ewgeny Posted October 24, 2022 · Report post Подскажите, есть следующая задача. Есть 3 VLAN-а, по сути 3 отдела изолированые друг от друга. Как сделать так, чтобы во все 3 VLAN-а DHCP раздавал один и тот же сервер, так как во всех трёх влан, ip-адреса подсети одни и те же. И еще, есть сервер 1с и второй сервер с файлопомойкой. И их должны видеть все клиенты из всех вланов. Как это можно реализовать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
UglyAdmin Posted October 24, 2022 · Report post Это не dot1q виланы, это виланы на основе изоляции портов. Обычно есть на всех управляемых коммутаторах. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
straus Posted October 24, 2022 · Report post В 24.10.2022 в 19:45, ewgeny сказал: Подскажите, есть следующая задача. Есть 3 VLAN-а, по сути 3 отдела изолированые друг от друга. Как сделать так, чтобы во все 3 VLAN-а DHCP раздавал один и тот же сервер, так как во всех трёх влан, ip-адреса подсети одни и те же. И еще, есть сервер 1с и второй сервер с файлопомойкой. И их должны видеть все клиенты из всех вланов. Как это можно реализовать? Совсем просто это делается не на Tagged VLANs, а на Port-based VLANs. Раскидываешь пользователей по разным VLAN, а сервер и файлопомойку во все VLAN. Всё настраивается на коммутаторе, от клиентов и серверов никакой дополнительной поддержки не требуется. Из ограничений метода - нет транзита (нет тэгов). Поэтому либо все должны висеть на одном коммутаторе, либо на остальные коммутаторы нужно кидать не один линк, а по количеству VLAN на них. Это в случае, если на даунстрим коммутаторах висят пользователи нескольких VLAN. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted October 24, 2022 · Report post Через port-protected (в терминологии Cisco) это можно сделать, но видимости у клиентов в одном VLAN не будет между собой, а это, например, печать на сетевой принтер - ну или принтеры тоже выносить в uplink. Побольше будет достижимо с помощью маршрутизатора, поддерживающего функционал VRF или эквивалентный, но тут в целом принципиальный дефект сети - надо или текущую IP-подсеть бить на подсети помельче, или разводить сегменты на разную адресацию. Рано или поздно один из сегментов вырастет за пределы одного коммутатора или одной подсети, и реформу придется провести, зачастую в режиме "пламенный зад" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
straus Posted October 24, 2022 · Report post В 24.10.2022 в 20:40, jffulcrum сказал: Через port-protected (в терминологии Cisco) это можно сделать, но видимости у клиентов в одном VLAN не будет между собой При Port-based клиенты отлично видят друг-друга. У меня вон прямо сейчас дома работает примитивная мыльница с запаянной микросхемой EPROM (вланы заданы жёстко и не требуют изменений много лет). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted October 24, 2022 · Report post В 24.10.2022 в 20:44, straus сказал: При Port-based клиенты отлично видят друг-друга. Так это на простеньких коммутаторах, где именно port-based. Если нормальный управляемый коммутатор cisco-like, где тэги на портах назначаются с помощью полиси или access vlan, то клиенты друг друга не видят. (если не делать несимметричный VLAN) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
straus Posted October 24, 2022 · Report post В 24.10.2022 в 21:28, alibek сказал: Если нормальный управляемый коммутатор cisco-like Не единой циской жив мир. В других коммутаторах это называется Port-based и работает именно так, как я указал. Даже в древних управляемых коммутаторах SMC. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted October 24, 2022 · Report post В 24.10.2022 в 16:45, ewgeny сказал: Есть 3 VLAN-а, по сути 3 отдела изолированые друг от друга. Как сделать так, чтобы во все 3 VLAN-а DHCP раздавал один и тот же сервер, так как во всех трёх влан, ip-адреса подсети одни и те же. И еще, есть сервер 1с и второй сервер с файлопомойкой. И их должны видеть все клиенты из всех вланов. Как это можно реализовать? Вопрос не имеет смысла. Либо отказывайтесь от вланов либо на каждый влан делайте отдельный пул адресов и маршрутизируйте трафик между ними. В 24.10.2022 в 18:33, straus сказал: Не единой циской жив мир. В других коммутаторах это называется Port-based и работает именно так, как я указал. Даже в древних управляемых коммутаторах SMC. На наге когда то были зачотные выпуски всякого разного, в одном из них рассказывали как D-Link DES-1008 переделать на изоляцию портов, я даже свой один так переделал по приколу, поставил там переключатель. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Gray swordsman Posted October 27, 2022 · Report post Для варианта с циской я бы попробовал так. Создаем 3 сабинтерфеса например Fa0/1.100, 0/1.200,0/1.300. Их делаем unnumbered к Loopback1. На него вешаем для примера 192.168.0.1/24. На каждый из сабифов ip helper-address <ip_dhcp_server> и включаем ip proxy-arp. Соответственно на хосты раздаем 192.168.0.2-254. А доступ к серверам разрулить уже акцесс-листами на сабифах. Если есть хосты со статическими адресам, то дополнительно нужны статические маршруты к ним. Например есть супер-пупер девайc не умеющий dhcp в 100 влане c адресом 50. ip route 192.168.0.50 255.255.255.255 Fa0/1.100 Как вариант получаем хосты 11-20 - влан 100 хосты 21-30 - влан 200 хосты 31-40 - влан 300 ну сами сервера можно либо в один из этих сегментов, либо в свой собственный. Идентификатором выдачи адресов может быть как мак устройства , так и например идентификатор порта свича к которому подключен девайс. И да пересечения ip адресов быть не должно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted October 28, 2022 · Report post В 27.10.2022 в 08:10, Gray swordsman сказал: Для варианта с циской я бы попробовал так. Создаем 3 сабинтерфеса например Fa0/1.100, 0/1.200,0/1.300. Их делаем unnumbered к Loopback1. На него вешаем для примера 192.168.0.1/24. На каждый из сабифов ip helper-address <ip_dhcp_server> и включаем ip proxy-arp. Соответственно на хосты раздаем 192.168.0.2-254. А доступ к серверам разрулить уже акцесс-листами на сабифах. Это переусложнение на ровном месте. Скорее всего у автора довольно маленькая сетка которую проще причесать чем осваивать такие трудно поддерживаемые конфиги. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
P45H3 Posted November 8, 2022 · Report post В 29.10.2022 в 02:49, Ivan_83 сказал: Это переусложнение на ровном месте. Скорее всего у автора довольно маленькая сетка которую проще причесать чем осваивать такие трудно поддерживаемые конфиги. Это трудно поддерживаемый конфиг? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ichthyandr Posted November 11, 2022 · Report post В 24.10.2022 в 19:45, ewgeny сказал: Подскажите, есть следующая задача. Есть 3 VLAN-а, по сути 3 отдела изолированые друг от друга. Как сделать так, чтобы во все 3 VLAN-а DHCP раздавал один и тот же сервер, так как во всех трёх влан, ip-адреса подсети одни и те же. И еще, есть сервер 1с и второй сервер с файлопомойкой. И их должны видеть все клиенты из всех вланов. Как это можно реализовать? адресацию поменяйте. Если сеть маленькая можно и на статике прожить Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted November 11, 2022 · Report post В 11.11.2022 в 11:15, ichthyandr сказал: Если сеть маленькая можно и на статике прожить Я на статике вообще бы нигде не жил, кроме п2п линков, ибо очень глупо это. Где то после 3-4 девайсов уже геморой начинается, а учитывая что сейчас вифи везде, то конфиг статикой вообще не жизнеспособен. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ewgeny Posted December 5, 2022 · Report post В 28.10.2022 в 23:49, Ivan_83 сказал: Скорее всего у автора довольно маленькая сетка которую проще причесать чем осваивать такие трудно поддерживаемые конфиги. больше 1500 устройств... В 11.11.2022 в 16:15, ichthyandr сказал: адресацию поменяйте. Если сеть маленькая можно и на статике прожить больше 1500 устройств Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sdy_moscow Posted December 5, 2022 · Report post В 05.12.2022 в 16:28, ewgeny сказал: больше 1500 устройств... Тогда 3 ВЛАНа явно маловато. В сети из 500 устройств искать источник броадкаста - удовольствие то еще. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted December 5, 2022 · Report post В 05.12.2022 в 16:28, ewgeny сказал: больше 1500 устройств Это какой-то искусственный кошмар сетевика, a-la лабы CCIE, в ситуации которых оставалось только верить, ибо абсурдно. Тут только строить рядом новую инфраструктуру, постепенно перетаскивая в неё кусок за куском, типа вкрутили новый коммутатор - переключаем клиентов, старый выкинули, следующий. В старом же сегменте наколхозить что-то на быструю руку и обматывать изолентой, надеясь, что большая часть сети переедет прежде чем в старой инфраструктуре что-нибудь сложится. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dr Tr0jan Posted December 5, 2022 · Report post On 12/5/2022 at 5:53 PM, jffulcrum said: Это какой-то искусственный кошмар сетевика, a-la лабы CCIE, в ситуации которых оставалось только верить, ибо абсурдно. Мне такое один турецкий подрядчик навяливал в 2019ом году. Сегодня, в 2022 году (когда адекватных специалистов в стране осталось ещё меньше), в это ещё охотней верится, к сожалению. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ewgeny Posted December 6, 2022 · Report post В 05.12.2022 в 19:35, sdy_moscow сказал: Тогда 3 ВЛАНа явно маловато. В сети из 500 устройств искать источник броадкаста - удовольствие то еще. про 3 влана это образно. сейчас у меня все в одной физической сети и разделены лишь подсетями на конечных устройствах. Мне предстоит навести порядок, потому что так жить нельзя.... Сейчас вся эта поргонрафия разбита на 122 подсети. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sdy_moscow Posted December 6, 2022 · Report post В 06.12.2022 в 17:08, ewgeny сказал: про 3 влана это образно. сейчас у меня все в одной физической сети и разделены лишь подсетями на конечных устройствах. Мне предстоит навести порядок, потому что так жить нельзя.... Сейчас вся эта поргонрафия разбита на 122 подсети. 122 сети = 122 ВЛАНа + 1 Микротик. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ewgeny Posted December 6, 2022 · Report post В 06.12.2022 в 19:12, sdy_moscow сказал: 122 сети = 122 ВЛАНа + 1 Микротик. это понятно. как маршрутизацию между вланами осуществлять? если некоторые из них должны видеть машину (сервер) из другого влана В 06.12.2022 в 19:12, sdy_moscow сказал: 122 сети = 122 ВЛАНа + 1 Микротик. это понятно. как маршрутизацию между вланами осуществлять? если некоторые из них должны видеть машину (сервер) из другого влана в 100 влане есть сервер. его должны видеть вланы номер 10, 12, 34, 56, 120 к примеру. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sdy_moscow Posted December 6, 2022 · Report post Микротик Вам решит практически все задачи по маршрутизации и ограничению доступа, но придется научиться его "готовить". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ewgeny Posted December 6, 2022 · Report post В 06.12.2022 в 19:17, sdy_moscow сказал: Микротик Вам решит практически все задачи по маршрутизации и ограничению доступа, но придется научиться его "готовить". я хотел всё это на коммутаторах решить. Полагаться на один микротик на котором завязано всё на свете и который может "отъехать" обрушив всю маршрутизацию внутри сети - такое себе. В моем случае это катастрофа. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sdy_moscow Posted December 6, 2022 · Report post @ewgeny купите 2 микротика. На коммутаторах маршрутизацию нормально не сделать (точнее сделать можно, но коммутатор нужен Л3 и с его настройкой вы опухните, да и всё равно он будет 1, если опять же не заморочится с резервированием "цисками"). З.Ы. Ну если только "циску" какую-то навороченную затащить в сеть. Но их тоже надо уметь "готовить". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted December 6, 2022 · Report post Это легко решается вланами, просто надо понять влан-суть. Ну и ограничения по номерам влан, стандартным. Если все коммутаторы в сети управляемы, то все просто. Такое гуано я раз разобрал, все в дефолт-конфиге, ну просто докупали по надобности. Была бы киска с cdp, было бы проще. Но cnr+dlink - это жопа... Начал бы с инвенторизации. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ewgeny Posted December 6, 2022 · Report post В 06.12.2022 в 19:34, YuryD сказал: Это легко решается вланами, просто надо понять влан-суть. Ну и ограничения по номерам влан, стандартным. Если все коммутаторы в сети управляемы, то все просто. Такое гуано я раз разобрал, все в дефолт-конфиге, ну просто докупали по надобности. Была бы киска с cdp, было бы проще. Но cnr+dlink - это жопа... Начал бы с инвенторизации. SNRы везде Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...