Paromshick
Silver Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
goletsa
Цитата:| Ну работает не трогайте тогда. |
Дык... это, барин... не моё от слова "вовсе".
Меня та схема удручила напрочь, начиная от выдачи восьмой маски трём калекам...
Поскольку знатоки сетей detected, может покритикуете, на досуге, следующую философию построения средних размеров сети с выделенным ЦОДом.
Основная мысль, хребет, и т.п. - это разделение LAN и ЦОД в полной мере. От сетевого оборудования, номеров VLAN и до сервисов, обеспечивающих работу. Что бы не происходило в LAN, хоть колом стой, ЦОД продолжает функционирование и публикацию сервисов. Ровно и наоборот, даже если ЦОД "ложится", всё, что клиенты LAN черпали из Интернета, всё они продолжают получать.
Реализация:
Провайдер предоставляет небольшой пул зарегистрированных адресов IP. Из простейшего свитча трафик получают MikroTik и роутер Cisco.
Cisco производит трансляцию зарегистрированных IP в частные (ip nat inside source static). Готова к приёму VPN соединений. ЦОД полностью исполнен на гипервизорах и виртуальных машинах. В том числе и TMG, который на схеме как бы вынесен, для понятности. Реально витая пара идёт от 2911 к 3750. Основная задача TMG - публикация внутренних ресурсов через HTTP(S). Может быть заменён чем угодно. Сервера ЦОД разделены на VLAN'ы. Ядром является 3750. Используется InterVLAN Routing. Разделение на DMZ и Private не жесткое, трафик при желании может идти в оба направления без препятствий. Это недостаток понимаемый и пока не исправляемый.
Ядро LAN собрано на 3560. Шлюзом является MikroTik. Выпускает наружу в основном 80 и 443. Есть еще несколько правил. Больше здесь добавить почти нечего, кроме назначения серверов LAN. Это DNS и DHCP, возможно дополнительный DC и CAS. Все на паре железок, да и пара-то, а не один, только для failover.
Добавлено:
Да, высокоуровневое. Домена AD в LAN нет. Люди аутентифицируются тогда, когда им нужны услуги ЦОД. А так - сидят себе.
По сути, ЦОД в облаке.
Как-то так
|
+ поднимается IPIP/IpSec на основной ЦУ и включен входящий sstp, который доступен только с определённых адресов (для этого в Амстердаме у меня болтается за 5 евро/мес IKEv2 VPN, который делает и ещё одно доброе дело, позволяет пользоваться Яндекс навигатором в обход дебильных блокировок наших ОПСОСов).
) задали вопрос, можно ли восстановить из общей папки одну папку, которую удалили... примерно месяцев 5 назад. Я так прифигел, пошуршал прогами для восстановления инфы, и сказал, что нет. На тот момент копии той общей папки хранились только за последний месяц где-то. С того момента я стал хранить и более старые копии, но до самого увольнения с похожим вопросом никто больше не приходил. Вообще юзеры и своей головой должны думать. А они не хотят. Уволился я в том числе и потому, что устал за юзеров быть "их головой" (не за всех конечно, были и очень умные и ответственные, которые свои локальные доки даже на болванки просили записывать для резерва, но таких было немного...ОЧЕНЬ НЕМНОГО)...
