Проектирование локальной сети организации «CherryDev»

Вот и пришло время приступить к практической части проектирования нашей локальной сети. У нас есть несколько отделов: бухгалтерия, топ-менеджмент, айтишники, коммерческий отдел и продажники с транспортным отделом, работающие в другом офисе. Чтобы проще было управлять офисной сетью, создадим для каждого отдела внутри офиса свой vlan. В нашей сети будет использоваться трехзначная нумерация виртуальных сетей.

Офисная локальная сеть
Специалисты ИТ-отдела будут находиться в сотом вилане, так как он легко запоминается, а айтишники — это единственные сотрудники нашей организации, кто может находиться в нескольких сетях и кому это действительно нужно. В дальнейшем, мы будет отдельно шейпить технический отдел и создадим для него политику доступа «Все разрешено». Ну как же системный инженер останется без социальных сетей на работе ?! =)

Бухгалтерия будет находиться в 101-ой сети и шейпиться не будет. Доступ бухам будет открыт NATом к интернет-банкам. Остальной трафик будет заворачиваться на прозрачный прокси-сервер на базе squid. Так трафик можно будет полностью контролировать и создавать тонкие политики доступа в интернет.

В 102 вилан определим пользователей из коммерческого отдела. Они будут работать через непрозрачный прокси-сервер так же на базе squid. Так как большинство сайтов в современном интернете использует шифрование, а прозрачный прокси с SSL нормально работать не может, придется прописать параметры доступа в настройках браузера в ручную.

Внешняя сеть офиса

Транспортный отдел и отдел продаж подключим к нашей сети с помощью VPN-сервера. Маршрутизацию нужно настроить таким образом, чтобы весь трафик шел через наш центральный офис. На первый взгляд может показаться, что так будут «проседать» каналы, но при правильных политиках доступа, все будет работать отлично.