Потребую поради

[Svoyak]

Доброго Вам дня!
В мене наступна ситуація... Організація в якій я працюю, має свою локальну мережу (до 100 компю'терів), існує канал мережі передачі даних в 2Мбіт/с до головного офісу (офіс знаходиться в Києві). Розгорнута своя Інтранет-мережа (кожний компютер має статистичний IP-адресу). Обмін інформацією між моєю мережою та мережою головного офісу здійснюється як через поштовий сервер, так і через фтп-сервер.  Для виходу в мережу головного офіса служить маршрутизатор Cisco. Досить часто користувачі моєї організації "качають" з сусідньої мережі відео- аудіо- файли, при чому один і той же файл закачується декількома користувачами.
Хочу у Вас, запитати, як краще організувати доступ до мережі головного офісу, щоб певні користувачі не могли в робочий час качати відео-аудіо-файли, як розподілити швидкість між користувачами???
Я дотримуюсь такого варіанту, встановити проксі-сервер (ОС Linux) в якості шлюза (зараз Cisco є головним маршрутизатором).....  і на ньому цьому сервері вже здійснювати адміністрування.
Що Ви мені можете порадити??? Може будуть якісь інші варіанти?
Буду вдячний за Ваші відповіді.

[old]

Якщо перелік ір-адрес з яких качають обмежений(фтп сервер наприклад) і не співпадає з ір-адресами/портами, потрібними для роботи, то швидкість можна обмежити і на Cisco роутері, використавши QoS. Але враховуючи, що робочих станцій у Вас доволі багато, такий варіант може суттєво завантажити роутер. Тому варіант із Лінуксом однозначно кращий. От тільки зовсім не обов'язково робити його шлюзом. У якості шлюза залишається циска, а на Лінуксі проксі сервер. Доступ до хтпп\фтп дозволений лише через проксі (хто не прописав проксі, не має фтп взагалі). Такий підхід інтелегентніший з точки зору побудови мережі і оптимізації трафіку. На проксі (squid) без проблем налаштувтаи правила (delay_pools) і керувати трафіком як душі заманеться. Єдине обмеженення: це працюватиме для http/ftp, не для windows share або чогось такого.
І ще, з власного досвіду, боротись з впорядкуванням Інтернет-трафікускладно (та й інформація має бути доступна ), тому дуже помагає організація "даунлоадеру" -- скріпта на сервері який вночі (коли канал вільний) витягує все, що прописано у файлі. Потративши зовсім трошки часу можна налаштувати простий інтерфейсик, в якому користувач вказує УРЛ і цей УРЛ він вранці знайде на сервері. І вовки ситі і вівці заводовлені.  В купі із адміністравтиними заходами (взування маніяків згідно звітів проксіка) та технічними (проксі з пулами) мало б допомогти.

[Svoyak]

...Якщо перелік ір-адрес з яких качають обмежений(фтп сервер наприклад) і не співпадає з ір-адресами/портами, потрібними для роботи, то швидкість можна обмежити і на Cisco роутері, використавши QoS.

На жаль я не маю доступу до Cisco, її адмін в головному офісі, та знання в меня в області Cisco ніякі

У якості шлюза залишається циска, а на Лінуксі проксі сервер. Доступ до хтпп\фтп дозволений лише через проксі (хто не прописав проксі, не має фтп взагалі). Такий підхід інтелегентніший з точки зору побудови мережі і оптимізації трафіку. На проксі (squid) без проблем налаштувтаи правила (delay_pools) і керувати трафіком як душі заманеться. Єдине обмеженення: це працюватиме для http/ftp, не для windows share або чогось такого.

Згоден! Але я зіштовхнувся з такою проблемою - в кожного користувача в якості шлюза прописана Cisco, тобто користувач одразу виходить на головний офіс через маршрутизатор, я думав обмежити доступ до Cisco на фізичному рівні, грубо кажучи всіх користувачів завести на один світч, і потім з так званого "основоного" світча на проксі на перший мережевий адаптер eth0, а вихід проксі на світч де знаходиться Cisco через другий адаптер eth1.... Що скажеш, реально таке здійснити???

[old]

Згоден! Але я зіштовхнувся з такою проблемою - в кожного користувача в якості шлюза прописана Cisco, тобто користувач одразу виходить на головний офіс через маршрутизатор, я думав обмежити доступ до Cisco на фізичному рівні, грубо кажучи всіх користувачів завести на один світч, і потім з так званого "основоного" світча на проксі на перший мережевий адаптер eth0, а вихід проксі на світч де знаходиться Cisco через другий адаптер eth1.... Що скажеш, реально таке здійснити???

Звичайно що реально.  Але якщо робити все "по чесному", весь офіс мав би знаходитись у іншій підмережі. Відповідно або робити на Лінуксі маскування або міняти маршрутизацію на Циско. Простіший варіант усі пристрої в одній мережі, в користувачів примусово прописаний Лінукс в якості шлюза, а от на Лінуксі уже Циско. Але о перше не правильно з точки зору побудови мереж (виходить петля), по друге нема гарантії що якийсь просунутий користувач не поміняє собі шлюз напряму на Циску. Тобто ставити Лінукс шлюзом можна, але це "не інтелегентно" (не відповідає промисловим стандартам  8-)).
Моя порада: не міняти нічого в маршрутизації, розгорнути Лінукс у тій самій мережі, настроїти проксі і відтестувати. А тоді вже постукати до адміна з головного офісу із готовим рішенням і попросити зарубати хттп\фтп порти на циско. Ну або адміністративними заходами загнати всіх на проксі, тоді навіть порти закривати не треба.  ІМНО це найбільш коректне рішення.

[Svoyak]

Звичайно що реально.  Але якщо робити все "по чесному", весь офіс мав би знаходитись у іншій підмережі.

Так і є - в мене мережа 192.168.1.0, а у головного офіса - 192.167.1.0
[/quote]

Моя порада: не міняти нічого в маршрутизації, розгорнути Лінукс у тій самій мережі, настроїти проксі і відтестувати.

Зараз спробую...пізніше напишу тобі, що в мене вийшло!

А тоді вже постукати до адміна з головного офісу із готовим рішенням і попросити зарубати хттп\фтп порти на циско. Ну або адміністративними заходами загнати всіх на проксі, тоді навіть порти закривати не треба.  ІМНО це найбільш коректне рішення.

Порти закрити не можна! http/ftp протоколи край необхідні... Що ти має на увазі "адміністративними заходами" - надати всім користувачам ПЕОМ - користувачів чи гостей? Тоже неможна   Я думаю, варіант з фізикою - хіба погано буде функціонувати така схема:
користувач -> світч N-го поверху -> світч 1-го поверху -> світч головний -> мій проксі -> cisco -> cisco головного офісу ?
При цьому користувач без проксі не вийде на cisco без проксі...
Дякую за відповіді!!!

[old]

Що ти має на увазі "адміністративними заходами" - надати всім користувачам ПЕОМ - користувачів чи гостей?

Я маю на увазі примусово прописати всім проксі сервер і сказати "Хто поміняє -- поламаю пальці"

Я думаю, варіант з фізикою - хіба погано буде функціонувати така схема:
користувач -> світч N-го поверху -> світч 1-го поверху -> світч головний -> мій проксі -> cisco -> cisco головного офісу ?
При цьому користувач без проксі не вийде на cisco без проксі...
Дякую за відповіді!!!

Погано. Давайте намалюємо все це в ір-адресах:
192.168.1.10 (користувач) -- (свічі не малюємо, це 2 рівень) -- 192.168.1.254 (Лінукс) -- ? (інтерфейс на Лінксі, дивиться на циску) -- ? (інтерфесй на циско, що дивиться в торону Лінукса) --- (далі все зрозуміло -- головний офіс і тд)
Так от, які адреси Ви збираєтесь присвоювати замість "?", і чи є у Вас права міняти це на Циско?

[Svoyak]

Я маю на увазі примусово прописати всім проксі сервер і сказати "Хто поміняє -- поламаю пальці"

Ви уявляєте собі як я буду ламати пальці заступнику директора який ростом 2 метра    або секретарші директора, до якої бос небайдужий? Вона цими пальцами йому щось робе...каву наприклад!

Погано. Давайте намалюємо все це в ір-адресах:
192.168.1.10 (користувач) -- (свічі не малюємо, це 2 рівень) -- 192.168.1.254 (Лінукс) -- ? (інтерфейс на циску) -- ? (інтерфесй на циско) --- (далі все зрозуміло)
Так от, які адреси Ви збираєтесь присвоювати замість "?", і чи є у Вас права міняти це на Циско?

Вибачте, але я не зрозумів що саме маєте на увазі під виразом "інтерфесй на циско"... У проксі-сервера два мережевих адаптера... тобто 192.168.1.254 та 192.168.1.253
На Циско нічого змінювати не маю права
Вибачте, може я виглядаю дурнем, але я ще агато чого не розумію, тому й хочу навчитися!Дякую за розуміння!!!

[miwa]

Почнімо з того, що проксі-сервер НЕ займається обмежуванням доступу користувачів до ресурсів мережі, тобто якщо вам потрібно саме обмеження користувачів по трафіку/швидкості/об'єму інформації, то окрім проксі-сервера потрібно буде налаштовувати якусь систему обліку і контролю трафіку - NeTAMS, Stargizer і т.п. Маршрутизацію я б на вашому місці однозначно залишив Cisco - краще за них це може зробити хіба що дуже добре налаштована Юнікс-система (і то це ще під питанням; безумовно, підрозумівається, що сам Cisco налатований також добре).
З приводу виведення всього офісу в іншу мережу - особисто я б відкинув такий підхід. Тобто між користувацькими машинами та Cisco ставив би юнікс-сервер, кортий якраз і займався б обліком, контролем і т.п.
І в будь-якому випадку, потрібно знати, що саме прописано на Cisco - що дозволено і що заборонено; що адмін погодиться змінити і що - ні.

"Інтерфейс на циско" - це, грубо кажучи, мережева карточка, дріт з котрої веде до вашої мережі у даному контексті.

Ще одне.
Не бачу перепон в тому, щоб за умови фізичного розміщення юнікса між користувачами і цискою, пропускати весь трафік через юнікс незалежно від того, які налаштування прописані в користувачів. І незалежно від "просунутості" конкретного користувача.

Дещо сумбурно вийшло - вибачте. Видався важкий день як в плані об'єму виконаної роботи, так і в плані об'єму випитого "Авторського" пива :о)

[Svoyak]

Почнімо з того, що проксі-сервер НЕ займається обмежуванням доступу користувачів до ресурсів мережі, тобто якщо вам потрібно саме обмеження користувачів по трафіку/швидкості/об'єму інформації, то окрім проксі-сервера потрібно буде налаштовувати якусь систему обліку і контролю трафіку - NeTAMS, Stargizer і т.п.

От я й прошу поради, що мені потрібно встановити, можливо це буде шлюз-сервер, з пенвими настройнами, що буде відповідати потрібним мені умовам... В "системі обліку і контролю трафіку" я поки що не поребую. Мені потрібно, щоб користувачі не могли закачувати собі аудіо- відео-файли. Бувають випадки, коли 1-й користувач завантажить собі певну інформацію, а через деякий час 2-й завантажує собі ту саму інфорацію, і я як розумію, проксі кешує цю інформацію, а відповідно меньші затрати трафіку. Чи я помиляюсь?

Маршрутизацію я б на вашому місці однозначно залишив Cisco - краще за них це може зробити хіба що дуже добре налаштована Юнікс-система (і то це ще під питанням; безумовно, підрозумівається, що сам Cisco налатований також добре).

Маршрутизація і залишатиметься на Cisco -нічого краще поки що я не бачив. А з налаштуванням Cisco все гаразд.

І в будь-якому випадку, потрібно знати, що саме прописано на Cisco - що дозволено і що заборонено; що адмін погодиться змінити і що - ні.

Адмін нічого змінювати не захоче!

Не бачу перепон в тому, щоб за умови фізичного розміщення юнікса між користувачами і цискою, пропускати весь трафік через юнікс незалежно від того, які налаштування прописані в користувачів. І незалежно від "просунутості" конкретного користувача.

Як це зробити? Я НЕ ЗНАЮ!!! ХЕЛП!!!!

[old]

Не згоден

З приводу виведення всього офісу в іншу мережу - особисто я б відкинув такий підхід. Тобто між користувацькими машинами та Cisco ставив би юнікс-сервер, кортий якраз і займався б обліком, контролем і т.п.

"між" означає, що ір-адреси машин в офісі потрібно міняти. Якщо станом на зараз (умовно) є мережа 192.168.1.0.24 і циско з адресою 192.168.1.1 як шлюз, то щоб поставити між ними лінукс треба мати приблизно так: 192.168.2.0.24-192.168.2.1(лінукс)192.168.1.2-192.168.1.1(циско). По іншому я не бачу як реально змусити всіх ходити через лінукс а не через циску напряму. А міняти ір-адресацію всього офісу -- невдячна справа.
Чи я не правильно зрозумів Ваше "між"?

Ще одне.
Не бачу перепон в тому, щоб за умови фізичного розміщення юнікса між користувачами і цискою, пропускати весь трафік через юнікс незалежно від того, які налаштування прописані в користувачів.

Не бачу сенсу так робити Це лише додаткова точка відмови + додаткова точка затримки (ще один рутер, який абсолютно зайвий у даному випадку).
Словом я продовжую наполягати на проксі-сервері (з delay_pools, що даэ можливість обмежити трафік) у мережі.

[Svoyak]

Словом я продовжую наполягати на проксі-сервері (з delay_pools, що даэ можливість обмежити трафік) у мережі.

Я теж схиляюсь до проксі!!! Давайте на прикладах розглянемо ситуацію.
Уявимо, що є користувач, його ПЕОМ має айпішнік 192.168.1.2... та підключений до світча №1. Є проксі з певними настройками (різноманітні acl, delay_pool і т.д.), який має дві мережевих карти - 192.168.1.245 (патч-корд в світч №1) та 192.168.1.247 (патч-корд в світч №2). Циска має айпішнік 192.168.1.1. та підключена до світча №2..... Користувач може виходити лише на проксі.  
В м.Києві є фтп-сервер з 192.167.1.3. Що мені треба прописати чи "підняти" на проксі-сервері, щоб 192.168.1.2 виходив на фтп-сервер в м.Києві з айпішніком 192.167.1.3 через проксі-сервер (і відповідно користувач буде працювати лише по заданим правилам та швидкістю)

[Svoyak]

Отже, дано: локальна мережа без DHCP з маршртутизатором-цискою котра з'єднується з віддаленою мережею.
 
Треба: обмежити доступ до певних файлів по типу (розширенню) та кешувати звантажувану інформацію для економії трафіку і ширини каналу.
При цьому НЕ треба: рахувати загальний трафік чи трафік по користувачах; міняти налаштування у клієнтських машинах, де вже прописаний типовий маршрут; міняти налаштування на цисці.

Хочу трохи поправити Вас, мені треба міняти налаштування у клієнтських машинах, де вже прописаний типовий маршрут, а саме: в налаштуваннях мережі видалити основний шлюз, та прописати  в браузері проксі-сервер та в Файловому мененджері (наприклад TotalCommander)

Якщо я все зрозумів вірно, тоді є суттєва проблема. Якщо проксі-сервер з лінуксом стоятиме поруч маршрутизатора і доступ до останнього на канальному рівні можливий в обхід лінукса, тоді будь-хто, забравши проксі-сервер з налаштувань броузера виходитиме в інтернет напряму, поза проксі-сервер (не забуваємо, що налаштування на цисці і клієнтах ми не міняємо)

Ось я і кажу, що я хочу на фізичиному рівні виключити можливість, коли користувач може змінити мережеві налаштування та "напряму" виходити на Циско...
Може мій приклад  тобі роз'ясне мою проблему. Для візуального сприйняття можу відправити на поштову скриньку схему...
Дякую !!!
P.S. Приклад я описував вище...алея вважаю ничого страшного якщо я повторно напишу його:
Уявимо, що є користувач, його ПЕОМ має айпішнік 192.168.1.2... та підключений до світча №1. Є проксі з певними настройками (різноманітні acl, delay_pool і т.д.), який має дві мережевих карти - 192.168.1.245 (патч-корд в світч №1) та 192.168.1.247 (патч-корд в світч №2). Циска має айпішнік 192.168.1.1. та підключена до світча №2..... Користувач може виходити лише на проксі.  
В м.Києві є фтп-сервер з 192.167.1.3. Що мені треба прописати чи "підняти" на проксі-сервері, щоб 192.168.1.2 виходив на фтп-сервер в м.Києві з айпішніком 192.167.1.3 через проксі-сервер (і відповідно користувач буде працювати лише по заданим правилам та швидкістю)
Нагору         

[miwa]

Перш за все хочу сказати, що мійі попередній пост, котрий цитує пан Svoyak, я видалив відразу ж після публікації - у ньому було надто багато сумбурного і зайвого та надто мало корисної інформації.
На жаль, його все ж помітили :о))

Тепер по суті.

При вказаній вами схемі розміщення обладнання все мало б працювати саме так, як очікується. На проксі-сервері потрібно лише файрволом примусово перенаправляти всі запити клієнтів на себе. На FreeBSD це робиться приблизно таким чином:

Код: [Вибрати]

fwd 192.168.100.1,3128 tcp from 192.168.0.0/16 to not 192.168.0.0/16 80,3128,8080,8888 out recv rl1

При цьому незалежно від того, що прописано у настройках проксі у клієнтів всі вони йдуть через сервер 192.168.100.1 (rl1 - мережевий інтерфейс, котрий дивиться в бік клієнтської мережі).
Думаю, для iptables можна прописати аналогічне правило (сам я з ними не знайомий, якось не склалось :о) )

З обмеженням швидкості на проксі також не стикався, тому, відповідно, також зачекаємо компетентніших відвідувачів ;о)

[old]

Давайте для початку визначимось із топологією Шановний miwa, я так розумію, пропнує робити юнікс проміжним шлюзом. Я особисто проти цього. Але від цього залежатиме Ваша топологія. Отже, який варіант Вам імпонує більше?
Щодо проксі і обмеження швидкості -- почитайте в документації squid про delay_pools/delay_access, там все просто.

[miwa]

Взагалі так - якщо поміняти підмережу на всіх клієнтських машинах, тоді можна ставити юнікс поруч з цискою, а не перед нею - є надія, що користувачі не відразу обійдуть його. Але гарантії, що його не обійдуть з мінімальними клопотами, при цьому немає абсолютно ніякої. Шлюз же дає таку гарантію в обмін на ускладнення налаштування.

Словом, вирішувати виконавцю, йому ж розплачуватись за рішення ;о)