Jump to content
Калькуляторы

Помогите разобраться с VLAN

Подскажите, есть следующая задача.

Есть 3 VLAN-а, по сути 3 отдела изолированые друг от друга.

Как сделать так, чтобы во все 3 VLAN-а DHCP раздавал один и тот же сервер, так как во всех трёх влан, ip-адреса подсети одни и те же.

И еще, есть сервер 1с и второй сервер с файлопомойкой. И их должны видеть все клиенты из всех вланов.

Как это можно реализовать?

Share this post


Link to post
Share on other sites

Это не dot1q виланы, это виланы на основе изоляции портов. Обычно есть на всех управляемых коммутаторах.

 

Share this post


Link to post
Share on other sites

В 24.10.2022 в 19:45, ewgeny сказал:

Подскажите, есть следующая задача.

Есть 3 VLAN-а, по сути 3 отдела изолированые друг от друга.

Как сделать так, чтобы во все 3 VLAN-а DHCP раздавал один и тот же сервер, так как во всех трёх влан, ip-адреса подсети одни и те же.

И еще, есть сервер 1с и второй сервер с файлопомойкой. И их должны видеть все клиенты из всех вланов.

Как это можно реализовать?

Совсем просто это делается не на Tagged VLANs, а на Port-based VLANs. Раскидываешь пользователей по разным VLAN, а сервер и файлопомойку во все VLAN. Всё настраивается на коммутаторе, от клиентов и серверов никакой дополнительной поддержки не требуется.

Из ограничений метода - нет транзита (нет тэгов). Поэтому либо все должны висеть на одном коммутаторе, либо на остальные коммутаторы нужно кидать не один линк, а по количеству VLAN на них. Это в случае, если на даунстрим коммутаторах висят пользователи нескольких VLAN.

Share this post


Link to post
Share on other sites

Через port-protected (в терминологии Cisco) это можно сделать, но видимости у клиентов в одном VLAN не будет между собой, а это, например, печать на сетевой принтер - ну или принтеры тоже выносить в uplink. Побольше будет достижимо с помощью маршрутизатора, поддерживающего функционал VRF или эквивалентный, но тут в целом принципиальный дефект сети - надо или текущую IP-подсеть бить на подсети помельче, или разводить сегменты на разную адресацию. Рано или поздно один из сегментов вырастет за пределы одного коммутатора или одной подсети, и реформу придется провести, зачастую в режиме "пламенный зад"

Share this post


Link to post
Share on other sites

В 24.10.2022 в 20:40, jffulcrum сказал:

Через port-protected (в терминологии Cisco) это можно сделать, но видимости у клиентов в одном VLAN не будет между собой

При Port-based клиенты отлично видят друг-друга. У меня вон прямо сейчас дома работает примитивная мыльница с запаянной микросхемой EPROM (вланы заданы жёстко и не требуют изменений много лет).

Share this post


Link to post
Share on other sites

В 24.10.2022 в 20:44, straus сказал:

При Port-based клиенты отлично видят друг-друга.

Так это на простеньких коммутаторах, где именно port-based.

Если нормальный управляемый коммутатор cisco-like, где тэги на портах назначаются с помощью полиси или access vlan, то клиенты друг друга не видят.

(если не делать несимметричный VLAN)

Share this post


Link to post
Share on other sites

В 24.10.2022 в 21:28, alibek сказал:

Если нормальный управляемый коммутатор cisco-like

Не единой циской жив мир. В других коммутаторах это называется Port-based и работает именно так, как я указал. Даже в древних управляемых коммутаторах SMC.

Share this post


Link to post
Share on other sites

В 24.10.2022 в 16:45, ewgeny сказал:

Есть 3 VLAN-а, по сути 3 отдела изолированые друг от друга.

Как сделать так, чтобы во все 3 VLAN-а DHCP раздавал один и тот же сервер, так как во всех трёх влан, ip-адреса подсети одни и те же.

И еще, есть сервер 1с и второй сервер с файлопомойкой. И их должны видеть все клиенты из всех вланов.

Как это можно реализовать?

Вопрос не имеет смысла.

Либо отказывайтесь от вланов либо на каждый влан делайте отдельный пул адресов и маршрутизируйте трафик между ними.

 

В 24.10.2022 в 18:33, straus сказал:

Не единой циской жив мир. В других коммутаторах это называется Port-based и работает именно так, как я указал. Даже в древних управляемых коммутаторах SMC.

На наге когда то были зачотные выпуски всякого разного, в одном из них рассказывали как D-Link DES-1008 переделать на изоляцию портов, я даже свой один так переделал по приколу, поставил там переключатель.

Share this post


Link to post
Share on other sites

Для варианта с циской я бы попробовал так. Создаем 3 сабинтерфеса например Fa0/1.100, 0/1.200,0/1.300. Их делаем unnumbered к Loopback1. На него вешаем для примера 192.168.0.1/24. На каждый из сабифов ip helper-address <ip_dhcp_server> и включаем ip proxy-arp. Соответственно на хосты раздаем 192.168.0.2-254. А доступ к серверам разрулить уже акцесс-листами на сабифах.

Если есть хосты со статическими адресам, то дополнительно нужны статические маршруты к ним. Например есть супер-пупер девайc не умеющий dhcp в 100 влане c адресом 50.

ip route 192.168.0.50 255.255.255.255 Fa0/1.100

Как вариант получаем

хосты 11-20 - влан 100

хосты 21-30 - влан 200

хосты 31-40 - влан 300

 

ну сами сервера можно либо в один из этих сегментов, либо в свой собственный. Идентификатором выдачи адресов может быть как мак устройства , так и например идентификатор порта свича к которому подключен девайс.

И да пересечения ip адресов быть не должно.

 

Share this post


Link to post
Share on other sites

В 27.10.2022 в 08:10, Gray swordsman сказал:

Для варианта с циской я бы попробовал так. Создаем 3 сабинтерфеса например Fa0/1.100, 0/1.200,0/1.300. Их делаем unnumbered к Loopback1. На него вешаем для примера 192.168.0.1/24. На каждый из сабифов ip helper-address <ip_dhcp_server> и включаем ip proxy-arp. Соответственно на хосты раздаем 192.168.0.2-254. А доступ к серверам разрулить уже акцесс-листами на сабифах.

Это переусложнение на ровном месте.

Скорее всего у автора довольно маленькая сетка которую проще причесать чем осваивать такие трудно поддерживаемые конфиги.

Share this post


Link to post
Share on other sites

В 29.10.2022 в 02:49, Ivan_83 сказал:

Это переусложнение на ровном месте.

Скорее всего у автора довольно маленькая сетка которую проще причесать чем осваивать такие трудно поддерживаемые конфиги.

Это трудно поддерживаемый конфиг?

Share this post


Link to post
Share on other sites

В 24.10.2022 в 19:45, ewgeny сказал:

Подскажите, есть следующая задача.

Есть 3 VLAN-а, по сути 3 отдела изолированые друг от друга.

Как сделать так, чтобы во все 3 VLAN-а DHCP раздавал один и тот же сервер, так как во всех трёх влан, ip-адреса подсети одни и те же.

И еще, есть сервер 1с и второй сервер с файлопомойкой. И их должны видеть все клиенты из всех вланов.

Как это можно реализовать?

адресацию поменяйте. Если сеть маленькая можно и на статике прожить

Share this post


Link to post
Share on other sites

В 11.11.2022 в 11:15, ichthyandr сказал:

Если сеть маленькая можно и на статике прожить

Я на статике вообще бы нигде не жил, кроме п2п линков, ибо очень глупо это.

Где то после 3-4 девайсов уже геморой начинается, а учитывая что сейчас вифи везде, то конфиг статикой вообще не жизнеспособен.

Share this post


Link to post
Share on other sites

В 28.10.2022 в 23:49, Ivan_83 сказал:

Скорее всего у автора довольно маленькая сетка которую проще причесать чем осваивать такие трудно поддерживаемые конфиги.

больше 1500 устройств...

 

В 11.11.2022 в 16:15, ichthyandr сказал:

адресацию поменяйте. Если сеть маленькая можно и на статике прожить

больше 1500 устройств

Share this post


Link to post
Share on other sites

В 05.12.2022 в 16:28, ewgeny сказал:

больше 1500 устройств...

Тогда 3 ВЛАНа явно маловато. В сети из 500 устройств искать источник броадкаста - удовольствие то еще.

Share this post


Link to post
Share on other sites

В 05.12.2022 в 16:28, ewgeny сказал:

больше 1500 устройств

Это какой-то искусственный кошмар сетевика, a-la лабы CCIE, в ситуации которых оставалось только верить, ибо абсурдно. Тут только строить рядом новую инфраструктуру, постепенно перетаскивая в неё кусок за куском, типа вкрутили новый коммутатор - переключаем клиентов, старый выкинули, следующий. В старом же сегменте наколхозить что-то на быструю руку и обматывать изолентой, надеясь, что большая часть сети переедет прежде чем в старой инфраструктуре что-нибудь сложится. 

Share this post


Link to post
Share on other sites

On 12/5/2022 at 5:53 PM, jffulcrum said:

Это какой-то искусственный кошмар сетевика, a-la лабы CCIE, в ситуации которых оставалось только верить, ибо абсурдно.

Мне такое один турецкий подрядчик навяливал в 2019ом году. Сегодня, в 2022 году (когда адекватных специалистов в стране осталось ещё меньше), в это ещё охотней верится, к сожалению.

Share this post


Link to post
Share on other sites

В 05.12.2022 в 19:35, sdy_moscow сказал:

Тогда 3 ВЛАНа явно маловато. В сети из 500 устройств искать источник броадкаста - удовольствие то еще.

про 3 влана это образно.

сейчас у меня все в одной физической сети и разделены лишь подсетями на конечных устройствах.

 

Мне предстоит навести порядок, потому что так жить нельзя.... Сейчас вся эта поргонрафия разбита на 122 подсети.

Share this post


Link to post
Share on other sites

В 06.12.2022 в 17:08, ewgeny сказал:

про 3 влана это образно.

сейчас у меня все в одной физической сети и разделены лишь подсетями на конечных устройствах.

 

Мне предстоит навести порядок, потому что так жить нельзя.... Сейчас вся эта поргонрафия разбита на 122 подсети.

122 сети = 122 ВЛАНа + 1 Микротик.

Share this post


Link to post
Share on other sites

В 06.12.2022 в 19:12, sdy_moscow сказал:

122 сети = 122 ВЛАНа + 1 Микротик.

это понятно. как маршрутизацию между вланами осуществлять? если некоторые из них должны видеть машину (сервер) из другого влана

 

В 06.12.2022 в 19:12, sdy_moscow сказал:

122 сети = 122 ВЛАНа + 1 Микротик.

это понятно. как маршрутизацию между вланами осуществлять? если некоторые из них должны видеть машину (сервер) из другого влана

 

в 100 влане есть сервер. его должны видеть вланы номер 10, 12, 34, 56, 120 к примеру.

Share this post


Link to post
Share on other sites

Микротик Вам решит практически все задачи по маршрутизации и ограничению доступа, но придется научиться его "готовить".

Share this post


Link to post
Share on other sites

В 06.12.2022 в 19:17, sdy_moscow сказал:

Микротик Вам решит практически все задачи по маршрутизации и ограничению доступа, но придется научиться его "готовить".

я хотел всё это на коммутаторах решить. Полагаться на один микротик на котором завязано всё на свете и который может "отъехать" обрушив всю маршрутизацию внутри сети - такое себе. В моем случае это катастрофа.

Share this post


Link to post
Share on other sites

@ewgeny купите 2 микротика.

На коммутаторах маршрутизацию нормально не сделать (точнее сделать можно, но коммутатор нужен Л3 и с его настройкой вы опухните, да и всё равно он будет 1, если опять же не заморочится с резервированием "цисками").

З.Ы.

Ну если только "циску" какую-то навороченную затащить в сеть.

Но их тоже надо уметь "готовить".

Share this post


Link to post
Share on other sites

 Это легко решается вланами,  просто надо понять влан-суть. Ну и ограничения по номерам влан, стандартным. Если все коммутаторы в сети управляемы, то все просто. Такое гуано я раз разобрал, все в дефолт-конфиге, ну просто докупали по надобности. Была бы киска с cdp, было бы проще. Но cnr+dlink - это жопа... Начал бы с инвенторизации.

Share this post


Link to post
Share on other sites

В 06.12.2022 в 19:34, YuryD сказал:

 Это легко решается вланами,  просто надо понять влан-суть. Ну и ограничения по номерам влан, стандартным. Если все коммутаторы в сети управляемы, то все просто. Такое гуано я раз разобрал, все в дефолт-конфиге, ну просто докупали по надобности. Была бы киска с cdp, было бы проще. Но cnr+dlink - это жопа... Начал бы с инвенторизации.

SNRы везде

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.