Jump to content

Помогите разобраться с VLAN

ewgeny
 Share

Recommended Posts

ewgeny

ewgeny

Posted
Posted

Подскажите, есть следующая задача.

Есть 3 VLAN-а, по сути 3 отдела изолированые друг от друга.

Как сделать так, чтобы во все 3 VLAN-а DHCP раздавал один и тот же сервер, так как во всех трёх влан, ip-адреса подсети одни и те же.

И еще, есть сервер 1с и второй сервер с файлопомойкой. И их должны видеть все клиенты из всех вланов.

Как это можно реализовать?

straus

straus

Posted
Posted
В 24.10.2022 в 19:45, ewgeny сказал:

Подскажите, есть следующая задача.

Есть 3 VLAN-а, по сути 3 отдела изолированые друг от друга.

Как сделать так, чтобы во все 3 VLAN-а DHCP раздавал один и тот же сервер, так как во всех трёх влан, ip-адреса подсети одни и те же.

И еще, есть сервер 1с и второй сервер с файлопомойкой. И их должны видеть все клиенты из всех вланов.

Как это можно реализовать?

Совсем просто это делается не на Tagged VLANs, а на Port-based VLANs. Раскидываешь пользователей по разным VLAN, а сервер и файлопомойку во все VLAN. Всё настраивается на коммутаторе, от клиентов и серверов никакой дополнительной поддержки не требуется.

Из ограничений метода - нет транзита (нет тэгов). Поэтому либо все должны висеть на одном коммутаторе, либо на остальные коммутаторы нужно кидать не один линк, а по количеству VLAN на них. Это в случае, если на даунстрим коммутаторах висят пользователи нескольких VLAN.

jffulcrum

jffulcrum

Posted
Posted

Через port-protected (в терминологии Cisco) это можно сделать, но видимости у клиентов в одном VLAN не будет между собой, а это, например, печать на сетевой принтер - ну или принтеры тоже выносить в uplink. Побольше будет достижимо с помощью маршрутизатора, поддерживающего функционал VRF или эквивалентный, но тут в целом принципиальный дефект сети - надо или текущую IP-подсеть бить на подсети помельче, или разводить сегменты на разную адресацию. Рано или поздно один из сегментов вырастет за пределы одного коммутатора или одной подсети, и реформу придется провести, зачастую в режиме "пламенный зад"

straus

straus

Posted
Posted
В 24.10.2022 в 20:40, jffulcrum сказал:

Через port-protected (в терминологии Cisco) это можно сделать, но видимости у клиентов в одном VLAN не будет между собой

При Port-based клиенты отлично видят друг-друга. У меня вон прямо сейчас дома работает примитивная мыльница с запаянной микросхемой EPROM (вланы заданы жёстко и не требуют изменений много лет).

alibek

alibek

Posted
Posted
В 24.10.2022 в 20:44, straus сказал:

При Port-based клиенты отлично видят друг-друга.

Так это на простеньких коммутаторах, где именно port-based.

Если нормальный управляемый коммутатор cisco-like, где тэги на портах назначаются с помощью полиси или access vlan, то клиенты друг друга не видят.

(если не делать несимметричный VLAN)

straus

straus

Posted
Posted
В 24.10.2022 в 21:28, alibek сказал:

Если нормальный управляемый коммутатор cisco-like

Не единой циской жив мир. В других коммутаторах это называется Port-based и работает именно так, как я указал. Даже в древних управляемых коммутаторах SMC.

Ivan_83

Ivan_83

Posted
Posted
В 24.10.2022 в 16:45, ewgeny сказал:

Есть 3 VLAN-а, по сути 3 отдела изолированые друг от друга.

Как сделать так, чтобы во все 3 VLAN-а DHCP раздавал один и тот же сервер, так как во всех трёх влан, ip-адреса подсети одни и те же.

И еще, есть сервер 1с и второй сервер с файлопомойкой. И их должны видеть все клиенты из всех вланов.

Как это можно реализовать?

Вопрос не имеет смысла.

Либо отказывайтесь от вланов либо на каждый влан делайте отдельный пул адресов и маршрутизируйте трафик между ними.

 

В 24.10.2022 в 18:33, straus сказал:

Не единой циской жив мир. В других коммутаторах это называется Port-based и работает именно так, как я указал. Даже в древних управляемых коммутаторах SMC.

На наге когда то были зачотные выпуски всякого разного, в одном из них рассказывали как D-Link DES-1008 переделать на изоляцию портов, я даже свой один так переделал по приколу, поставил там переключатель.

Gray swordsman

Gray swordsman

Posted
Posted

Для варианта с циской я бы попробовал так. Создаем 3 сабинтерфеса например Fa0/1.100, 0/1.200,0/1.300. Их делаем unnumbered к Loopback1. На него вешаем для примера 192.168.0.1/24. На каждый из сабифов ip helper-address <ip_dhcp_server> и включаем ip proxy-arp. Соответственно на хосты раздаем 192.168.0.2-254. А доступ к серверам разрулить уже акцесс-листами на сабифах.

Если есть хосты со статическими адресам, то дополнительно нужны статические маршруты к ним. Например есть супер-пупер девайc не умеющий dhcp в 100 влане c адресом 50.

ip route 192.168.0.50 255.255.255.255 Fa0/1.100

Как вариант получаем

хосты 11-20 - влан 100

хосты 21-30 - влан 200

хосты 31-40 - влан 300

 

ну сами сервера можно либо в один из этих сегментов, либо в свой собственный. Идентификатором выдачи адресов может быть как мак устройства , так и например идентификатор порта свича к которому подключен девайс.

И да пересечения ip адресов быть не должно.

 

Ivan_83

Ivan_83

Posted
Posted
В 27.10.2022 в 08:10, Gray swordsman сказал:

Для варианта с циской я бы попробовал так. Создаем 3 сабинтерфеса например Fa0/1.100, 0/1.200,0/1.300. Их делаем unnumbered к Loopback1. На него вешаем для примера 192.168.0.1/24. На каждый из сабифов ip helper-address <ip_dhcp_server> и включаем ip proxy-arp. Соответственно на хосты раздаем 192.168.0.2-254. А доступ к серверам разрулить уже акцесс-листами на сабифах.

Это переусложнение на ровном месте.

Скорее всего у автора довольно маленькая сетка которую проще причесать чем осваивать такие трудно поддерживаемые конфиги.

  • 2 weeks later...
P45H3

P45H3

Posted
Posted
В 29.10.2022 в 02:49, Ivan_83 сказал:

Это переусложнение на ровном месте.

Скорее всего у автора довольно маленькая сетка которую проще причесать чем осваивать такие трудно поддерживаемые конфиги.

Это трудно поддерживаемый конфиг?

ichthyandr

ichthyandr

Posted
Posted
В 24.10.2022 в 19:45, ewgeny сказал:

Подскажите, есть следующая задача.

Есть 3 VLAN-а, по сути 3 отдела изолированые друг от друга.

Как сделать так, чтобы во все 3 VLAN-а DHCP раздавал один и тот же сервер, так как во всех трёх влан, ip-адреса подсети одни и те же.

И еще, есть сервер 1с и второй сервер с файлопомойкой. И их должны видеть все клиенты из всех вланов.

Как это можно реализовать?

адресацию поменяйте. Если сеть маленькая можно и на статике прожить

Ivan_83

Ivan_83

Posted
Posted
В 11.11.2022 в 11:15, ichthyandr сказал:

Если сеть маленькая можно и на статике прожить

Я на статике вообще бы нигде не жил, кроме п2п линков, ибо очень глупо это.

Где то после 3-4 девайсов уже геморой начинается, а учитывая что сейчас вифи везде, то конфиг статикой вообще не жизнеспособен.

  • 4 weeks later...
ewgeny

ewgeny

Posted
  • Author
Posted
В 28.10.2022 в 23:49, Ivan_83 сказал:

Скорее всего у автора довольно маленькая сетка которую проще причесать чем осваивать такие трудно поддерживаемые конфиги.

больше 1500 устройств...

 

В 11.11.2022 в 16:15, ichthyandr сказал:

адресацию поменяйте. Если сеть маленькая можно и на статике прожить

больше 1500 устройств

jffulcrum

jffulcrum

Posted
Posted
В 05.12.2022 в 16:28, ewgeny сказал:

больше 1500 устройств

Это какой-то искусственный кошмар сетевика, a-la лабы CCIE, в ситуации которых оставалось только верить, ибо абсурдно. Тут только строить рядом новую инфраструктуру, постепенно перетаскивая в неё кусок за куском, типа вкрутили новый коммутатор - переключаем клиентов, старый выкинули, следующий. В старом же сегменте наколхозить что-то на быструю руку и обматывать изолентой, надеясь, что большая часть сети переедет прежде чем в старой инфраструктуре что-нибудь сложится. 

dr Tr0jan

dr Tr0jan

Posted
Posted
On 12/5/2022 at 5:53 PM, jffulcrum said:

Это какой-то искусственный кошмар сетевика, a-la лабы CCIE, в ситуации которых оставалось только верить, ибо абсурдно.

Мне такое один турецкий подрядчик навяливал в 2019ом году. Сегодня, в 2022 году (когда адекватных специалистов в стране осталось ещё меньше), в это ещё охотней верится, к сожалению.

ewgeny

ewgeny

Posted
  • Author
Posted
В 05.12.2022 в 19:35, sdy_moscow сказал:

Тогда 3 ВЛАНа явно маловато. В сети из 500 устройств искать источник броадкаста - удовольствие то еще.

про 3 влана это образно.

сейчас у меня все в одной физической сети и разделены лишь подсетями на конечных устройствах.

 

Мне предстоит навести порядок, потому что так жить нельзя.... Сейчас вся эта поргонрафия разбита на 122 подсети.

sdy_moscow

sdy_moscow

Posted
Posted
В 06.12.2022 в 17:08, ewgeny сказал:

про 3 влана это образно.

сейчас у меня все в одной физической сети и разделены лишь подсетями на конечных устройствах.

 

Мне предстоит навести порядок, потому что так жить нельзя.... Сейчас вся эта поргонрафия разбита на 122 подсети.

122 сети = 122 ВЛАНа + 1 Микротик.

ewgeny

ewgeny

Posted
  • Author
Posted
В 06.12.2022 в 19:12, sdy_moscow сказал:

122 сети = 122 ВЛАНа + 1 Микротик.

это понятно. как маршрутизацию между вланами осуществлять? если некоторые из них должны видеть машину (сервер) из другого влана

 

В 06.12.2022 в 19:12, sdy_moscow сказал:

122 сети = 122 ВЛАНа + 1 Микротик.

это понятно. как маршрутизацию между вланами осуществлять? если некоторые из них должны видеть машину (сервер) из другого влана

 

в 100 влане есть сервер. его должны видеть вланы номер 10, 12, 34, 56, 120 к примеру.

ewgeny

ewgeny

Posted
  • Author
Posted
В 06.12.2022 в 19:17, sdy_moscow сказал:

Микротик Вам решит практически все задачи по маршрутизации и ограничению доступа, но придется научиться его "готовить".

я хотел всё это на коммутаторах решить. Полагаться на один микротик на котором завязано всё на свете и который может "отъехать" обрушив всю маршрутизацию внутри сети - такое себе. В моем случае это катастрофа.

sdy_moscow

sdy_moscow

Posted
Posted

@ewgeny купите 2 микротика.

На коммутаторах маршрутизацию нормально не сделать (точнее сделать можно, но коммутатор нужен Л3 и с его настройкой вы опухните, да и всё равно он будет 1, если опять же не заморочится с резервированием "цисками").

З.Ы.

Ну если только "циску" какую-то навороченную затащить в сеть.

Но их тоже надо уметь "готовить".

YuryD

YuryD

Posted
Posted

 Это легко решается вланами,  просто надо понять влан-суть. Ну и ограничения по номерам влан, стандартным. Если все коммутаторы в сети управляемы, то все просто. Такое гуано я раз разобрал, все в дефолт-конфиге, ну просто докупали по надобности. Была бы киска с cdp, было бы проще. Но cnr+dlink - это жопа... Начал бы с инвенторизации.

ewgeny

ewgeny

Posted
  • Author
Posted
В 06.12.2022 в 19:34, YuryD сказал:

 Это легко решается вланами,  просто надо понять влан-суть. Ну и ограничения по номерам влан, стандартным. Если все коммутаторы в сети управляемы, то все просто. Такое гуано я раз разобрал, все в дефолт-конфиге, ну просто докупали по надобности. Была бы киска с cdp, было бы проще. Но cnr+dlink - это жопа... Начал бы с инвенторизации.

SNRы везде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.