Caros colegas estou com uma duvida. Possuo uma rede com o seguinte esquema: 1 servidor AD , 1 Servidor Cluster AD ( se comunicam com um cabo cross ) 3 servidores Terminal services com uma rede publica e uma rede privada ( NLB windows com multicast ) , 1 servidor Banco dados , 1 Servidor de backup e um servidor de internet, 1 Router que interliga as filiais. Todos estao hoje ligados em um SW layer 2 apenas com uma vlan para rede privada do NLB. Tambem neste SW sai um cabo para cada um dos outros 3 SW layer 2 onde estao meus usuarios.
Agora comprei um SW layer 3 e gostaria de saber o que ele poderia me ajudar neste caso. Visto que todos os servidores, router e usuarios estao em uma mesma sub-rede. Seria interessante separar alguns servidores que fazem a mesma funcao em vlan? exemplo colocar os 2 servidores de dominio em uma vlan , colocar os 3 servidores de NLB ( rede publica tambem ) em outra vlan ...etc.. e depois disto rotear esta vlan ou melhor colocar tudo em uma só vlan? o router tambem eh outra duvida se coloco separado ou junto com tudo.
Outra coisa , alguem saberia me explicar como aplico QoS por tipo de porta e protocolo ? possuo um SW Dell PowerConnect 6200 series. Preciso priorizar porta de conexao com WTS ( 3389 TCP ).
Agradeco desde ja a ajuda!!!!
Switch L3
-
- Membro Júnior
- Mensagens:2
- Registrado em:17 Jun 2008, 17:22
- Localização:Curitiba
-
- Membro Júnior
- Mensagens:12
- Registrado em:30 Jun 2008, 15:12
- Localização:Florianópolis - SC
Switch L3
O cara, você poderia fazer o desenho da topologia com os endereços configurados?
É necessário trocar o switch L2 por um L3? Por que trocou???
É necessário trocar o switch L2 por um L3? Por que trocou???
-
- Membro Júnior
- Mensagens:2
- Registrado em:17 Jun 2008, 17:22
- Localização:Curitiba
Opa Miguel , desculpe a demora , veja se assim te ajuda:
Servidor AD 1 192.168.0.1 ( publica ) 192.168.254.1 ( privada )
Servidor AD 2 192.168.0.2 ( publica ) 192.168.254.2 ( privada )
IP CLUSTER 192.168.0.5
Router cisco 192.168.0.3 ( rede ) 192.168.10.2 ( central )
Servidor banco oracle 192.168.0.4
Servidores de terminal services 192.168.0.11( publica ) 5.5.5.1 ( privada )
192.168.0.12( publica ) 5.5.5.2 ( privada )
192.168.0.14( publica) 5.5.5.4 ( privada)
IP CLUSTER 192.168.0.10
Servidor Backup 192.168.0.13
Servidor Internet 192.168.0.100
Central Telefonica 192.168.10.1
Redes remotas ( link mpls embratel ) 192.168.1.0 / 192.168.2.0 / 192.168.3.0/ 192.168.4.0 / 192.168.5.0 / 192.168.6.0
Quanto a compra , decidi por layer 3 pelo fato da priorizacao de pacotes QoS.
espero que te ajude desta forma como coloquei.
abracos
emerson
Servidor AD 1 192.168.0.1 ( publica ) 192.168.254.1 ( privada )
Servidor AD 2 192.168.0.2 ( publica ) 192.168.254.2 ( privada )
IP CLUSTER 192.168.0.5
Router cisco 192.168.0.3 ( rede ) 192.168.10.2 ( central )
Servidor banco oracle 192.168.0.4
Servidores de terminal services 192.168.0.11( publica ) 5.5.5.1 ( privada )
192.168.0.12( publica ) 5.5.5.2 ( privada )
192.168.0.14( publica) 5.5.5.4 ( privada)
IP CLUSTER 192.168.0.10
Servidor Backup 192.168.0.13
Servidor Internet 192.168.0.100
Central Telefonica 192.168.10.1
Redes remotas ( link mpls embratel ) 192.168.1.0 / 192.168.2.0 / 192.168.3.0/ 192.168.4.0 / 192.168.5.0 / 192.168.6.0
Quanto a compra , decidi por layer 3 pelo fato da priorizacao de pacotes QoS.
espero que te ajude desta forma como coloquei.
abracos
emerson
-
- Membro Júnior
- Mensagens:12
- Registrado em:30 Jun 2008, 15:12
- Localização:Florianópolis - SC
Cara, vamos lá.
Eu não consegui 'enxergar' tua topologia muito bem mas faça o seguinte.
Para cada tipo de aplicação você cria uma Vlan com tag no port trunking.
1 Vlan de Voz
1 Vlan para os usuários
1 vlan para serviços críticos
1 vlan para servidores
ETC.... Defina as políticas e veja o que você pode fazer de melhor para segmentar sua LAN.
Como os switches de L2 NÃO ROTEIAM você utilizará o switch de L3 para rotear dentro dessas Vlans.
No teu caso, você terá que criar politicas para priorizar alguns tráfegos por exemplo, o tráfego de voz.
Depois crie ACLs dentro do Switch de L3 para que a Vlan dos usuários " normais " nao "enxerguem" um grupo de administradores do sistema ou executivos.
Com isso voce estará e segmentando a sua rede e impedindo que tráfegos que não sejam interessantes a uma determinada rede sejam propagados.
Quando ao link MPLS você pode decidir em usar o roteador apenas como o "Default Gateway" da tua rede e fazer todo roteamento de Vlans .1.0/24 .2.0/24 .3.0/24 .4.0/24 .5.0/24 com o Switch L3.
Acho que essa é a solução que o pessoal de rede costuma fazer já que o switch de L3 fica no "core' da rede e os switchs L2 ficam destinaos apenas para acesso.
Eu não consegui 'enxergar' tua topologia muito bem mas faça o seguinte.
Para cada tipo de aplicação você cria uma Vlan com tag no port trunking.
1 Vlan de Voz
1 Vlan para os usuários
1 vlan para serviços críticos
1 vlan para servidores
ETC.... Defina as políticas e veja o que você pode fazer de melhor para segmentar sua LAN.
Como os switches de L2 NÃO ROTEIAM você utilizará o switch de L3 para rotear dentro dessas Vlans.
No teu caso, você terá que criar politicas para priorizar alguns tráfegos por exemplo, o tráfego de voz.
Depois crie ACLs dentro do Switch de L3 para que a Vlan dos usuários " normais " nao "enxerguem" um grupo de administradores do sistema ou executivos.
Com isso voce estará e segmentando a sua rede e impedindo que tráfegos que não sejam interessantes a uma determinada rede sejam propagados.
Quando ao link MPLS você pode decidir em usar o roteador apenas como o "Default Gateway" da tua rede e fazer todo roteamento de Vlans .1.0/24 .2.0/24 .3.0/24 .4.0/24 .5.0/24 com o Switch L3.
Acho que essa é a solução que o pessoal de rede costuma fazer já que o switch de L3 fica no "core' da rede e os switchs L2 ficam destinaos apenas para acesso.
É interessante também, apenas por garantias, que se utilize um firewall. Mas com policy maps (QoS) e ACLs, você já consegue uma boa estrutura.
Tente segmentar seus servers por serviço, em diferentes subnets. Se usar Web server, deixe-a numa separada e pasando por firewall e ACLs, para garantir a segurança (pesquise sobre DMZ).
Tente segmentar seus servers por serviço, em diferentes subnets. Se usar Web server, deixe-a numa separada e pasando por firewall e ACLs, para garantir a segurança (pesquise sobre DMZ).
Ronaldo A. Bueno Filho
-
- Membro Júnior
- Mensagens:12
- Registrado em:30 Jun 2008, 15:12
- Localização:Florianópolis - SC
ronaldobf escreveu:É interessante também, apenas por garantias, que se utilize um firewall. Mas com policy maps (QoS) e ACLs, você já consegue uma boa estrutura.
Tente segmentar seus servers por serviço, em diferentes subnets. Se usar Web server, deixe-a numa separada e pasando por firewall e ACLs, para garantir a segurança (pesquise sobre DMZ).
Ronaldo, estamos quase fazendo consultoria heim colega?
To brincando, valeu!