Crear 2 subredes, 1 sólo router, 1 switch....y 1 servidor?

Archivado
Buenas tardes, en el centro dónde trabajo, queremos poner 1 servidor pequeñito para datos con WINDOWS SERVER 2008 o 2012 con ACTIVE DIRECTORY (dominio)...y 5 ordenadores en una sala para los profesores, y en la sala de al lado 5 ordenadores más para los alumnos que tengan que hacer refuerzo con éstos profesores.

El caso es que queremos que los 10 ordenadores accedan al mismo servidor....en este caso 192.168.0.2 y la puerta de enlace de Internet 192.168.0.1.

Los 5 ordenadores de los profesores los pondríamos en la red 192.168.0.x y nos gustaría poner los de los alumnos en otra subred ...por ejemplo 192.168.10.x o 172.16.2.x.....y que tengan acceso a internet, tanto unos como otros y acceso a los recursos compartidos del mismo servidor.

En cada aula pondríamos 1 ACCESS POINT para dar internet a algún portátil, tablet o smartphone, pero nos gustaría que si en la de los alumnos, alguién hace un escaneo de IPs (con FING por ejemplo), sólo aparezcan las IPs de los ordenadores de la aula de alumnos y no la de los profesores ni el servidor.

Nos gustaría también que si algún profesor va a la aula de alumnos con 1 portátil para los profesores con acceso wifi a la red de ACTIVE DIRECTORY (o sea, que cuando enciende el portátil, le pide acceder al dominio creado, con usuario y contraseña) y se conecta a su red wifi...que pueda hacerlo.

Por el tema de crear el servidor con ACTIVE DIRECTORY no hay problema (ya tenemos otro creado, pero independiente).

Utilizaríamos 1 ordenador para hacer de servidor con puerto GIGABIT (no tiene que ser nada del otro mundo), el router ADSL (una línea independiente), 1 SWITCH de 16 puertos GIGABIT, 2 puntos de ACCESO WIFI y los 10 ordenadores...

El servidor tendría que tener 2 tarjetas de red para que fuese posible?

En vez de ACCESS POINTs, sería mejor ROUTERs NEUTROS con WIFI? Gracias
No se si te valdrá yo tengo montado el siguiente esquema:

Router telefónica : Ahí se crea la red Wifi pública, y se crea la típica red 192.168.1.x, a su vez está activado el DMZ hacia otro router/wifi este crea otra red con la dirección 192.168.10.x, ese router puede tener otra red Wifi (privada) y con acceso también a internet, dentro de esta segunda red está conectado por cable el servidor es un Windows Server 2008.
Para el tema de estar en la red pública y unirse al dominio, no estoy muy seguro pero creando una ruta en la tarjeta Wifi del profesor hacia la otra red 192.168.10.x creo que se podrá conectar.
A ver si me entero bien:

- Quieres una red privada (llamémosle A) a la que van a ir los equipos de los porfesores y un servidor.
- Quieres una segunda red privada (llamémosle B) a la que van a ir los equipos de los alumnos.
- Quieres una red WiFi que extienda la red A.
- Quieres que todo ello se conecte a internet.

A priori, si es así como lo tienes, necesitas dos redes distintas, y la forma de montarlo depende de lo que queráis gastaros y de lo que sepa al que le toque montarlo. Veo las siguientes opciones:

Hacerlo todo desde el router

Pillas un router con RouterOS y le configuras bien.

Estos cacharros son muy versátiles, te sirven tanto para una red local (y que aguante el tráfico de varios equipos dándole caña a la vez) como para montar un punto de acceso con usuarios, cuotas y demás en un pueblo. ¿La pega? Dos: por un lado la configuración (no es la típica interfaz web con cuatro clicks y a tirar) y por otro el coste (obviamente es más caro, y depende del modelo igual es necesario que compres switches (no tendrá suficientes bocas para todos) y puntos de acceso (no todos tienen wifi).

El sistema operativo te va a permitir configurar todas las subredes que quieras, configurar tablas de rutado y listas de control de acceso: es decir, te permite elegir qué tipo de tráfico quieres y en qué sentido.

Tendrías por un lado la conexión del ISP con el típico router cutre que te dan, luego el router bueno y al otro lado dos switches, uno para cada subred.

Utilizar un PC como router
Si tenéis un cascajo viejo por ahí le podéis poner tres tarjetas de red, meterle un linux (o un windows) y que haga de router. Es relativamente más sencillo de configurar (y seguro que encuentras más literatura de cómo hacerlo por internet), y si ya lo tienes eso que te ahorras.

¿La pega? seguirías necesitando switches y un punto de acceso.

Utilizar el servidor como router
Depende del tráfico que tengáis, depende de la capacidad del servidor y depende de lo crítico que sea su funcionamiento, puedes hacer que sea el servidor el que haga de router y se encargue de enrutar. Lo mismo que el anterior pero metiéndole todo el meollo a un equipo que, a priori, ya tiene suficiente trabajo él solito.

Tirar de VLANs
Aquí el tema estaría más en el switch que en el router: necesitarías uno gestionable (es decir, caro) de 16 puertos que te permita crear VLANs, es decir, múltiples redes virtuales dentro de una misma red física.

¿La pega? El switch es caro, hay que configurarlo y el router tiene que soportar el uso de VLANs, y no sabría decirte si los routers "de consumo" lo soportan.

Ahora mismo no se me ocurre nada más.
Algunos routers neutros que admitan el firmware gratuito dd-WRT podran crear VLAN o LANs Virtuales facilmente, claro que para una carga pesada [muchos usuarios a la vez] se requerira de un buen router que pueda con el trabajo. El router neutro se conectara al modem/router o el aparato que haga de puerta de enlace a la red externa {internet} creas dos VLANs y en cada sala conectas un switch y un AP WiFi.

Con el AP WiFi seria suficiente en principio, aunque igual puedes usar un router neutro WiFi y crear la subred; asi tendrias que tener 2 de ellos: Uno para sala de alumnos y otro para sala de profesores. Ambos estaran conectados a la misma puerta de enlace [la IP del aparato que les de salida a la red externa {internet}] y asi cada router se encargara de administrar su propia red y dar conexion alambrica e inalambrica. Con la NAT puedes restringir a que tienen acceso y pones una buena contraseña al router.

Imagen


Mas sencillo y sin complicaciones [y mas barato] seria esta ultima opcion de dos routers neutros WiFi, algo mas sofisticado y con mayor inversion seria lo de el switch administrable [o switch inteligente] o el uso de un solo router neutro robusto con dd-WRT y crear VLANs.

Imagen
Hola, gracias por las aportaciones.....una pregunta...el router que tenemos de MOVISTAR es de FIBRA y es un MITRASTAR.....en el menú tiene opciones para configurar VLANs.....

Podría hacerlo con ésto para crear subredes? 1 diferente en cada puerto ethernet?....1 vez creada una VLAN puedo indicar la subred que quiero?
http://es.ccm.net/contents/286-vlan-redes-virtuales

Tipos de VLAN

Se han definido diversos tipos de VLAN, según criterios de conmutación y el nivel en el que se lleve a cabo :

* la VLAN de nivel 1 (también denominada VLAN basada en puerto) define una red virtual según los puertos de conexión del conmutador;

* la VLAN de nivel 2 (también denominada VLAN basada en la dirección MAC) define una red virtual según las direcciones MAC de las estaciones. Este tipo de VLAN es más flexible que la VLAN basada en puerto, ya que la red es independiente de la ubicación de la estación;

* la VLAN de nivel 3: existen diferentes tipos de VLAN de nivel 3



Aqui hay un esquema mas simplificado del que hice, pero que muestra algunos detalles que resuelve una de tus dudas: Puedes crear diferente subred: 192.168.2.x [VLAN 10] y 192.168.3.x [VLAN 20] en el ejemplo:

Imagen

Algunas guias basicas
http://searchnetworking.techtarget.com/ ... ring-VLANs
http://searchnetworking.techtarget.com/ ... fessionals

Referencias de uso de VLANs
https://docs.oracle.com/cd/E37929_01/ht ... fpjve.html


En resumen para tus intereses:

- Puedes crear una VLAN por puerto del router o por la MACAdress de la PC [o por el protocolo, cosa que no seria necesaria en tu caso].
- Cada VLAN esta aislada de las demas VLANs o LAN real que tengas, ya despues podras abrir el acceso via MACAdress o de alguna otra manera para conectar un equipo PC, que por ejemplo, este en la VLAN 10 pero que debe ver las demas PCs de la VLAN 20 o con la LAN real [donde estaria el servidor en tu caso].


Optaria por usar la opcion de la VLAN en base a la MACAdress porque creo que seria la mas sencilla, pero si te interesa mas la seguridad [digamos que algun alumno sabe como clonar direcciones MAC de un equipo en otro equipo] pues usaria la opcion de la VLAN por puerto [que seria el equema que puse en el post anterior.]
5 respuestas
Archivado
Volver a General