שאלה מאתגרת!

[ErezLevov]

שאלה מאתגרת!

שלום.
נניח שיש לי רשת מחשבים עם 100 מחשבים.
נניח שהרשת מוגדרת ב 192.168.0.0/16 (שימו לב Class B)
נניח שב AD חילקתי את הרשת למחלקות: Office,Managementוכו...
---
האם יש ביכולתי לחלק כתובות רשת (Dhcp) לפי שייכות בקבוצה?

לדוגמא לחברי קבוצת Office יקבלו כתובות בפול 192.168.10.1-254 ושחברי Management יקבלו כתובות בפול 192.168.11.1-254 וכו'...



אשמח לכל רעיון או כיוון.
תודה!

 

[בצג]

אם תתקין כמה כרטיסי רשת, אז כן

וזה דורש כמה סוויצ'ים או חלוקה ל VLAN ים

זה שיצרת כמה סקופים, וכל הסקופים נמצאים באותה רשת (על פי סאבנט) זה לא נותן לך כלום כי אין לך איך ליצור מצב בו השרת יודע מי בקבוצה ומי לא.
אל תשכח שחלוקה לקבוצות נעשית אחרי שמעה"פ עולה, וזה הרבה אחרי שמתקבלת כתובת IP
אם תרצה לחלק כתובות למחלקות שונות, אתה צריך לחשוב איך אתה מחלק אותן בשכבה 2 או 3 ולא איך אתה מפצל אותן בשכבה 7 (ובטח לא בשכבה 8...)

 

[ErezLevov]

אני זוכר ש...

שאפשר איכשהו לחלק לקבוצות על פי סממן כלשהוא ב server options בשרת dhcp של ווינדוס.


ת'כלס... המטרה שלי בסוף היא:
שיש לי פורטי גייט ויש לי לקוח "דוסי"
הוא מבקש 4 קווי אינטרנט של רימון, ובכל קו רמת סינון אחרת. מהנמוכה לגבוהה ביותר.
כמו כן מבקש שהיציאה לאינטרנט תחולק לפי רמות הסינון בהתאם לשייכות בקבוצה כלשהיא.
אשמח לכל הרעיונות...

 

[רבי מיעוטו]

פתרון לדעתי

אתה צריך ליצור את הקבוצות בעצמך בראוטר
בפורטיגייט אתה מגדיר Policy Route של כל אחת מהכתובות ומגדיר דרך איזה WAN אתה רוצה שהן יצאו
במקביל צריך להגדיר Policy אבל שם אתה לפחות יכול להגדיר קבוצות

עכשיו או שתגדיר כתובות קבועות למחשבים או שתגדיר reservation עבור כל הכתובות mac (למעט אלה שברמת החסימה הכי גבוהה)

 

[ErezLevov]

הבעיה ש...

הפורטי תומך עד 16 רשומות policy route

 

[רבי מיעוטו]

אתה מתכוון לפורטי עד 100A

אז או שתציע לו מכונה חזקה יותר
או שתבצע Policy Route לטווחים של קלאס C
למשל 192.168.1.0/24 יוצא מWAN1 וכו'

לא עולה לי רעיון איך לעשות את זה לקלאס B

 

[kitt]

בשכבה 8 הפיצול הוא עצמאי והמערכת כותבת את

התקשורת מחדש לבד

 

[ErezLevov]

Layer 8

http://en.wikipedia.org/wiki/Layer_8

 

[ddoottaann]

Active Directory sites and subnets

http://blogs.technet.com/b/askpfepl...ctory-subnet-site-with-32-or-128-and-why.aspx

 

[ddoottaann]

והנה סרטון יפה שמסביר

http://www.youtube.com/watch?v=aR3b7mCTWRo

בעקרון תצור לכל מחלקה site משל עצמה ותשייך אותו לsubnet המתאים

 

[בצג]

אבל... מי יוצר את השינוי בכתובות ה IP ?

 

[ddoottaann]

זה אמור להתאים לטופולוגית רשת הקיימת

צריכה להיות חפיפה בין הרשת לבין הsubnet site

 

[בצג]

ז"א, החלוקה צריכה להיות עדיין פיזית?

 

[ddoottaann]

מממ

עכשיו שאני חושב על זה לעומק שזה מצריך שהחלוקה תהיה פיזית זה לא פותר את הבעיה.

זה רק נועד לשייך DC מסויים לsite מסויים ז"א שאם כתובת IP מהסבנט שמגודר לsite יבקש לגשת לDC זה יפנה אותו לDC הפיזי באותו site מוגדר

במקום לגשת לDC מרוחק.

 

[בצג]

הוא אשר אמרתי

נראה כאילו הוא מנסה ליצור מצב בו מחשב עולה ומבקש כתובת IP
הוא מקבל כתובת IP משרת DHCP
ואז הוא נכנס לדומיין, משויך לקבוצה מסוימת... ואז מה? פתאום הכתובת תשתנה כי הוא שייך לקבוצה אחרת???

זה פשוט לא זה

 

[ErezLevov]

ת'כלס... המטרה שלי בסוף היא:

שיש לי פורטי גייט ויש לי לקוח "דוסי"
הוא מבקש 4 קווי אינטרנט של רימון, ובכל קו רמת סינון אחרת. מהנמוכה לגבוהה ביותר.
כמו כן מבקש שהיציאה לאינטרנט תחולק לפי רמות הסינון בהתאם לשייכות בקבוצה כלשהיא.
אשמח לכל הרעיונות...

 

[בצג]

האם תוכל לפרט יותר על מבנה הרשת?

למשל, ציינת שמדובר על כמאה מחשבים , האם הם מחוברים בחדרים שונים?
האם יש קבוצת מחשבים שצריכה לגלוש ברמה "שמור" שיושבים יחד או שכל מי שאמור לגלוש ברמה X יושבים בנפרד?

 

[iChen78]

הכי קרוב שיכול לחשוב עליו - מוצר NAC כלשהוא

מה שאתה מבקש, לא כ"כ הגיוני כפשוטו.
יש Policy based DHCP , בו אתה יכול להגדיר טווחים
לפי vendor class (נניח למדפסות תקצה X, למחשבים תקצה Y וכו')
אבל לא לפי "אני משתמש X". זה לא עובד העסק הזה..

מה שכן אתה יכול לעשות, זה להשתמש במוצר NAC עם agent less
שיודע להתממשק לתחנה, לחקור מול ה AD, ולשנות VLAN על הפורט בהתאם
(ומה vlan השונה נגזר כמובן הטווח DHCP השונה)

סדר הדברים: כל מחשב יקבל כשיתחבר כתובת IP מטווח ראשוני מסוים(default vlan)
ה NAC יבצע תחקור במי מדובר ולאיזה קבוצה שייך, ואז ישנה VLAN על הפורט,
ויעשה shut/nosuht לפורט כדי שיקבל DHCP מחדש. כמובן שבקנפוג נכון ועם מוצר טוב,
כל העניין יקח כחצי דקה ולא יותר.


עובד כך לצרכים מסוימים, ובסה"כ עושה את העבודה.

 

[דלית - delete]

למה NAC? אי אפשר לפתור את זה עם סקריפט

לוגאין באותו אופן?

שיהיו כתובות קבועות, לצורך העניין - עולים עם כתובת DHCP, מתחברים, לוגאון סקריפט מקצה מחדש כתובת קבועה כלשהי שמשוייכת ליוזר ונסגר.

הרבה עבודה, בייחוד ביצירת יוזרים חדשים, אבל ניתן להוסיף סקריפטים שיעשו אוטומציה של רובה.

או שאני מפספס משהו בסיסי?

 

[doom23]

אממ אפשר ליצור DHCP CLASSES

http://support.microsoft.com/kb/240247

אבל קצת בלאגן
צריך להגדיר כל מחשב לפי CLASS שאתה רוצה
ואז הDHCP יחלק לפי הסקופ שאליו הCLASS שלו שייך

לא ניסיתי אף פעם אבל האופצייה קיימת