Всем привет!
Извиняюсь заранее, если я не нашёл моего ответа на этом сайте)
Начал изучать сети и есть вопрос по подключению корпоративной сети к сети Интернет.
1. Дома мне более-менее всё понятно, есть: ББ, NAS, STB, TV - кабелем в роутер; ноут, смарт и планшет - по Wi-Fi. И домашний роутер (вернее шлюз до коммутатора провайдера на чердаке) - все это "хозяйство" прекрасно увязывает в одно целое.
2. Малый офис (как у нас на работе) с 5-ю компами и 4G-модемом, раздающим с компа-сервера (на нём же общий юсб принтер) всем интернет, тоже более-менее всё понятно.
Вопросы далее smile
3. Например, сеть из 20-40 компов: тут уже, например, кабель провайдера на скорости до 100Mb/s. Вопрос, куда будет подключаться кабель провайдера?
В голове каша) то ли также как и дома, это должен быть роутер (уже не шлюз, а действительно роутер с RIP и OSPF), то ли межсетевые экраны, а может вообще коммутаторы уровня 3 или 4)???
4. Аналогичный вопрос, но уже например, для сети 80-100 компов.
Кто может что посоветует, где почитать про это)

Схема примерно одинаковая. NAT он и есть NAT.

Вопрос в количестве сетевых устройств, от этого зависит выбор маски подсети.
Стандартная 255.255.255.0 может быть узковата.

Также, выбор зависит от требований к публикации внутренних ресурсов и фильтрации трафика.

У меня на работе шлюзом служит виртуальная машина с Kerio Control c тремя интерфейсами - один внутренний, два от разных провайдеров с балансировкой исходящего трафика между ними. Настроен обратный прокси, отсечение P2P-трафика и т. д.

3. Например, сеть из 20-40 компов: тут уже, например, кабель провайдера на скорости до 100Mb/s. Вопрос, куда будет подключаться кабель провайдера? »
В точно такой-же маршрутизатор (он же router), как и дома. Только достаточно дорогой и мощный, чтобы обеспечить стабильную работу NAT на требуемой скорости. Плюс наличие функций протоколирования работы и автоматического уведомления администратора о всех нештатных ситуациях.
Даже обычные маршрутизаторы - это микрокомпьютеры, работающие под управлением специальной версии Linux, а дорогие маршрутизаторы - это очень мощные микрокомпьютеры, операционная система которых имеет большое количество служб и самые широкие возможности по настройке.

Также может быть использовано "программное" решение на базе обычного сервера, работающего под управлением обычной версии Windows, Linux или BSD. Особой мощности (по процессору и памяти) здесь не требуется. В том числе можно выделить "виртуальную машину" на основном сервере.



В голове каша) то ли также как и дома, это должен быть роутер (уже не шлюз, а действительно роутер с RIP и OSPF), то ли межсетевые экраны, а может вообще коммутаторы уровня 3 или 4)??? »
Пока что каша у вас по терминологии.
Шлюз, роутер, маршрутизатор - это одно и то же.
Межсетевой экран - это один из компонентов маршрутизатора.
А коммутатор (любого уровня :) ) - это устройство, соединяющее между собой устройства локальной сети.
Да, управляемые коммутаторы имеют функции, позволяющие осуществлять передачу трафика между конкретными компьютерами: например разрешить конкретными рабочим местам подключаться к конкретными серверам и блокировать другие подключения. В том числе это позволяет обеспечивать информационную безопасность внутри организации. Но к выходу в интернет это имеет весьма опосредовательное решение

Схема примерно одинаковая. NAT он и есть NAT »
С NAT вроде ясно, все из локалки идут в интернеты под ip шлюза. Вопрос больше по безопасности и пропускной способности.
Для безопасности:
- на какие характеристики аппаратного или программного решения в качестве шлюза нужно в первую очередь обращать внимание?
- в чём плюсы и минусы железки (маршрутизатора) и межсетевого экрана (именно "железного") по сравнению с Kerio Control и подобным софтом?
- читаю сейчас про шлюз интернета на linux: какой дистрибутив лучше выбрать? и в чём плюсы и минусы по сравнению с решениями, типа Kerio Control?

Для пропускной способности:
- как рассчитать какую скорость от провайдера для выхода в интернет нужно выбрать для сети, например в 20-40 компов (трафик: обычная почта, сайты и VPNы)

У меня на работе шлюзом служит виртуальная машина с Kerio Control c тремя интерфейсами - один внутренний, два от разных провайдеров с балансировкой исходящего трафика между ними. Настроен обратный прокси, отсечение P2P-трафика и т. д. »
Чем более всего вызвано такое решение, как я понял Kerio Control платный и по цене за год может выйти как раз цена какой-нибудь железки?

Вот есть бесплатный https://www.pfsense.org/

А по поводу роутеров (дословный перевод слова router - маршрутизатор, от route - маршрут) и коммутаторов: роутер устройство умное, а коммутатор это по сути тройник (http://ic.pics.livejournal.com/udarnik_truda/28334413/45603/45603_original.jpg) только для сетевых кабелей (количество портов конечно же не 3, просто устоявшееся название такое).

В точно такой-же маршрутизатор (он же router), как и дома. Только достаточно дорогой и мощный, чтобы обеспечить стабильную работу NAT на требуемой скорости. »
Как узнать эту требуемую скорость? И можно привезти пример мощного маршрутизатора?

Про linux внутри роутера в курсе, дома Kinetic Ultra стоит с доп linux-софтом для IPTV на всех в моей локалке)

Также может быть использовано "программное" решение на базе обычного сервера, работающего под управлением обычной версии Windows, Linux или BSD »
- какой дистрибутив лучше выбрать Linux или FreeBSD? а винда, как я понял серверная, так она вроде здорово проигрывает Linux-дистрибутивам по безопасности или нет?

Шлюз, роутер, маршрутизатор - это одно и то же.
Межсетевой экран - это один из компонентов маршрутизатора. »
Нее, каша у меня не в понятиях =) а в том, какое устройство в каких случаях ставится в качестве интернет шлюза?
Межсетевой экран - я имел в виду железку. Роутер и маршрутизатор - это да, одно и тоже. А шлюзом я назвал то, что называют роутерами в наших магазах, а на самом деле они только умеют выходить к коммутатору провайдера, раздающего инет домой и никакого отношения они не имеют к маршрутизации, тк не поддерживают ни одного протокола маршрутизации

А коммутатор (любого уровня ) - это устройство, соединяющее между собой устройства локальной сети. »
Да вроде я так и думал, решил просто упомянуть на всякий случай, тк где то видел в интернете такую схему....вот и подумал, как это вообще может быть =)

Вот есть бесплатный https://www.pfsense.org/ »
уже опробовано такое решение? долго разбираться?

сеть из 20-40 компов: тут уже, например, кабель провайдера на скорости до 100Mb/s. Вопрос, куда будет подключаться кабель провайдера? »
Аналогичный вопрос, но уже например, для сети 80-100 компов »
Даже Kinetic Ultra потянет :)

уже опробовано такое решение? »
У меня на работе именно оно и используется.
долго разбираться? »
Сложный вопрос. Мне, как новичку в этом деле - да, долго было. Мой предшественник, бывалый сисадмин, пару часов покурил форумы и разобрался.

Даже Kinetic Ultra потянет »

Я понимаю, что по вашему опыту вы сходу это можете сказать.

1. Можно объяснить, желательно в цифрах или как удобно) как принято такое решение, что Keenetic Ultra "потянет" работу шлюза на 100 компов? Какие характеристики это показывают?
2. А всякие "штуки" по безопасности на Keenetic Ultra можно поднять?

Можно объяснить, желательно в цифрах или как удобно »
Можно. Нужно читать характеристики устройств и их позиционирование.
100 компов - это офис среднего размера, следовательно, SOHO-решения здесь лучше не ставить.
Грубо говоря, кирпичи нужно перевозить на грузовике, а не покупать легковушку. Можно и на легковушке извращаться, конечно, но это дело на большого любителя.
всякие "штуки" по безопасности »
"Штук по безопасности" дофига и больше. Нужно-то что?

А шлюзом я назвал то, что называют роутерами в наших магазах, а на самом деле они только умеют выходить к коммутатору провайдера, раздающего инет домой и никакого отношения они не имеют к маршрутизации, тк не поддерживают ни одного протокола маршрутизации »
Вы не поверите, но те устройства класса SOHO, что продают в магазинах - это вполне настоящие маршрутизаторы, которые поддерживают все протоколы маршрутизации, необходимые в области их применения :)
Есть даже маршрутизаторы с функцией запасного внешнего канала (модем по порту USB или другое устройство в локальной сети)


- в чём плюсы и минусы железки (маршрутизатора) и межсетевого экрана (именно "железного") по сравнению с Kerio Control и подобным софтом? »
Плюсы "железки" следующие:
- выше безопасность работы - всё-таки речь идёт о наборе встроенного ПО, которое как следует проверили и отладили разработчики (но здесь многое завитит от фирмы);
- выше стабильность работы;
- отсутствие проблем после аварийного отключения питания;
- занимает меньше места и потребляет меньше электроэнергии, чем системный блок пусть (даже корпусе 19'' или nettop).

Минусы:
- функционал и возможности по настройке ограничены параметрами встроенного ПО;
- ограничения по хранению протоколов работы - требуется выгрузка на другой сервер
- в случае поломки придётся покупать новый - чинить там практически нечего, вся техническая документация является коммерческой тайной разработчика, и перепаять микросхему в условиях мастерской практически невозможно;


Что касается "штук по безопасности".
1. Возможность создания шифрованных каналов VPN для защищённого подключения к другим локальным сетям (филиалов, основных контрагентов, внешних сотрудников и т.д.)
2. Возможность привязки правил контроля доступа к базе пользователей и компьютеров домена локальной сети.
3. Возможность подсчёта трафика по пользователям и компьютерам, частичная или полная блокировка по превышению квоты.
3. Протоколирование работы на удалённый сервер, отправка уведомлений администратору

Можно. Нужно читать характеристики устройств и их позиционирование.
100 компов - это офис среднего размера, следовательно, SOHO-решения здесь лучше не ставить. »
Можно привести пару-тройку живых примеров "железных" маршрутизаторов под этот офис среднего размера?

"Штук по безопасности" дофига и больше. Нужно-то что? »
Конкретики пока мало в голове, но что-то типа системы предотвращения вторжений (IPS) и антивирусный модуль.

Вы не поверите, но те устройства класса SOHO, что продают в магазинах - это вполне настоящие маршрутизаторы, которые поддерживают все протоколы маршрутизации, необходимые в области их применения
Есть даже маршрутизаторы с функцией запасного внешнего канала (модем по порту USB или другое устройство в локальной сети) »
Хорошо, уговорили)) это NAT-маршрутизаторы)

Плюсы "железки" следующие:
- выше безопасность работы - всё-таки речь идёт о наборе встроенного ПО, которое как следует проверили и отладили разработчики (но здесь многое завитит от фирмы); »
можно узнать о вашем предпочтении по конкретной железке или бренду?

- ограничения по хранению протоколов работы - требуется выгрузка на другой сервер »
это какие например, протоколы?

пару-тройку живых примеров »
Zyxel USG100-PLUS или что-нибудь из продукции Mikrotik. Сам я эти железки не использовал.

Цитата El Scorpio:
- ограничения по хранению протоколов работы - требуется выгрузка на другой сервер »

это какие например, протоколы? »
Протоколы работы с детализацией до любого требуемого уровня.
Хотя здесь даже дешёвые SOHO устройства поддерживают отправку по стандартному протоколу syslog на любой linux-сервер.
Также можно собирать/хранить/передавать детализацию трафика.

Цитата El Scorpio:
Вы не поверите, но те устройства класса SOHO, что продают в магазинах - это вполне настоящие маршрутизаторы, которые поддерживают все протоколы маршрутизации, необходимые в области их применения
Есть даже маршрутизаторы с функцией запасного внешнего канала (модем по порту USB или другое устройство в локальной сети) »

Хорошо, уговорили)) это NAT-маршрутизаторы) »
А в чём разница?
Кстати, в части внутренней реализации работы функция NAT даже сложнее обычной маршутизации без изменения обратных адресов :)
Просто в сегменте SOHO обычно нет необходимости плести сложные сети с разными диапазонами IP, посему там ограничивают область применения "выходом в интернет" через NAT.


Цитата DJ Mogarych:
"Штук по безопасности" дофига и больше. Нужно-то что? »

Конкретики пока мало в голове, но что-то типа системы предотвращения вторжений (IPS) и антивирусный модуль. »
Антивирусный модуль?
Проверка загружаемых файлов "на лету" не актуальна, потому что сейчас повсеместно используется шифрование SSL.
Но моя фантазия подсказывает выявление и блокирование трафика, характерного для троянов, загрузчиков заразы и ботнетов.