Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

K1CrasH

Sieć rozległa - dostęp do serwerów

Rekomendowane odpowiedzi

Witam. Projektuję teoretycznie sieć rozległą, która składa się z dwóch budynków. W jednym budynku znajdują się 2 serwery. Chciałbym aby część hostów z drugiego budynku miała dostęp do jednego serwera, a druga część miała dostęp do obu. Jak powinienem wykonać adresację, aby takie połączenie było możliwe?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Wszystkie hosty muszą należeć do tej samej sieci/podsieci.

Jeśli chcesz chodzi o dostęp do saerwerów, to ustawiasz poszczególnym użytkownikom na serwerach uprawnienia odczyt/zapsis etc

 

Chyba, że postawisz serwery z zewn. ip, wtedy mogą być w jakiejkolwiek sieci, ale o tak musisz nadać odpowiednie uprawnienia

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Wszystkie hosty muszą należeć do tej samej sieci/podsieci.

Jeśli chcesz chodzi o dostęp do saerwerów, to ustawiasz poszczególnym użytkownikom na serwerach uprawnienia odczyt/zapsis etc

 

Chyba, że postawisz serwery z zewn. ip, wtedy mogą być w jakiejkolwiek sieci, ale o tak musisz nadać odpowiednie uprawnienia

 

 

Dziękuję za odpowiedź. W zasadzie każda grupa użytkowników będzie znajdować się w osobnej sieci. Rozumiem, że po przydzieleniu adresów, wystarczy potem nadać na serwerze odpowiednie uprawnienia dla danych zakresów IP?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Nie tyle co dla adresów a dla konkrtnych użytkowników/nazw

 

To są serwery plików typu NAS z autorskim oprogramowaniem czy serwery typu Windows Server  ?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Nie tyle co dla adresów a dla konkrtnych użytkowników/nazw

 

To są serwery plików typu NAS z autorskim oprogramowaniem czy serwery typu Windows Server  ?

 

Można przyjąć, że będą to serwery plików NAS. Bardziej zależy mi na wykazaniu, że dany dział będzie miał dostęp do konkretnego serwera, a drugi dział nie będzie miał takiej możliwości.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Więc mają autorskie oprogramowanie, w opcjach masz zapewne tworzenie użytkowników, póżniej każdemu użytkownikowi nadajesz odpowiednie uprawnienia do poszczególnych folderów...

 

Późn iej na hostach mapujesz dysk sieciowy i logujesz się na konto z potrzebnymi uprawnieniami

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Więc mają autorskie oprogramowanie, w opcjach masz zapewne tworzenie użytkowników, póżniej każdemu użytkownikowi nadajesz odpowiednie uprawnienia do poszczególnych folderów...

 

Późn iej na hostach mapujesz dysk sieciowy i logujesz się na konto z potrzebnymi uprawnieniami

 

 

 

Dziękuję za odpowiedź. Czyli nie będzie stanowiło problemu, że serwer znajduje się za routerem w innej sieci, natomiast hosty za drugim routerem w innej sieci?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Tak jak pisałem wcześniej, jeśli sieć do której podłączone są serwery jest z innej sieci. np. inny dostawca internetu, to musisz na tych serwerach ustawić zewnętrzne IP

 

Opisz jak wygląda podłączenie serwerów i hostów do sieci 

 

Komputery korzystają z dostępu do internetu od 1. dostawcy a serwery od innego czy serwery są tylko w sieci LAN bez dostępu z zewnątrz ?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Tak jak pisałem wcześniej, jeśli sieć do której podłączone są serwery jest z innej sieci. np. inny dostawca internetu, to musisz na tych serwerach ustawić zewnętrzne IP

 

Opisz jak wygląda podłączenie serwerów i hostów do sieci 

 

Komputery korzystają z dostępu do internetu od 1. dostawcy a serwery od innego czy serwery są tylko w sieci LAN bez dostępu z zewnątrz ?

 

 

Chciałbym aby wyglądało do mniej więcej tak jak na załączniku. W obu budynkach internet jest od tego samego dostawcy, serwery z budynku A mają być widoczne w budynku B (połączenie międzybudynkowe światłowodowe), ale nie dla wszystkich hostów tylko dla danej grupy, która jest wyznaczona w ramach osobnych sieci. Serwery mają być dostępne tylko w ramach utworzonej sieci WAN.

post-153733-146408028499_thumb.png

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Ustaw najpierw statyczne adresy IP na obu serwerach.(zgodnie z głowną adresacja glownego routera)

sprawdz na hostach poleceniem ping czy wysyla pakiety do tych serwerow jesli je widzi to ustawiasz pozniej tylko poszczegolne uprawnienia do folderow/plikow na NAS'ie dla poszczegolnej grupy uzytkownikow i tyle

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Ustaw najpierw statyczne adresy IP na obu serwerach.(zgodnie z głowną adresacja glownego routera)

sprawdz na hostach poleceniem ping czy wysyla pakiety do tych serwerow jesli je widzi to ustawiasz pozniej tylko poszczegolne uprawnienia do folderow/plikow na NAS'ie dla poszczegolnej grupy uzytkownikow i tyle

 

Dziękuję za wszystkie wskazówki!

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

takie ograniczenia sie robi na switchu/routerze.

To jest zwykla siec lan. zreszta roznica miedzy lan a rozlegla siecia jest bardzo waska i sie zatraca

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Dziękuję za wszystkie wskazówki!

Nie dziękuj, bo większych głupot to dawno nie czytałem. Chyba, że w każdej lokacji masz po 5 komputerów i drukarek sieciowych.

 

Wszystkie hosty muszą należeć do tej samej sieci/podsieci.

Bzdura. Pracowałem w środowiskach, gdzie każda lokacja była w oddzielnej sieci. Ba. Bardzo często było tak, że w jednej lokacji była oddzielna sieć dla serwerów, komputerów podłączonych kablem, komputerów podłączonych WiFi, drukarek, ESXów... I tak 20 razy. I każdy mógł korzystać z zasobów serwerów w jednym datacenter, albo w drugim oddalonym o kilkaset km, albo trzecim znajdującym się na 2 krańcu świata. I to działa. Kwestia odpowiednich routingów oraz reguł na firewallach.

 

Jeśli chcesz chodzi o dostęp do saerwerów, to ustawiasz poszczególnym użytkownikom na serwerach uprawnienia odczyt/zapsis etc

Ta. Zwłaszcza w korporacjach, które potrafią mieć po kilkaset tysięcy pracowników na całym świecie... Active Directory anyone?

 

Więc mają autorskie oprogramowanie, w opcjach masz zapewne tworzenie użytkowników, póżniej każdemu użytkownikowi nadajesz odpowiednie uprawnienia do poszczególnych folderów...

 

Późn iej na hostach mapujesz dysk sieciowy i logujesz się na konto z potrzebnymi uprawnieniami

A potem po 30 razy w tygodniu tłumaczysz to samo pani Jadzi z ksiegowości, bo ciągle zapomina, co powinna zrobić po włączeniu komputera, albo jak trzeba zmienić hasło...

 

Tak jak pisałem wcześniej, jeśli sieć do której podłączone są serwery jest z innej sieci. np. inny dostawca internetu, to musisz na tych serwerach ustawić zewnętrzne IP

Que? Chcesz wystawić serwer na zewnątrz? Taki do użytku wewnętrznego? Bez czegokolwiek po drodze? Wow...

 

@K1CrasH:

Jest cala masa rozwiązań, które są stosowane od lat i działają.

Jak pisałem wyżej każda lokacja może mieć swoje odrębne sieci I mogą to być sieci o całkowicie odrębnej adresacji typu 10.0.0.X w budynku A, oraz 192.168.1.x w budynku B. Jak odpowiednio skonfigurujesz routery i switche, to urządzenia z jednej sieci będą się widziały z drugą. Po drodze możesz też zastosować firewalle, które dodatkowo będą w stanie odfiltrowywać wybrane pakiety przepuszczając na przykład między sieciami połączenia do baz danych na serwerach. W domu możesz sobie poeksperymentować na maszynach wirtualnych i tworząc dodatkowo wirtualny router z pFsense zasymulować łączność między dwiema (albo nawet więcej) sieciami. Na tym poziomie można już rozgraniczyć dostępy do serwerów i zasobów, ale dodatkowo warto korzystać z Active Directory. W bardzo ogólnym uproszczeniu możesz dzięki AD nadawać i odbierać uprawnienia użytkownikom do zasobów. Możesz sprawić, że tylko osoby z jednego działu mogą się logować na konkretne komputery, albo żeby do jakiegoś folderu na serwerze dostęp miał tylko jeden dział, a dodatkowo do jakiegoś podfolderu tylko kierownik i jego zastępca. Ktoś odchodzi z pracy? Zmienia dział? Nie musisz już biegać od folderu do folderu, aby wykasować jego uprawnienia. Wchodzisz na jedno jego konto, zabierasz odpowiednie grupy i gotowe. Traci dostęp. Albo zyskuje do czegoś innego. Zasoby sieciowe mają się mapować po zalogowaniu? Każdy użytkownik może przy starcie uruchamiać skrypt, który podmapuje mu tylko to, z czego może korzystać. Albo odpowiednie GPO. I pani Jadzia nie będzie musiała się zastanawiać, jaki jest adres IP serwera, oraz jak się nazywa udział sieciowy, w którym zapisała raport finansowy z zeszłego kwartału, bo dla niej to będzie zawsze dysk K: w Moim Komputerze. Tak samo jak dla wszystkich pracowników z jej działu. Robisz upgrade? Migrujesz dane na nowy serwer? Użytkownicy nawet nie zauważą, że kiedyś ich foldery były pod adresem 192.168.1.200, a teraz są na 10.0.0.100. Gość od IT nie będzie musiał biegać od komputera do komputera, zmieniać mapowania, zgadywać, jakie ktoś miał hasło ustawione...

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Chłopie....wiem o tym...

On pyta o proste udostępnienie konkretnych danych na serwerze dla małej grupy użytkowników...bo nikt poważny nie bawiłby się NAS'em dla kilkuset hostów...pomyśl

 

Podałem mu najprostsze rozwiązania...

Co innego jeśli tworzysz takie coś dla kilkunastu osób a co innego dla setek lub tysięcy....

 

Przeczytaj o czym pisze autor

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

"Witam. Projektuję teoretycznie sieć rozległą, która składa się z dwóch budynków. W jednym budynku znajdują się 2 serwery. Chciałbym aby część hostów z drugiego budynku miała dostęp do jednego serwera, a druga część miała dostęp do obu. Jak powinienem wykonać adresację, aby takie połączenie było możliwe? "

Nie jest powiedziane ani ile hostów ani ile serwerów docelowo. Jak w połowie projektu mu się założenia pozmieniają to zaczyna adresować od początku w jednej podsieci ?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Przeczytaj pozostałe posty....

 

Jasne, że można to skonfigurować na poziomie routera/switch'a...tylko jeśli autor by to potrafił, nie zakładałby tematu....

 

 

Zbyt mało0 informacji aby wiedzieć czy:

zależy mu na zablokowaniu dostępu z zewnątrz

Musi stawiać serwer oparty o AD (brak konkretnej liczby hostów)

 

Z drugiej strony jeśli napisał, że to serwery NAS dedytkowane, to nie wyobrażam sobie przypisywania na routerze kilkuset hostow dla jednego serwera (dodatkowo kazdy user inne uprawnienia do poszczegolnych plikow/folderow)

 

Takie reguly tworzy sie w AD a do tego potrzebny jest windows server...

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Takie reguly na switchu/firewallu robi sie w 15 minut wraz ze sprawdzeniem poprawnosci.

Ludzie po co sobie wszystko utrudniacie?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Pod warunkiem, że masz odpowiednio skonfigurowaną sieć...

Jak na firewall'u ustawisz odpowiednie reguły, kiedy nie masz przypisanej konkretnej puli adresów IP dla hostów (lub są przydzielane automatycznie

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Adresy IP nie maja znaczenia zadnego. Regule robi sie na vlan. Nie robi dla uzytkownikow regul po IP bo zawsze trafi sie cwaniak co zmieni IP a jak nie ma uprawnien do zmiany to odpali linuksa czy cokolwiek.

 

Zasada tez jest prosta.

Jedna regula daje dostep do danego Vlana badz IP bramy a druga blokuje wszystko

 

Wtedy niech sobie robia co chca. Nawet jak sys-admin nawali z uprawnieniami to wszystko co zbedne jest blokowane na przelaczniku.

Tak przynajmniej powinno sie robic mimo tego ze wystarczy jedno zabezpieczenie. Wszystko musi miec rece i nogi, bo moze switch sie uszkodzic a przy wymianie zanim konfig sie wgra to troche trwa o ile posiada sie backup :)

 

Podzial sieci na rozlegle i lokalne tez sie zatracil w dobie VPN, sieci routowalnych i backupowych tras.

 

W domu mam siec lokalna z biurem mimo odleglosci 4km w linii prostej jak i z drugim domem ktory jest 5km w linii prostej.

Czesc jest zapieta vlanem a czesc po innych tunelach

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...