каждом этаже есть 65 клиентских машин (работающих под Windows 7 и 10) с статическими IP (192.168.1.X). Все три этажа компании имеют отдельные коммутаторы, которые подключают клиентские машины на каждом этаже

Я хочу дать доступ к определенному диапазону IP для определенного провайдера и ограничить их доступность в интернете через прокси-сервер или брандмауэр. Затем предоставить другой диапазон IP для второго провайдера с некоторой фильтрацией веб-контента.

Надеюсь, вы поняли ситуацию. Пожалуйста, помогите мне найти решение.

К счастью, это не так сложно решить. Допустим, мы определяем следующее:
ISP_A и ISP_B как ваши два интернет-провайдера и CLIENT_NET_A (192.168.1.0/24) и CLIENT_NET_B (192.168.2.0) как две различные подсети в вашем офисе. Тогда, чтобы достичь того, что вы хотите, вы могли бы сделать следующее:

  • Настройте роутер, у которого есть адреса как в CLIENT_NET_A, так и в
    CLIENT_NET_B, скажем 192.168.0.1 и 192.168.1.1.
  • Роутер также должен иметь соединения с ISP_A и ISP_B. Не каждый роутер может это сделать хорошо, но Mikrotik и многие другие подойдут для такой
    конфигурации
  • Настройте NAT на роутере, чтобы трафик от CLIENT_NET_A шел к ISP_A и соответственно для CLIENT_NET_B
  • Все еще на роутере добавьте маршрут от CLIENT_NET_A к CLIENT_NET_B, если вы
    хотите, чтобы клиенты на двух подсетях могли общаться друг с другом
  • Назначьте статические IP-адреса клиентам, которых вы хотите сделать частью CLIENT_NET_A и CLIENT_NET_B, чтобы убедиться, что назначен правильный шлюз по умолчанию для соответствующей подсети

Возможно, вам также стоит добавить сервер DHCP в вашу настройку, чтобы вы могли назначать адреса гостям, и возможно, вы захотите назначать IP вашим клиентам через DHCP – но вам придется зарегистрировать MAC-адрес каждого клиента в DHCP.

Что касается брандмауэра, вам, возможно, стоит добавить схему для улучшения понимания вашей конфигурации.

Это должно покрывать это с очень общего взгляда. Если вам нужна помощь со специфическими деталями, вы можете легко найти ее в интернете. Хотя это не совсем стандартно, ваша конфигурация не так уж сильно отличается от многих других.

-Создайте сетевую топологию с двумя (2) ISP (интернет-провайдерами), тремя (3) шлюзами серверов, состоящими из 1 статического и 2 DHCP.

Статический GW должен быть подключен/доступен на всех производственных этажах.

все шлюзы серверов маркируются собственными IP.. например: 192.168.100.1

Ответ или решение

Ваша задача, как ИТ-специалиста, состоит в управлении двумя интернет-соединениями в одной сети. Такая конфигурация предоставляет определенные задачи и возможности для улучшения надежности и гибкости сетевой инфраструктуры. Вместе с тем, это требует продуманного подхода к проектированию и управлению, чтобы удовлетворять потребности вашей компании в безопасности и эффективности. Мы рассмотрим теорию, предложим примерный сценарий и применим полученные знания для решения вашей задачи.

Теоретическая часть

Первым шагом в управлении двумя интернет-соединениями является понимание базовой структуры сети и способов ее настройки для достижения поставленных целей. Ваша текущая схема может быть улучшена за счет применения динамического выбора маршрута (routing), привязки клиентов к определенным провайдерам и управления доступом в интернет с помощью прокси и межсетевых экранов (фаерволов).

  1. Динамический выбор маршрута (Load Balancing): Это основа для использования двух интернет-каналов. Задача балансировки нагрузки заключается в распределении трафика между двумя интернет-соединениями для повышения отказоустойчивости и оптимизации использования полосы пропускания. Балансировка может быть осуществлена через оборудование, поддерживающее такие функции, например, маршрутизаторы Mikrotik.

  2. Разделение сети на подсети: Для упрощения управления и достижения желаемого разделения нагрузки между провайдерами, рекомендуется организовать сеть в несколько подсетей (например, CLIENT_NET_A и CLIENT_NET_B). Это позволит обеспечить гибкость в распределении клиентов и ресурсов.

  3. Управление IP-адресами и маршрутизацией: Клиенты должны получать IP-адреса, соответствующие их принадлежности к определенной подсети, с настройкой соответствующего шлюза по умолчанию. Это может быть реализовано через статическую настройку IP или через DHCP. Важно также учитывать необходимость маршрутизации между подсетями, если это требуется.

  4. Прокси-сервер и фаервол: Для управления доступом в интернет и обеспечения безопасности рекомендуется использовать прокси-серверы и фаерволы. Такие решения как Squid для прокси и pfSense для фаервола могут предоставлять возможность фильтрации контента и управления доступом на уровне пользователей и групп.

Пример применения

  1. Конфигурация оборудования:

    • Установите маршрутизатор, поддерживающий работу с несколькими WAN-интерфейсами (например, маршрутизатор Mikrotik).
    • Подключите оба интернет-соединения (ISP_A и ISP_B) к маршрутизатору.
    • Убедитесь, что маршрутизатор способен обрабатывать NAT и маршрутизацию между подсетями.

  2. Сегментация сети:

    • CLIENT_NET_A: Подсеть 192.168.1.0/24, связанная с интернет-соединением ISP_A.
    • CLIENT_NET_B: Подсеть 192.168.2.0/24, связанная с интернет-соединением ISP_B.

  3. Маршрутизация и балансировка нагрузки:

    • Настройте маршрутизатор для балансировки нагрузки между ISP_A и ISP_B. Реализуйте резервирование на случай отказа одного из соединений.
    • Установите политики маршрутизации, чтобы трафик из CLIENT_NET_A маршрутизировался через ISP_A, а из CLIENT_NET_B – через ISP_B.

  4. Установка DHCP и распределение IP-адресов:

    • Настройте DHCP-сервер для автоматического распределения IP-адресов в каждой подсети с включением параметров шлюза по умолчанию.

  5. Установка и конфигурация прокси и фаервола:

    • Выберите и настройте прокси-сервер (например, Squid), чтобы управлять интернет-доступом. Определите политики доступа в интернет для каждой подсети.
    • Установите фаервол (например, pfSense) для защиты от нежелательного трафика и атак. Настройте правила фаервола в соответствии с корпоративными политиками безопасности.

Применение к вашему сценарию

Теперь, располагая теоретической базой и примером применения, применим это к вашей конкретной ситуации. На практике, ваша задача будет включать:

  1. Выбор оборудования, способного поддерживать данную инфраструктуру, включая устойчивые маршрутизаторы и управляемые коммутаторы.

  2. Разработка плана маршрутизации, который обеспечит эффективное распределение ресурсов, использование обоих интернет-каналов и надежную связь между клиентскими устройствами.

  3. Установка и настройка сетевых служб, включая DHCP и DNS, которые обеспечат автоматизированное управление сетевыми настройками клиентов.

  4. Конфигурация систем безопасности, которые защитят сеть от потенциальных угроз и обеспечат соблюдение корпоративных норм доступа в интернет.

Этот подход обеспечит стабильную и безопасную работу сети, оптимальное распределение интернет-ресурсов и управляемый доступ к интернету, соответствующий вашим потребностям и политике компании.

local-area-network networking
Оцените материал
Добавить комментарий

Капча загружается...

© 2025 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности