Sveicinaati!

Radusies situaacija ka firma, pienjemsim SIA 1, paarceljas uz citaam telpaam, bet taa vietaa lai iireetu vai iegaadaatu 1 offisu, tiek iegaataata vesala maaja ar naakotnee domu iziireet neizmantotaas telpas citiem SIA.

Mans uzdevums shajaa sakaraa ir izveidot tiiklu prieks maajas iipashnieka taa, lai nodroshinaatu neatkariigus apakshtiiklus katram SIA, bet ar kopiigu piekljuvi i-netam, kuru regulee maajas iipashnieks - SIA 1.
Neatkariigi apakshtiikli ir domaats lai SIA 3 vai SIA 2, vai SIA 1 neredzeetu viens otru.

Iespeejamie risinaajumi:
1. Shinii risinaajumaa no ISP ir vajadziigas tik IP adreses, cik ir apakshtiikli resp SIA, kur katram SIA ir savs routeris kuram iedod 1 no ISP dotajaam IP.
http://foto.inbox.lv/albums/kesiss/net/net1.jpg

2. Shinii risinaajumaa ir vienalga cik IP dod ISP. Ar Linux-isko Routeri padoadam katram SIA vajadziigo IP daudzumu (domaaju ka ar 1 pietiktu) un varam arii viegli dikteet lietoshanas noteikumus (ierobezjot aatrumu, blokjeet neveelamu web contentu utt.).
http://foto.inbox.lv/albums/kesiss/net/net2.jpg

3. Shinii risinaajumaa ISP ir jaadod 1 IP vai (kaa MDSL) vairaakas IP, kuru aatrums summejas. Taalaak hmmm ... "uz godavaarda" dodam lietoshanaa 1 IP no ieprieksh nodefineetaa IP apgabala
http://foto.inbox.lv/albums/kesiss/net/net3.jpg

Luudzu palabojiet, pakomenteejiet kuru risinaajumu labaak izveeleeties.
Varbuut ziniet kaadu vietu kur var apskatiit sheemas kaa tiek realizeeti shaadi mazie ISP projekti.

Man personiigi bez Linux zinaashanaam vispiemeerotaakais liekas 3 variants, bet rodas jautaajums vai tieshaam irnieki (SIA ...) neredzees viens otru?

Paldies!

1. variants slikts, nav kontroles utt

2./3. variants butibaa viens un tas pats, tikai vajag izdomat vai jums pashiem vajag maksat ISP par vairakaam adreseem vai pietiek ar vienu (var pats taisit 2 iekshejos tiklus ar NAT)

Es njemtu 2. variantu, pat nevajag cilveku ar linux zinashanam, var panjemt kadu LiveCD router, kuru var viegli menedzhet :) Un varetu tomer vairaks IP, lai nechakaretos ar double NAT.

3. variantaa letajiem router nav trafika limitu


Ja speciali nav iedota pieeja, tad SIA viens otru tik tiesham neredzes :)

kopumā izskatās labi visi varianti, taču:

Priekšrocības katram variantam:
1. Lēts, uz ko ietaupa mazās firmiņas.
2. Advencētāks, tātad, dārgāks. Pie šada Rūter-Linuxa ir diezgan prātīgi pielikt klāt kvalitatīvu UPS ( Smart-UPS ).
3. Mazliet dārgāks, taču tomēr labāks nekā pirmais, jo Rūteri var kaut cik konfigurēt, taču konfigurējami switchi ir $$#@%@#% dārgi. Arī par integrēto FW neaizmirsīsim.

Trūkumi katram variantam:
1. Pārāk lielas iespējas īrniekiem. Ja nopietni, tad apmēram jārēķinās, ko tu tur liksi iekšā. Ja tā būs firmele ar trijiem cilviem, tad vēl ~, bet ja nu nopietna firma, tad I-neta izmaksas var būt astronomiskas.
2. Nedrošums. Domāju, ka Rūteri ~ visi ~ iekļauj ugunsmūri. Ja tu veidosi nedrošu sistēmu, šaubos, vai maz kāds grinbēs to telpu īrēt ...
3. Domāju, ka tas ir optimāli. Drošums ir, Variabilitāte ir. Ko vairāk vajag?

Overall:
1. Ja tur grozīsies lielas firmas, tad ņem ar Linuxi un viss. Nenožēlosi.
2. Ja būs sīkie losīši, tad 1. variants būtu ok.
3. Ja tev piekāst, cik viņi piepļūtī trubu, tad trešais derēs!

P.S. Par traffica limitēšanu nebiju aizdomājies :>

Es gan buuveetu veel vienu variantu - inet > PC router > switch > clients, bet tas pie nosaciijuma, ja to apakshklientu saak kljuut daudz. Klientus vienu no otra nodaliitu ar subnetiem.
Ja to firminju skaits nepaarsniegs 3, tad blieztu tevis aprakstiito 2.variantu.

Prieksh kam vispar shaada kjiimija ?
Firma pietiekami turiiga lai nopirktu maaju, bet paaraak nabaga lai maksaatu par internetu?
Ar kaadaam tiesiibaam un kaada vajadziiba ir konkroleet citu SIA pieeju pie interneta???

Un kaads tam visam ir ekonomiskais pamatojums, vai ietaupiitie lidizeklji atmaksaasies?
Baigi gribeesies kjeepaaties katru reizi kaa kaadai sia kaut kas neiet ar netu ?
1rmais variants ir pats logjiskaakais no sapraatiigaakais.

Paldies par komentiem, kaa redzu ieveerojamas kljuudas sheemaas nesmu ielaidis.

-> Instigater
Forsha doma. Nav jaajakareejaas ar daudzaam tiikleneem.

Pagaidaam ir 3 klienti, kur 1. ir iipashnieks ar 15 vieniibaam, kursh lasa mailus + seerfo netu. 2. 2 vieniibas, 3. 2 vieniibas. Nekaadas ieveeriibas cieniigas aktivitaates tiikla noslodzee netiek veiktas ...

Principaa pagaidaam likshu 3 variantu kaa pagaidu. Kad lietas nostabilizeesies, paarieshu uz 2 vai Instigater ieteikto.

PS. Kaa ir lietas ar DHCP? (Kautko neskaidru esmu dzirdeejis par sho)
1. Vai (piem. 3 variantaa) iesleedzot abiem iirnieku routeriem DHCP vinji savaa starpaa nekonfliktees?
2. Vai konflikts buus ja DHCP iesleegs augstaakaa liimenja un zemaakaa (iirnieka) routeriem? (shis man liekas aizdomiigs)
3. Nekaada konflikta nebuus nevienaa gadiijumaa?

Instigater variants
1) nedrosh (no securitaates viedoklja pilniigs pii)
2) vienmeer buus iespeejamiiba ka kaads kaadu vainos, ka tas ir aiz****is visu netu. Noteikti atradiisies paaris sejas kuras darba laikaa klausiisies inet raadzinjus vai luurees tv24.lv

3 variants ir stubaakais no visiem.
Nesaprotu.. kadeelj jaasapish liidz bezsamanjai tik vienkaarshas lietas.
DHCP daliish IP ar dazhaadiem subnetiem tikai tad ja piesaistiis IP pie MAC
jeegas nekaadas.

Kaut kaadas stulbas idejas tev galvaa lien :>

kuuminj, manu variantu var lieliski nosekjuureet, ja rodas taada nepiecieshamiiba, un domaaju, ja to apakshklientu ir gana daudz, tad 3.liimenja switcham naudinja arii atradiisies.

Firmele kura taupa un kjiimikjo uz interneta piesleeguma.. teerees $ switcham ? mhhh
Nenopietni ir taa dariit.. vienk nenopietni :>
Un kantorii kuram nav sava admina.. kursh tur kaut ko sekjuurees ?
Tur by default guests ir adminu grupaa un adminam parole ir blank.
Un eertiibas labad veel ieksh GP ie****s ka ar blak paroli var konekteet caur tiiklu.
Esi reaals.
Visa shitaa je**** ir gauzhaam lieka un nevajadziiga.

-> BOFH
Firma necer vaariities no i-neta.
Kaontroleet cita SIA piekljuvi i-netam - nepieljaut aizsist visu draati ar piem DC++ un ierobezjot peec pashas SIA luuguma piem. draugiem.lv

Tad tu piedaavaa katram iirniekam stiept savu draati no sev tiikamaa ISP un ljaut vinjam urbinaat sienaa cauru kur nu vinjsh veelas?
Vai atveeleet ISP vienu kaktinju kur vinjsh noliks savas kastiites un organiizees taalaak netu katram atsevishkji?

davai, turpiniet :) man patīk, kā divi sysadmini laužas galvām ...
( tas tikai norāda, ka šim forumam ir augsts līmenis! ) !

Nu tu tagad jauc divas dažādas lietas - Īrnieks un Pakļautībā esoš kantoris.
Tehniski tu gribi panākt, ka pie Linuxa sēž viens džēks. Kāds viņam no x SIA kaut ko uzdirš. Šaimais uzliek traffic limitu ( ja vēl ir dzimis maitasgabals, tad atrubī pusi portu ). Tāda ir tava perspektīva? Tas točna nav nopietni.

Es uzskatu, ka jāmēgina max paredzēt ar iespēju paspert soli atpakaļ. Ja toč zini, ka būs liels pieprasījums pēc telpām, taisi tādu sistēmu: katrs atzars var tik kontrolēts no iekšienes. Arējais ( pieņemsim, ka Mājas īpašnieks ir SIA-1 ) var TIKAI nogriezt netu pilnībā.
Nezinu precīzi likumdošanu, taču grozies kā gribi, tas ir jāietver īres līgumā ..

Neviens netaisaas kjiimikjot. Tad luudzu pastaasti kaa tad buutu jaariikojaas shajaa situaacijaa.

Katrs kantoris lai meklee pats sev tiikamaako un urbina manaas sienaas caurumus?

ja jau pirmaa firma neveelas vaariities, tad daram ljoti vienkaarshi:
1. atveelam vienu kambari tehniskajaam vajadziibaam, veelams taa, lai liidz katram taalaakajam maajas stuurim nebuutu vairaak kaa 100m
2. ieriikojam tur telekomunikaaciju skapiiti
3. no katras rozetes velkam uz to skapi vadinju, tur veidojam patchpaneljus
4. taalaak provaiderus laizjam tikai tajaa telpaa stingraa uzraudziibaa un arii parastajiem mirstiigajiem tur nebuutu jaalien, taadeejaadi katram ofisam vinja provaiders uzliks switchu, sapachos vajadziigaas rozetes un provaiders domaas arii par trafika prioritaateem un visu paareejo

Mjāa. Instig, izklausās tīri labi. :)

Nu šitā tās lietas nedara. Labāk jau būtu paaicinājis kādu profesionāli, lai sataisa tev tīklu.
Manuprāt 2 variants ir vistuvāk patiesībai, tikai tur vēl jāizmet ārā tas "lētā gala" rūteris.
Priekš visa pietiek ar vienu PC bāzētu rūteri/firewall ar vienu tīkleni un vienu vadāmu swiču. Priekš katras sijas uztaisi vienu vlanu, vienu vlanu priekš ārējās i-net piekļuves (ārējo), vienu vlanu priekš dmz.
Ziepjutraukus var izmantot kā wi-fi AP, ja nu tiešām tajās firmās vajadzīgs tas bezvadu tīkls.
Visā tajā lietā vēl vajadzētu paredzēt tādu lietu, kā DMZ un http, ftp proxy servera izveidošanu, jo parasti jau drošības nolūkos normālas firmas tā vienkārši parastus lietotājus pa taiso ļaunajā i-netā nelaiž, vienmēr dzen caur proksi, kas arī atfiltrē nost kaitīgo kontentu.

Pagaidaam to prasa no manis - uztaisi man tiiklu un iedod kaminjam arii, bet taa lai mees viens otrur neredzam. Pie patreizeejaas situaacijas, kad kaa jau ieprieksh rakstiiju ...

(Pagaidaam ir 3 klienti, kur 1. ir iipashnieks ar 15 vieniibaam, kursh lasa mailus + seerfo netu. 2. 2 vieniibas, 3. 2 vieniibas. Nekaadas ieveeriibas cieniigas aktivitaates tiikla noslodzee netiek veiktas ...)

... domaaju ka prova laizshana maajaa ir taa iisti nevietaa. Un jauni klieniti radiisies ne aatraak kaa peec 1/2 gada (kameer vecais iipashieks izvaacaas, teik savestas kaartiibaa telpas utt.)

Instigatera aprakstiitais variants, ka tiek izvilktas komunikaacijas un visi gali saiet vienaa telpaa ir pats gudraakais variants.
Ja mainaas iirnieki un telpu konfiguraacija.. nav chakara.
Mazums bija 3 firmas vienai 2vas telpas otrai 1na
Peec gada jamaas abas aiziet un atnaak viena liela.. ko tad tu iesaaksi ar tiem tiikliem?
Ja dara kaa Instigater tieteica.. viss buus chikiniekaa un ideaali jebkuraa gadijumaa.

Un provaideri arii varees akuraati novilkt kabeljus tikai lidz tai telpai kur pachpanelji un switchi.
SIAm buus iespeeja IZVEELEETIES kuru provaideri vinjas grib.
Tagad jau ISP vadinjus ievelk gana akuraati, nevajag celt paniku nevietaa.
Ielaist ISP maajaa :DDDD Laba fraaze :))))
LTK vispar viss driizaak neko nevilktu.. uzliktu DSL modeemu un viss.

jā - un vēl der padomāt par firmu, kas vilks kabelizāciju. Ne jau pats tu tos kabeļus vilksi un pačpaneļus klapēsi. Ja vien mājas izmēri to atļauj, visizdevīgākais variants būtu zvaigznes topoloģija, centrā viss telekomunikāciju aprīkojums, swiči, serveri, rūteri, telefonu centrāle.
Manuprāt ķēpāties ar vairākiem isp nav jēgas, bardaks tikai lielāks saradīsies.

Taa jau arii ir domaats - centra kambarits ar kastiiteem, uz katru telpu pa vadinjam, pa kuru var tikt "aaraa" :)
Jautaajums bij - kaadas kastiites viena aiz otras jaaliek, lai vadinjsh, kursh tiek iedots klientam, aizvestu vinju plashajos i-neta plashumos, nevis blakus kaiminj Jaanja pieziimjblocinjaa. A kaa vinjsh taalaak to vadinju sadala - nav mana probleema.

Par provaidera laishanu maajaa ...

Naakotnee iespeejams ka tas arii tiks realizeets, bet apstaaklis "vinju kompetence" par piemeeru njemot LTK viziites pie "mazajiem" klientiem (MDSL) liek aizdomaaties par sho soli. Iespeejams ka pie "resnaaka" klienta atbrauks "brigadieris ar diplomu", bet izteiktas veelmes to paarbaudiit nav.

Nu tad sakonfigurē pareizi rūteri/firewallu, lai viens pie otra nevarētu tikt, bet varētu tikt ārā. Viss ir atkarīgs no tā, kādu softu konkrēti izmantosi. Es personīgi ieteiktu lietot pfsense, kā teica viens no šī softa izstrādātājiem - "tik nopietnas lietas, kā firewallu, nedrīkst atstāt pingvīnu ziņā":)

Hmm, skatos pfsense nav traffic accounting. Vai varbut tomer ir?

Veel viens jautaajums par cross ne-cross sleegumu.
Hub-us vai swish-us savaa starpaa labaak ir savienot ar cross kabeli sprauzhot attieciigajos shim pasaakumam paredzeetajos portos, vai ne?

Kaada vispaar ir cross kabelja (sleeguma) jeega, jo straadaa viss tak arii ar ne-cross sleegumu?
Aatrums? Standarts? Veel kau tas?

tur nav nekādas būtiskas nozīmes. Ja swičam (habam) ir ports ar MDI-X, vai arī tas pats automātiski nosaka, ka jāsamaina tx ar rx vietām - protams, ka izdevīgāk izmantot taisno kabeli, jo nav speciāli jāmeklē krusteniskais. Savukārt - ja swičam (habam) nav tāda porta - protams, ka atliek izmantot krustenisko. Signāla kvalitāte no tā nekādi nemainās.

Dažiem swičiem, kam ir automātiska tx-rx pāru noteikšana, slēdzot 2 tādus kopā, tie nekādi nespēj saprasties - kurš tad mainīs pārus, kurš nē. Tad atliek izslēgt portam autonegociāciju un izmantot krustenisko kabeli. Tas ir izņēmuma gadījums, pārsvarā viss notiek, kā sākumā aprakstīju.

Hmm, skatos pfsense nav traffic accounting. Vai varbut tomer ir?
atvaino - nepamanīju to postu - jau liels laiks pagājis...:mad: - bet tu izvērtē, vai tev tas trafika akountings ir vajadzīgs? visi interneta piegādātāji jau sen kā atteikušies no trafika skaitīšanas, jo čakaris ir daudz lielāks, nekā reālais ieguvums. Atceros vēl tos laikus, kad U.Bērziņš skaitīja bezmaz vai katru baitu, vēl rēķināja izcenojumu no tā, cik baitus esi sūtījis uz ārzemēm, cik tepat pa Latviju! - protams, ka laiki mainās, un šādas lietas pamazām sāk kļūt bezjēdzīgas. Cita lieta - ja tu gribi eksportēt to trafika plūsmu uz kādu monitoringa tūli, lai saprastu, kurš lietotājs-nelietis pastāvīgi slogo tīklu ar savu bezjēdzīgo trafiku - priekš tā eksistē Cisco netflow un vesela kaudze tūļu, lai to analizētu.