目前,我们所有的计算机都在一个大型局域网中,目的是将管理员和教育部门(在学校)分开,尤其是为了流量,而不是为了安全。如何最好地做到这一点?
防火墙?VLAN?IPCop(没有两个绿色区域)?pfSense?……
dhcp 服务器(WIN 2008 R2)上是否应该有两个作用域,一个用于管理员,一个用于 edu,或者一个作用域就足够了?
我希望得到您的建议,我是一名正在接受培训的学生,将此任务作为一个项目。
谢谢
答案1
我咨询了很多澳大利亚私立学校,他们最好的方法是使用 VLAN。一个用于教职员工,一个用于管理人员,一个用于学生。
通过这样做,学校可以轻松地为学生设置和维护安全设备,而不会对工作人员或管理员进行过多的限制。
在学校里,我看到了四种类型的流量。管理人员、教职员工(非教学人员)、教师和学生。目前,大多数私立学校正在增加两个新群体,即家长和校友。情况开始变得相当复杂。
DHCP 中的 2 个作用域很好,但您还需要设置更多内容,包括交换机端口配置。同意 @voretaq7 的观点 在运行独立子网的一台机器上拥有 2 个 DHCP 实例比 2 个网卡要有效得多
第一个链接描述了执行拆分的几种不同方法 -http://social.technet.microsoft.com/Forums/en-US/winserverNIS/thread/9ae4e7dd-f73e-4cce-bdff-5913d5961c09
第二个链接是微软针对多个子网的实际部署指南 http://technet.microsoft.com/en-us/library/cc758865(WS.10).aspx
另一个有趣的现象是,大多数大型私立学校似乎在硬件防火墙之前使用“Net Box Blue”作为过滤/防火墙设备。http://netboxblue.com/ 我讨厌这个东西,但对于较小的 IT 团队来说,它效果很好。
因为这是学校项目,所以我不应该回答你的问题。哈哈
答案2
这是一个可以作为网络设计案例研究的伟大项目。
我认为这里没有人会给你完整的答案(这违背了学习练习的目的),但这里有一些实用的建议:
对于学校来说,你希望你的网络尽可能地独立——你需要“物理”分离(不同的交换基础设施,或者至少不同的 VLAN)以及网络/逻辑分离(不同的子网)。
浏览您上面标记的问题:
防火墙?
是的。当然。只要有适当的规则。
品牌由你决定,但你提到的两个在我看来都是不错的选择。
VLAN?
它比单独的交换基础设施便宜:-)
DHCP 服务器上是否应该有两个作用域?
应该有两个 DHCP 服务器(因为您的网络将被分成两个不同的广播域)。您可能还需要在每个网络中设置一个 DC。
如果您想获得技术方面的信息,您可能应该在 AD 中创建一个子树来保存“edu”内容(用户/密码/等),以便它与管理内容分开