[gberc]

Товарищи, подскажите правильное решение.

Есть корпоративная сеть, в ее центре стоит коммутатор Cisco SG300 (L3). На нем создан набор вланов для функционального деления сети (влан для видео наблюдения, влан управления, влан для телефонии, влан в сторону пограничного маршрутизатора и т.д.), при этом этот коммутатор является для всех вланов шлюзом по умолчанию.

Далее за центральным коммутатором стоят коммутаторы доступа Dlink DES-1100 (L2), в которые подключены клиенты (рабочии станции, телефоны и т.д.).

На схеме оборудование указано не то, что установлено. Представлена примерная часть сети.

 

Хочется получить на серверах и инфраструктурном оборудовании (везде, где возможно) manegement подсеть (vlan_mgm 111), чтобы ограничивать доступ к управлению серверов и инфраструктурного оборудования. Пример с рисунка - Server0 предоставляет свои ресурсы пользователям через интерфейс подключенный к vlan_user 222, а управление осуществляется через vlan_mgm 111.

 

Проблема в том, что такая топология не работает в случае, (черт, не могу объяснить нормально) на картинке это Server0 -- PC-admin. PC-admin не может получить доступ к адресу сервера Server0 192.168.111.2, я подозреваю, это связано с тем, что пакеты уходят по следующему пути 192.168.222.5->192.168.222.1->192.168.111.1->192.168.111.2 а возвращаются другим путем 192.168.222.2->192.168.222.5.

 

Отсюда вопрос - как же разрулить эту ситуацию? хочется и рыбку съесть, и косточкой не подавиться.

 

P.S. Навскидку нашел решение - PC-admin имеет адрес в manegement подсети, это решение мне кажется плохим при большом широковещательном домене manegement подсети. В какой-то момент эту подсеть придется делить на мелкие и проблема вернется.

Изменено 22 марта, 2015 пользователем gberc

[Ivan_83]

Добавь свой комп в манагемент влан, не насилуй мозг.

Либо настрой нормально маршрутизацию между двумя подсетями.

[gberc]

Добавь свой комп в манагемент влан, не насилуй мозг.

Ок. у меня 1 сеть управления и добавить в нее свою машину легко. Но если у меня будет десяток сетей управления, то на свою машину мне придется добавить этот же десяток интерфейсов. Не очень красивое решение на мой взгляд.

Либо настрой нормально маршрутизацию между двумя подсетями.

Нормально настроить это как? Ткни носом, пожалуйста.

[dIMbI4]

Зачем тебе десяток? Все управление в одном влане.

[bomberman]

Нормально настроить это как? Ткни носом, пожалуйста.

Так, чтоб из других сегментов, из которых нужно "видеть" managment сегмент, он был виден (маршрутизировался).

А вообще, да. Зачем более 1го managment сегмента то?

[gberc]

Если у меня мало хостов в сети управления, то решение с включением ПК админа в эту сеть я вижу логичным.

НО

Предположим, что у меня несколько сотен хостов в сети управления, разве будет правильным иметь такой большой широковещательный домен пусть и для управления?

А сеть и так маршрутизируется, например, для Server1 со схемы, нет никаких проблем.

Изменено 23 марта, 2015 пользователем gberc

[EShirokiy]

Предположим, что у меня несколько сотен хостов в сети управления, разве будет правильным иметь такой большой широковещательный домен пусть и для управления?

Несколько сотен свитчей/серверов в сети?

У меня около трехсот свитчей в одном management vlan, проблем не возникало

[Hirurgus]

Когда много хостов управления, значит уже сеть большая и должен быть L3/коммутатор как минимум. Настраиваешь в вланах управление, например 100-120, у них разные подсети, и все подсети терминируешь на l3-комутаторе или роутере. Далее доступ ограничиваешь например через ACL

[gberc]

Когда много хостов управления, значит уже сеть большая и должен быть L3/коммутатор как минимум. Настраиваешь в вланах управление, например 100-120, у них разные подсети, и все подсети терминируешь на l3-комутаторе или роутере. Далее доступ ограничиваешь например через ACL

Вы не внимательны, на схеме и в сети есть L3/коммутатор в центре.

 

Ок. я понял, что правильным решением будет выдать адрес из сети управления на ПК админа.

Всем спасибо за участие.

[Ivan_83]

Ок. у меня 1 сеть управления и добавить в нее свою машину легко. Но если у меня будет десяток сетей управления, то на свою машину мне придется добавить этот же десяток интерфейсов. Не очень красивое решение на мой взгляд.

Их всё равно куда то придётся добавлять.

Раз с сервером/роутером у тебя не получается то решение с компом админа тоже рабочее.

 

Нормально настроить это как? Ткни носом, пожалуйста.

Чтобы пакеты ходили в обе стороны :)