Para Expertos: Dos DHCP a la vez y Configuracion Segura de Red Local

No puedes tener dos DHCPs en la red, ya que al solicitar, por ejemplo, la
renovacion de IP recibirá del otro DHCP un anegacion y lasmaquinas se
desconectaran aleatoriamente. Solucion: pon un router entre medias de ese
aparato que no tenga relay de DHCP y configura las rutas para que sea
accesible.

Y de lo del cortafuegos no me gusta ninguna de las dos opciones.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm
news://jmtella.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"ArraY" wrote in message
news:
Pues bien tengo 2 dudas que no se como solucionar:

1) En una red del tipo 192.168.2.XXX. En ella tengo un W2003 que actua
como dhcp y que configuro de una manera (Con un ámbito). Hasta ahí
bien... Pero me han metido un aparato un CDAT o algo asi que actua tb
como DHCP en esa misma sucursal..Ese aparato no lo controlo yo...y por
narices tiene q estar(Ya que configura otro ambito).

Si no estuviera este, habría pensado en configurar el w2003 con 2
ambitos y santas pascuas y así tendria servicio para las 2
configuraciones que necesita esa sucursalpero no puedo y
ademas ese CDAT solo esta configurado con un ambito y creo q está
configurado para que coja cualquier maquina conectada a la red (Sin
poner restriccion de MAC)

Entonces la unica alternativa q veo es dejar el CDAT como tal.y
cojer el pc que controlo yo...ponerle solo un rango de una sola ip
(porque realmente esto lo quiero para una sola maquina) y ademas
decirle que me coja solo por la mac el pc que necesito...asi dejaria
el cdact para cualquier pc que se conecte y el w2003 server solo y
exclusivamente al pc que le ponga de mac el que sea y su respectiva
configuracion..¿Alguna solucion mas?


2)Configuracion segura Red Local. Pues bien actualmente, Poseo 5
routers en mi central:

a)Marca1 = Acceso a Internet y Intranet (Tienen Puerta Enlace y DNS
propios que se tienen que poner en cada pc para acceder a la intranet
correspondiente)

b)Marca2 = Acceso a Internet y Intranet(Tienen Puerta Enlace y DNS
propios que se tienen que poner en cada pc para acceder a la intranet
correspondiente)

c)Marca3 = Acceso a Intranet(Tienen Puerta Enlace y DNS propios que se
tienen que poner en cada pc para acceder a la intranet
correspondiente)

d)Internet = Internet de respaldo

e)Une las sucursales VPN y enruta a los distintos router anteriores.
Es decir los router de cada sucursal son del tipo 192.168.X.254 que
une a éste como 192.168.0.254 donde X= cada sucursal y que ademas
balancea la carga al resto de routers (Marca1,Marca2,Marca3) segun a
las peticiones IP que hagan mis clientes.

Pues bien, para tener mas seguridad quiero comprar un firewall/proxy
de tipo hardware para mi red: ¿Como configuro a groso modo todo esto?

Opcion1 - Compro uno que posea briging y el cual conecte cada router a
ese firewall (Cada router a una entrada o "tarjeta de red" del
firewall) y el firewall una salida a un swich para que cada pc lo
configure al firewall y ademas decir a cada router que su trafico vaya
solamente a cada "tarjeta de red" o boca del firewall para mas
seguridad. Asi si configuro un pc directo a los router no me de ningun
servicio.

Opcion 2- Conecto cada router a un switch y tb el firewall. Todos los
pc los configuro para que salga al firewall/proxy. Y de esta manera
si necesito configurar algun pc con la puerta de enlace y dns de cada
router necesita (Marca1,Marca2, Marca3) pueda tener una DMZ me es
posible.

Y si tengo una maquina con Active Directory que necesito un servidor
DNS para ello...en cada una de las opciones ¿Como configuro cada pc
cliente?

¿Que opcion cojer? ¿Alguna mejor que no este recogida aquí?

En ambas configuraciones los pc clientes los configuraria:

IP:192.168.X.YYY
Mascara red: 255.255.255.0
Puerta enlace : IP del firewall
¿Que dns pondria aquís?
DNS1:¿?
DNS2:¿?

¿Algun tipo o marca de firewall/proxy me recomiendan segun la opcion
elegida?
¿Podria filtrar tb lo que me venga por el correo(Extensiones de
archivos peligrosos) ?
¿Como hace ese firewall/proxy para llevar el trafico a el router que
yo quiero? ¿Segun la Ip de peticion que haga un cliente o segun el
rango de ip del cliente (Es decir de la 192.168.0.10/20 que salga
todas sus peticiones al router marca1 y p.ej. de la 192.168.0.21/50 al
router de la marca2)? No se si me explico

Un saludo,

Entonces que solucion le ves a la segunda consulta¿

Un saludo,



On 11 feb, 18:25, "JM Tella Llop [MVP Windows]"
wrote:

No puedes tener dos DHCPs en la red, ya que al solicitar, por ejemplo, la
renovacion de IP recibirá del otro DHCP un anegacion y lasmaquinas se
desconectaran aleatoriamente. Solucion: pon un router entre medias de ese
aparato que no tenga relay de DHCP y configura las rutas para que sea
accesible.

Y de lo del cortafuegos no me gusta ninguna de las dos opciones.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)http://www.multingles.net/jmt.htm
news://jmtella.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

"ArraY" wrote in message

news:
Pues bien tengo 2 dudas que no se como solucionar:

1) En una red del tipo 192.168.2.XXX. En ella tengo un W2003 que actua
como dhcp y que configuro de una manera (Con un ámbito). Hasta ahí
bien... Pero me han metido un aparato un CDAT o algo asi que actua tb
como DHCP en esa misma sucursal..Ese aparato no lo controlo yo...y por
narices tiene q estar(Ya que configura otro ambito).

Si no estuviera este, habría pensado en configurar el w2003 con 2
ambitos y santas pascuas y así tendria servicio para las 2
configuraciones que necesita esa sucursalpero no puedo y
ademas ese CDAT solo esta configurado con un ambito y creo q está
configurado para que coja cualquier maquina conectada a la red (Sin
poner restriccion de MAC)

Entonces la unica alternativa q veo es dejar el CDAT como tal.y
cojer el pc que controlo yo...ponerle solo un rango de una sola ip
(porque realmente esto lo quiero para una sola maquina) y ademas
decirle que me coja solo por la mac el pc que necesito...asi dejaria
el cdact para cualquier pc que se conecte y el w2003 server solo y
exclusivamente al pc que le ponga de mac el que sea y su respectiva
configuracion..¿Alguna solucion mas?

2)Configuracion segura Red Local. Pues bien actualmente, Poseo 5
routers en mi central:

a)Marca1 = Acceso a Internet y Intranet (Tienen Puerta Enlace y DNS
propios que se tienen que poner en cada pc para acceder a la intranet
correspondiente)

b)Marca2 = Acceso a Internet y Intranet(Tienen Puerta Enlace y DNS
propios que se tienen que poner en cada pc para acceder a la intranet
correspondiente)

c)Marca3 = Acceso a Intranet(Tienen Puerta Enlace y DNS propios que se
tienen que poner en cada pc para acceder a la intranet
correspondiente)

d)Internet = Internet de respaldo

e)Une las sucursales VPN y enruta a los distintos router anteriores.
Es decir los router de cada sucursal son del tipo 192.168.X.254 que
une a éste como 192.168.0.254 donde X= cada sucursal y que ademas
balancea la carga al resto de routers (Marca1,Marca2,Marca3) segun a
las peticiones IP que hagan mis clientes.

Pues bien, para tener mas seguridad quiero comprar un firewall/proxy
de tipo hardware para mi red: ¿Como configuro a groso modo todo esto?

Opcion1 - Compro uno que posea briging y el cual conecte cada router a
ese firewall (Cada router a una entrada o "tarjeta de red" del
firewall) y el firewall una salida a un swich para que cada pc lo
configure al firewall y ademas decir a cada router que su trafico vaya
solamente a cada "tarjeta de red" o boca del firewall para mas
seguridad. Asi si configuro un pc directo a los router no me de ningun
servicio.

Opcion 2- Conecto cada router a un switch y tb el firewall. Todos los
pc los configuro para que salga al firewall/proxy. Y de esta manera
si necesito configurar algun pc con la puerta de enlace y dns de cada
router necesita (Marca1,Marca2, Marca3) pueda tener una DMZ me es
posible.

Y si tengo una maquina con Active Directory que necesito un servidor
DNS para ello...en cada una de las opciones ¿Como configuro cada pc
cliente?

¿Que opcion cojer? ¿Alguna mejor que no este recogida aquí?

En ambas configuraciones los pc clientes los configuraria:

IP:192.168.X.YYY
Mascara red: 255.255.255.0
Puerta enlace : IP del firewall
¿Que dns pondria aquís?
DNS1:¿?
DNS2:¿?

¿Algun tipo o marca de firewall/proxy me recomiendan segun la opcion
elegida?
¿Podria filtrar tb lo que me venga por el correo(Extensiones de
archivos peligrosos) ?
¿Como hace ese firewall/proxy para llevar el trafico a el router que
yo quiero? ¿Segun la Ip de peticion que haga un cliente o segun el
rango de ip del cliente (Es decir de la 192.168.0.10/20 que salga
todas sus peticiones al router marca1 y p.ej. de la 192.168.0.21/50 al
router de la marca2)? No se si me explico

Un saludo,

Sólo para la 1)
Si en tu DHCP el ámbito tiene sólo una dirección, y la configuras reservada
para una determinada MAC, eso funcionará. No le dará la IP a ningún otro
equipo

Lo que no tiene garantía es que tu equipo pueda recibir una IP del CDAT, ya
que el cliente acepta el primer ofrecimiento que recibe.
Lo que podrías hacer es detener/desconectar el CDAT un momento para
asegurarte que el equipo tome la IP de tu DHCP y forzar la adquisición
(IPCONFIG /RENEW)
Si las renovaciones las hace estando siempre online (sin reiniciar) el
tráfico es dirigido y sólo se lo pedirá a tu DHCP.
Si reinicias el equipo lo hace por difusión (broadcast) y no hay garantía
sobre cuál DHCP responderá primero. El CDAT podrá responderle con un "DHCP
Nack" y obliga al cliente a actuar por "broadcast"

Por otro lado, tú sabrás bien el por qué, pero tener un DHCP para un único
equipo es una configuración rara rara... :-)

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.


ArraY wrote:

Pues bien tengo 2 dudas que no se como solucionar:

1) En una red del tipo 192.168.2.XXX. En ella tengo un W2003 que actua
como dhcp y que configuro de una manera (Con un ámbito). Hasta ahí
bien... Pero me han metido un aparato un CDAT o algo asi que actua tb
como DHCP en esa misma sucursal..Ese aparato no lo controlo yo...y por
narices tiene q estar(Ya que configura otro ambito).

Si no estuviera este, habría pensado en configurar el w2003 con 2
ambitos y santas pascuas y así tendria servicio para las 2
configuraciones que necesita esa sucursalpero no puedo y
ademas ese CDAT solo esta configurado con un ambito y creo q está
configurado para que coja cualquier maquina conectada a la red (Sin
poner restriccion de MAC)

Entonces la unica alternativa q veo es dejar el CDAT como tal.y
cojer el pc que controlo yo...ponerle solo un rango de una sola ip
(porque realmente esto lo quiero para una sola maquina) y ademas
decirle que me coja solo por la mac el pc que necesito...asi dejaria
el cdact para cualquier pc que se conecte y el w2003 server solo y
exclusivamente al pc que le ponga de mac el que sea y su respectiva
configuracion..¿Alguna solucion mas?


2)Configuracion segura Red Local. Pues bien actualmente, Poseo 5
routers en mi central:

a)Marca1 = Acceso a Internet y Intranet (Tienen Puerta Enlace y DNS
propios que se tienen que poner en cada pc para acceder a la intranet
correspondiente)

b)Marca2 = Acceso a Internet y Intranet(Tienen Puerta Enlace y DNS
propios que se tienen que poner en cada pc para acceder a la intranet
correspondiente)

c)Marca3 = Acceso a Intranet(Tienen Puerta Enlace y DNS propios que se
tienen que poner en cada pc para acceder a la intranet
correspondiente)

d)Internet = Internet de respaldo

e)Une las sucursales VPN y enruta a los distintos router anteriores.
Es decir los router de cada sucursal son del tipo 192.168.X.254 que
une a éste como 192.168.0.254 donde X= cada sucursal y que ademas
balancea la carga al resto de routers (Marca1,Marca2,Marca3) segun a
las peticiones IP que hagan mis clientes.

Pues bien, para tener mas seguridad quiero comprar un firewall/proxy
de tipo hardware para mi red: ¿Como configuro a groso modo todo esto?

Opcion1 - Compro uno que posea briging y el cual conecte cada router a
ese firewall (Cada router a una entrada o "tarjeta de red" del
firewall) y el firewall una salida a un swich para que cada pc lo
configure al firewall y ademas decir a cada router que su trafico vaya
solamente a cada "tarjeta de red" o boca del firewall para mas
seguridad. Asi si configuro un pc directo a los router no me de ningun
servicio.

Opcion 2- Conecto cada router a un switch y tb el firewall. Todos los
pc los configuro para que salga al firewall/proxy. Y de esta manera
si necesito configurar algun pc con la puerta de enlace y dns de cada
router necesita (Marca1,Marca2, Marca3) pueda tener una DMZ me es
posible.

Y si tengo una maquina con Active Directory que necesito un servidor
DNS para ello...en cada una de las opciones ¿Como configuro cada pc
cliente?

¿Que opcion cojer? ¿Alguna mejor que no este recogida aquí?

En ambas configuraciones los pc clientes los configuraria:

IP:192.168.X.YYY
Mascara red: 255.255.255.0
Puerta enlace : IP del firewall
¿Que dns pondria aquís?
DNS1:¿?
DNS2:¿?

¿Algun tipo o marca de firewall/proxy me recomiendan segun la opcion
elegida?
¿Podria filtrar tb lo que me venga por el correo(Extensiones de
archivos peligrosos) ?
¿Como hace ese firewall/proxy para llevar el trafico a el router que
yo quiero? ¿Segun la Ip de peticion que haga un cliente o segun el
rango de ip del cliente (Es decir de la 192.168.0.10/20 que salga
todas sus peticiones al router marca1 y p.ej. de la 192.168.0.21/50 al
router de la marca2)? No se si me explico

Un saludo,

Pues porque en esa sucursal tiene una salida a la central(del tipo
192.168.2.XXX) y de ella se basa 2 instalaciones fisicas distintas de
dos marcas y por tanto dos configuraciones...entonces una me lo meten
por articulo 33...que es el cdat y la otra que ya tenia un dhcp pc
puesto ya...por eso de ahí la pregunta...

Sobre la pregunta 2) alguna ayudita¿

Asias

On 12 feb, 12:34, "Guillermo Delprato [MS-MVP]"
wrote:

Sólo para la 1)
Si en tu DHCP el ámbito tiene sólo una dirección, y la configuras reservada
para una determinada MAC, eso funcionará. No le dará la IP a ningún otro
equipo

Lo que no tiene garantía es que tu equipo pueda recibir una IP del CDAT, ya
que el cliente acepta el primer ofrecimiento que recibe.
Lo que podrías hacer es detener/desconectar el CDAT un momento para
asegurarte que el equipo tome la IP de tu DHCP y forzar la adquisición
(IPCONFIG /RENEW)
Si las renovaciones las hace estando siempre online (sin reiniciar) el
tráfico es dirigido y sólo se lo pedirá a tu DHCP.
Si reinicias el equipo lo hace por difusión (broadcast) y no hay garantía
sobre cuál DHCP responderá primero. El CDAT podrá responderle con un "DHCP
Nack" y obliga al cliente a actuar por "broadcast"

Por otro lado, tú sabrás bien el por qué, pero tener un DHCP para un único
equipo es una configuración rara rara... :-)

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.


ArraY wrote:
> Pues bien tengo 2 dudas que no se como solucionar:

> 1) En una red del tipo 192.168.2.XXX. En ella tengo un W2003 que actua
> como dhcp y que configuro de una manera (Con un ámbito). Hasta ahí
> bien... Pero me han metido un aparato un CDAT o algo asi que actua tb
> como DHCP en esa misma sucursal..Ese aparato no lo controlo yo...y por
> narices tiene q estar(Ya que configura otro ambito).

> Si no estuviera este, habría pensado en configurar el w2003 con 2
> ambitos y santas pascuas y así tendria servicio para las 2
> configuraciones que necesita esa sucursalpero no puedo y
> ademas ese CDAT solo esta configurado con un ambito y creo q está
> configurado para que coja cualquier maquina conectada a la red (Sin
> poner restriccion de MAC)

> Entonces la unica alternativa q veo es dejar el CDAT como tal.y
> cojer el pc que controlo yo...ponerle solo un rango de una sola ip
> (porque realmente esto lo quiero para una sola maquina) y ademas
> decirle que me coja solo por la mac el pc que necesito...asi dejaria
> el cdact para cualquier pc que se conecte y el w2003 server solo y
> exclusivamente al pc que le ponga de mac el que sea y su respectiva
> configuracion..¿Alguna solucion mas?

> 2)Configuracion segura Red Local. Pues bien actualmente, Poseo 5
> routers en mi central:

> a)Marca1 = Acceso a Internet y Intranet (Tienen Puerta Enlace y DNS
> propios que se tienen que poner en cada pc para acceder a la intranet
> correspondiente)

> b)Marca2 = Acceso a Internet y Intranet(Tienen Puerta Enlace y DNS
> propios que se tienen que poner en cada pc para acceder a la intranet
> correspondiente)

> c)Marca3 = Acceso a Intranet(Tienen Puerta Enlace y DNS propios que se
> tienen que poner en cada pc para acceder a la intranet
> correspondiente)

> d)Internet = Internet de respaldo

> e)Une las sucursales VPN y enruta a los distintos router anteriores.
> Es decir los router de cada sucursal son del tipo 192.168.X.254 que
> une a éste como 192.168.0.254 donde X= cada sucursal y que ademas
> balancea la carga al resto de routers (Marca1,Marca2,Marca3) segun a
> las peticiones IP que hagan mis clientes.

> Pues bien, para tener mas seguridad quiero comprar un firewall/proxy
> de tipo hardware para mi red: ¿Como configuro a groso modo todo esto?

> Opcion1 - Compro uno que posea briging y el cual conecte cada router a
> ese firewall (Cada router a una entrada o "tarjeta de red" del
> firewall) y el firewall una salida a un swich para que cada pc lo
> configure al firewall y ademas decir a cada router que su trafico vaya
> solamente a cada "tarjeta de red" o boca del firewall para mas
> seguridad. Asi si configuro un pc directo a los router no me de ningun
> servicio.

> Opcion 2- Conecto cada router a un switch y tb el firewall. Todos los
> pc los configuro para que salga al firewall/proxy. Y de esta manera
> si necesito configurar algun pc con la puerta de enlace y dns de cada
> router necesita (Marca1,Marca2, Marca3) pueda tener una DMZ me es
> posible.

> Y si tengo una maquina con Active Directory que necesito un servidor
> DNS para ello...en cada una de las opciones ¿Como configuro cada pc
> cliente?

> ¿Que opcion cojer? ¿Alguna mejor que no este recogida aquí?

> En ambas configuraciones los pc clientes los configuraria:

> IP:192.168.X.YYY
> Mascara red: 255.255.255.0
> Puerta enlace : IP del firewall
> ¿Que dns pondria aquís?
> DNS1:¿?
> DNS2:¿?

> ¿Algun tipo o marca de firewall/proxy me recomiendan segun la opcion
> elegida?
> ¿Podria filtrar tb lo que me venga por el correo(Extensiones de
> archivos peligrosos) ?
> ¿Como hace ese firewall/proxy para llevar el trafico a el router que
> yo quiero? ¿Segun la Ip de peticion que haga un cliente o segun el
> rango de ip del cliente (Es decir de la 192.168.0.10/20 que salga
> todas sus peticiones al router marca1 y p.ej. de la 192.168.0.21/50 al
> router de la marca2)? No se si me explico

> Un saludo,

La segunda la veo demasiado compleja para una pregunta en estos grupos :-)
Creo que se necesitarían más datos y muchas preguntas para poder tener bien
claro el problema, por la complejidad que tiene.
Yo me inclinaría por que acudas a un "buen consultor" en el pais donde te
encuentres

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.


ArraY wrote:

Pues porque en esa sucursal tiene una salida a la central(del tipo
192.168.2.XXX) y de ella se basa 2 instalaciones fisicas distintas de
dos marcas y por tanto dos configuraciones...entonces una me lo meten
por articulo 33...que es el cdat y la otra que ya tenia un dhcp pc
puesto ya...por eso de ahí la pregunta...

Sobre la pregunta 2) alguna ayudita¿

Asias

On 12 feb, 12:34, "Guillermo Delprato [MS-MVP]"
wrote:

Sólo para la 1)
Si en tu DHCP el ámbito tiene sólo una dirección, y la configuras
reservada para una determinada MAC, eso funcionará. No le dará la IP
a ningún otro equipo

Lo que no tiene garantía es que tu equipo pueda recibir una IP del
CDAT, ya que el cliente acepta el primer ofrecimiento que recibe.
Lo que podrías hacer es detener/desconectar el CDAT un momento para
asegurarte que el equipo tome la IP de tu DHCP y forzar la
adquisición (IPCONFIG /RENEW)
Si las renovaciones las hace estando siempre online (sin reiniciar)
el tráfico es dirigido y sólo se lo pedirá a tu DHCP.
Si reinicias el equipo lo hace por difusión (broadcast) y no hay
garantía sobre cuál DHCP responderá primero. El CDAT podrá
responderle con un "DHCP Nack" y obliga al cliente a actuar por
"broadcast"

Por otro lado, tú sabrás bien el por qué, pero tener un DHCP para un
único equipo es una configuración rara rara... :-)

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You
assume all risk for your use.


ArraY wrote:

Pues bien tengo 2 dudas que no se como solucionar:

1) En una red del tipo 192.168.2.XXX. En ella tengo un W2003 que
actua como dhcp y que configuro de una manera (Con un ámbito).
Hasta ahí bien... Pero me han metido un aparato un CDAT o algo asi
que actua tb como DHCP en esa misma sucursal..Ese aparato no lo
controlo yo...y por narices tiene q estar(Ya que configura otro
ambito).

Si no estuviera este, habría pensado en configurar el w2003 con 2
ambitos y santas pascuas y así tendria servicio para las 2
configuraciones que necesita esa sucursalpero no puedo y
ademas ese CDAT solo esta configurado con un ambito y creo q está
configurado para que coja cualquier maquina conectada a la red (Sin
poner restriccion de MAC)

Entonces la unica alternativa q veo es dejar el CDAT como tal.y
cojer el pc que controlo yo...ponerle solo un rango de una sola ip
(porque realmente esto lo quiero para una sola maquina) y ademas
decirle que me coja solo por la mac el pc que necesito...asi dejaria
el cdact para cualquier pc que se conecte y el w2003 server solo y
exclusivamente al pc que le ponga de mac el que sea y su respectiva
configuracion..¿Alguna solucion mas?

2)Configuracion segura Red Local. Pues bien actualmente, Poseo 5
routers en mi central:

a)Marca1 = Acceso a Internet y Intranet (Tienen Puerta Enlace y DNS
propios que se tienen que poner en cada pc para acceder a la
intranet correspondiente)

b)Marca2 = Acceso a Internet y Intranet(Tienen Puerta Enlace y DNS
propios que se tienen que poner en cada pc para acceder a la
intranet correspondiente)

c)Marca3 = Acceso a Intranet(Tienen Puerta Enlace y DNS propios que
se tienen que poner en cada pc para acceder a la intranet
correspondiente)

d)Internet = Internet de respaldo

e)Une las sucursales VPN y enruta a los distintos router anteriores.
Es decir los router de cada sucursal son del tipo 192.168.X.254 que
une a éste como 192.168.0.254 donde X= cada sucursal y que ademas
balancea la carga al resto de routers (Marca1,Marca2,Marca3) segun a
las peticiones IP que hagan mis clientes.

Pues bien, para tener mas seguridad quiero comprar un firewall/proxy
de tipo hardware para mi red: ¿Como configuro a groso modo todo
esto?

Opcion1 - Compro uno que posea briging y el cual conecte cada
router a ese firewall (Cada router a una entrada o "tarjeta de red"
del firewall) y el firewall una salida a un swich para que cada pc
lo configure al firewall y ademas decir a cada router que su
trafico vaya solamente a cada "tarjeta de red" o boca del firewall
para mas seguridad. Asi si configuro un pc directo a los router no
me de ningun servicio.

Opcion 2- Conecto cada router a un switch y tb el firewall. Todos
los pc los configuro para que salga al firewall/proxy. Y de esta
manera si necesito configurar algun pc con la puerta de enlace y
dns de cada router necesita (Marca1,Marca2, Marca3) pueda tener una
DMZ me es posible.

Y si tengo una maquina con Active Directory que necesito un servidor
DNS para ello...en cada una de las opciones ¿Como configuro cada pc
cliente?

¿Que opcion cojer? ¿Alguna mejor que no este recogida aquí?

En ambas configuraciones los pc clientes los configuraria:

IP:192.168.X.YYY
Mascara red: 255.255.255.0
Puerta enlace : IP del firewall
¿Que dns pondria aquís?
DNS1:¿?
DNS2:¿?

¿Algun tipo o marca de firewall/proxy me recomiendan segun la opcion
elegida?
¿Podria filtrar tb lo que me venga por el correo(Extensiones de
archivos peligrosos) ?
¿Como hace ese firewall/proxy para llevar el trafico a el router que
yo quiero? ¿Segun la Ip de peticion que haga un cliente o segun el
rango de ip del cliente (Es decir de la 192.168.0.10/20 que salga
todas sus peticiones al router marca1 y p.ej. de la 192.168.0.21/50
al router de la marca2)? No se si me explico

Un saludo,