قرار دادن Kerio Control روی لبه شبکه
با سلام خدمت دوستان عزیز و اساتید بزرگوار
عکسی که قرار دادم دیاگرامی از یک شبکه است که طراحی کردم و باید اجرا کنم، یک سری الزامات وجود داره که در زیر تیتر وار اشاره میکنم، از شما بزرگواران تقاضا دارم که عیب و ایراد این طرح را بهم بگین و راهکارهاتون هم برای بهبودش بهم بگین. سپاس فراوان از شما عزیزان
الزامات:
1- استفاده از Kerio Control UTM به صورت فیزیکی در لبه شبکه (یک PC با 7عدد NIC و SSD و 16 گیگ رم و CPU Core i5 4440)
2- مدیریت و مانیتورینگ هر دو شبکه Wired و Wireless و نیز کاربران Authenticate شده و کاربران مهمان
3- دسترسی Full از خارج شبکه به داخل شبکه برای Admin شبکه
4- دسترسی از خارج شبکه به داخل شبکه برای بعضی از کارمندان (Active Directory Users) که قصد Remote زدن به کامپیوترهاشون رو دارند. (به منظور دورکاری)
5- دسترسی به شبکه IP Camera از داخل شبکه 1st Floor و همچنین دسترسی به شبکه IP Camera فقط برای Admin
6- شبکه وایرلس (برای موبایل کارکنان و لپ تاپ های میهمانان) کاملا از شبکه Wired جدا باشد و صرفا اینترنت داشته باشد و به منابع داخلی سازمان دسترسی نداشته باشد
7- چون سرویس Active Directory و NTP Server و DNS Server روی شبکه 1st Floor قرار دارد بنابراین باید شبکه New Building به منابع موجود در شبکه 1st Floor دسترسی داشته باشد. (باید Routing انجام شود)
سوالات:
1- استفاده از یک کامپیوتر PC ذکر شده در الزامات مناسب است؟؟
2- برای اجرای مورد 2 از الزامات، امکان استفاده از Kerio Control وجود دارد؟؟ اگر بله، به چه سرویس هایی نیاز است روی Kerio Control؟؟؟؟
3- به منظور دسترسی از خارج شبکه به داخل برای Admin باید Port Forwarding انجام شود؟؟؟ یا استفاده از VPN را توصیه میکنید؟؟؟
4- چه راهکاری برای دسترسی Remote به کلاینت ها پیشنهاد میدین؟؟؟
5- به منظور دسترسی به شبکه IP Camera دقیقا چه تنظیماتی نیاز هست؟؟؟
6- به منظور جدا کردن شبکه وایرلس آیا باید از VLANing استفاده کرد؟؟؟؟ اگر نه، چه راهکاری پیشنهاد میدین؟؟
7- آیا در این سناریو باید از Router استفاده شود؟ آیا Kerio Control عملیات روتینگ را در این سناریو بجای روتر سخت افزاری انجام نمیدهد؟
8- آیا رنج IP موجود در هر شبکه با IPهای پرینترهای تحت شبکه باید متفاوت باشد؟؟ یا پرینترها از همان رنج IP شبکه ای داخل هستند IP میگیرد؟؟؟
1 پاسخ
سلام
نکته هایی رو که به ذهنم میرسه میگم :
1- تو کریو به صورت default همه local ها به هم متصل هستند و ارتباط دارند. بنابراین اگه می خواید ارتباط رنج 100 با 111 قطع باشه باید خودتون traffic rule بدید. یا مثلا ازتباط به سرورها رو باز بزارید. من باشم رنج IP سرورها رو جدا می کنم که کاملا واضح باشه. توجه کنید که رنج IP الزاما کارت شبکه جدید هم نمی خواد رو یه NIC میشه کلی رنج IP داشت.
2- کاربر admin که احتمالا با خیلی چیزها کار داره ، بنابراین یه port forward کارساز نیست و همون vpn کریو باید باشه.
3-کاربر عادی هم باید vpn بزنه ولی براشون گروه درست کنید و دسترسیشون رو محدود کنید. کاربر می تونه از dns داخلی استفاده کنه و به سیستم خودش با name ریموت بزنه، البته اگه ip ثابت میدید که می تونه با IP هم اینکار رو بکنه. اگه تعداد کمه شاید بشه حتی ruleهایی داد که کاربر فقط به همون یه سیستم ریموت بزنه ولی خب ip ثابت می خواد و ممکنه دردسرش هم زیاد شه.
4- 1st و 2nd floor ظاهرا از طریق سوییچ هاشون به هم وصلند و اتصال برقراره ، اصلا کار به مدیریت تو کریو نمی رسه!
5- کریو کل کار routing رو انجام میده.
6- پرینترها و هر دیوایس دیگه هم که دارید می تونن تو همون رنج باشن.
7- برای وایرلس موبایل کاربر و مهمان ، من معمولا یه اکسس پوینت تو حالت NAT می زارم و بهش یه IP ثابت میدم و تو کریو مصرف اون IP رو مدیریت می کنم ، مثلا حداکثر bandwidth بهش می دم ... راستش خیلی با کاربر guest تو کریو کار نکردم.
8- دلیل 7 تا کارت شبکه رو متوجه نشدم ، خیلی سخت گیرانه اش با 3 یا 4 پورت هر سروری بالا میاد و حتی کیس جداگانه هم نمی خواد.
9-درمورد IP camera که اگه یه دسترسی از بیرون می خواید ، می تونید با یه port forward به سمت DVR مسئله رو حل کنید.