логотип ЛанИнтегро
INTERNET Выполним оперативную настройку коммутатора Чекпойнт SRX 2200. Сетевое проектирование недорого. Маршрутизаторы Cisco2851 настроены аутсорсинговое обслуживание
Вызов инженера: 
готовые сетевые решения.
средний офис
пример внедрения LAN на заводе.

 

 

внедрение в малый офис Москвы IpSec vpn между межсетевым экраном и Cisco роутером

Данная компания занималась обыкновенной офисной работой, нагрузка на локальную сеть была ниже среднего, имелся один server файлов и Базы Данных 1С, который являлся заодно сервером почты и контроллером домена по совместительству.

Дополнительно в офисе находилось 19 пользовательских компьютерных рабочих станций и один сетевой лазерный принтер Hewlett Packard LaserJet 2600N.
Интернет в офис обеспечивался по выделенной оптоволоконной линии, преобразовываясь провайдерским оборудованием (медиа-конвертером) в витую пару Ethernet (RJ45) скоростью 100 мегабит.

Построение сети небольшого офиса компании “ЛПК-КОМПЛЕКТ КОМПЬЮТЕР”.

Основные задачи руководителя организации в обеспечении сетевой инфраструктуры, были такими:

1) Высокоскоростной стабильный интернет — сотрудникам фирмы в рабочие часы.
2) Удаленный доступ в офисную сеть из Интернета определённому кругу сотрудников в вечернее время.
3) Высокий уровень сетевой безопасности внутреннего частного сегмента ЛВС от хакеров и вирусных угроз.
4) Доступ сотрудников к общим папкам на сервере под управлением Windows 2003 (по NETBIOS порт 445) удаленных сотрудников со строго указанных адресов.
5) Доступ к принтеру HP 2600 N начальства из internet для мониторинга состояния и удаленной печати документов.
6) Контроль за интернетом: учет трафика, подсчет, удобный просмотр отчетов.
7) Организация IP-SEC-туннеля по требованию для обмена конфиденциальной информации с сервером, расположенным в удаленном офисе.
8) Запрет мессенджеров на рабочем месте типа онлайн-пейджера экспресс сообщений ICQ / Live / QIP / агент@mail.ru, блокирование пиринговых клиентов P2P.
9) Необходимо запретить посещение офисными сотрудниками эротическо-развлекательных-сайтов, заблокировать WEB-страницы соцсетей наподобие "Odnoklassniki", "ВКонтакте ру", "Мой Мир".
10) Обеспечение беспроводного гостевого мобильного доступа к интернету для эпизодически посещающих фирму клиентов с ноутбуками и КПК.

Приоритеты:
  1. Минимизация затрат на сетевое оборудование
  2. Надежность работы сети
  3. Высокая производительность
  4. Возможность безопасной связи между офисами (поднять шифрованный ВПН туннель)
  5. Поддержка голосовых сервисов (VoIP)

Чтобы соблюсти пункты 1,- 5, 7 - 9 мы выбрали оптимальным решением установку в качестве головного устройства брандмауэр Cisco Adaptive Security Appliance 5505.
Он идеально подходит для вышеперечисленных задач, в которых комбинируется маршрутизация, контроль доступа, удалённый защищённый и быстрый VPN доступ, а также сетевая защита.
Если бы отсутствовала необходимость в обеспечении пунктов 3, 8 и 9, либо потребовалась бы организация Ip телефонии в объединенных офисах, то оптимальным выбором бы стал маршрутизатор Сиско 871.

КОММУТАЦИЯ


Так как первым пунктом в приоритетах заказчика была экономия денежных средств, то в качестве коммутатора для данной ЛВС нами был предложен д-линк Des-1024 DG. Это компактный настольный коммутатор (свитч), имеющий 22 порта FastEthernet со скоростью 100 мбит/с и два порта мощностью 1 Гбит/с полнодуплексной связи.
Мы намеренно не стали брать устройство с бОльшим количеством портов на борту, так как начальник офиса клятвенно заявил нам, о том что расширять сеть и компьютеры в данном помещении не планирует в принципе.
Соответственно, практически ни один порт в свитче Dlink 1024DG не пропал даром.
Сервер и сетевой принтер мы вставили в порты 3 и 4 на брандмауэре Циско Аса 5505, к первому порту подключили Internet, а через порт номер 2 была подключена локальная сеть посредством вышеописанного Ди-Линка.

ИНТЕРНЕТ

Для соблюдения первого пункта требований инженеры настроили Нат-трансляцию адресов для офисных компьютеров в строго рабочее время, с 10-18 часов.
Это легко осуществилось посредством конфигурирования списков доступа (ACL) брандмауэера Asa, которые поддерживают временнЫе интервалы.

С помощью интегрированных политик WEB-доступа и анализатора протоколов в ASA5505 нами заблокирована работа online-мессенджеров наподобие АСЬКИ, КВИПа, установлена блокировка пиринговых приложений (uTorrent) и подобных как по портам, так и по протоколам. Также мы заблокировали офисным компьютерам доступ к сайтам *.mail.ru, damochka.ru и другим по доменным именам. Специалисты закрыли «взрослые» сайты, используя фильтрацию по ключевым словам в контенте.

Для реализации пунктов 4 и 5 мы организовали PAT (входящую статическую привязку) с разрешенных адресов по портам 445, 139 на внутренние адреса 192.168.10.250 (Server) и 192.168.10.240 на порт TCP 9100 (принтер).

Для обеспечения беспроводного доступа мы приобрели Вай-Фай точку Линксис WRT-54G, установили, включили ее в четвёртый порт брандмауера ЦИСКО. Теперь все желающие с КПК и ноутбуками могут пользоваться ресурсами глобальной сети. Альтернативно, подобная реализация возможна на оборудовании фирмы Чекпоинт.


 

 
.
 
©2005-2016 Интегратор LanIntegro - сетевая IT айпи интеграция, удалённое абонентское администрирование. Оборудование Cisco настраиваем, устанавливаем.
телефон