[trash_l]

Добрый день. Не могу разобраться с проблемой

Максимально опишу что есть сейчас, схема приложена

Есть старая добрая сеть с подсетью 192.168.0.0/16

Было принято решение все разделить и сделать нормально. Сеть порядка 100+ компов и столько же телефонов. Под отделы сделали VLAN-ы внутри VLAN-а все работает прекрасно, но так как надо все делать постепенно, старая сеть живет. В чем проблема если на коммутаторе с адресом 172.16.3.10 не получить адрес из сети 192.168.0.0/24 и не включить на нем маскарад то ничего не работает ниже на клиентах VLAN-а.

Понимаю что дело в маршрутах, но к сожалению не могу понять конкретно в каком месте

Если делать Torch на 192.168.0.1 в момент запуска пинга, видно что пакеты уходят но на 172.16.3.10 их нет. (когда выключен маскарад)

[jffulcrum]

Так с какого перепуга узлы, работающие в условной VLAN1, где у вас сеть 192.168.0.0, будут видны из VLAN 140? VLAN для того и сделаны, чтобы разграничивать трафик. У вас правильные варианты следующие:

 

1. Тащить VLAN 140 до маршрутизатора наверху, и он будет делать свою работу, то есть маршрутизировать между VLAN. Это наиболее правильно.

2. Делать L3 маршрутизацию на коммутаторе доступа, чтобы он маршрутизировал между VLAN 1 и 140. Это вариант менее правильный, но на 100 хостов работать должен

[trash_l]

Несколько дополнил схему для более полного понимания топологии

Почему все спускается вниз с верхнего маршрутизатора, на нем есть планы поднимать удаленные филиалы, VPN клиентов и прочие задачи. Плюс хочется чтобы внутренние VLAN-ы были не на том коммутаторе который стоит первый. В целях безопасности, в случаи компрометации. Может это конечно и зря

И я так понимаю вопросы выходит за рамки и плавно перетекает в сторону архитектуры

[Saab95]

10 часов назад, trash_l сказал:

И я так понимаю вопросы выходит за рамки и плавно перетекает в сторону архитектуры

 

Вопросы перетекают в сторону что нужно сначала думать, а потом покупать оборудование.

 

У микротика есть модели коммутаторов с мощными процессорами, например линейка CRS317, такой коммутатор в режиме роутера пропускает между портами 1Г трафика, если в вашей сети этой скорости будет достаточно (а судя по RB1100 в начале он больше и не пропустит), то этого хватит.

 

Тогда можно было бы на каждом порту терминировать подключенное устройство и сделать L3 сеть.

 

Но так как оборудование уже есть, то нужно сделать схему влан на каждый порт коммутатора. На микротике в центре завести все эти вланы, будет 200 вланов. Вланы телефонов - заводите в каждый IP адрес поштучно и настраиваете DHCP сервер, тем самым каждому телефонному аппарату будете выдавать свой уникальный адрес.

Вланы компьютеров - так же заводите каждый IP адрес поштучно, настраиваете DHCP сервер и каждому компьютеру так же будет выдаваться IP адрес свой.

 

Для возможности общения устройств между собой включаете на каждом влане прокси-арп и все.

 

Далее забываете про такие слова как подсети, маска подсети и т.п.

[jffulcrum]

23 часа назад, trash_l сказал:

И я так понимаю вопросы выходит за рамки и плавно перетекает в сторону архитектуры

 

С процессором 800 Мгц в CRS326 в центре сети вы особо не намаршрутизируете обычными средствами, а для HW L3 Routing у вас, судя по вопросам, не хватит компетенций. В данных условиях вам в центр сети нужен роутер для Inter-VLAN routing, который заменит свитч, а текущий RB1100 так и останется для выхода в Интернет. Если не требуется FW между подсетями внутри, должен справиться какой-нибудь RB4011/1100AHx4

[naves]

Роутить между вланами можно на linux-тазике, для надежности поставить два linux-тазика c keepalived. Заодно в любой непонятной ситуации сможете посмотреть трафик, кто что жрет, куда ходит, и сразу запретить. Ну после того как выучите iptables...

 

Quote

сделать схему влан на каждый порт коммутатора

...

Далее забываете про такие слова как подсети, маска подсети и т.п.

Даже и не знаю, что посоветовать, то ли дед, прими таблетки, то ли аффтар жги еще.

[fractal]

21 час назад, Saab95 сказал:

 

Вопросы перетекают в сторону что нужно сначала думать, а потом покупать оборудование.

 

У микротика есть модели коммутаторов с мощными процессорами, например линейка CRS317, такой коммутатор в режиме роутера пропускает между портами 1Г трафика, если в вашей сети этой скорости будет достаточно (а судя по RB1100 в начале он больше и не пропустит), то этого хватит.

 

Тогда можно было бы на каждом порту терминировать подключенное устройство и сделать L3 сеть.

 

Но так как оборудование уже есть, то нужно сделать схему влан на каждый порт коммутатора. На микротике в центре завести все эти вланы, будет 200 вланов. Вланы телефонов - заводите в каждый IP адрес поштучно и настраиваете DHCP сервер, тем самым каждому телефонному аппарату будете выдавать свой уникальный адрес.

Вланы компьютеров - так же заводите каждый IP адрес поштучно, настраиваете DHCP сервер и каждому компьютеру так же будет выдаваться IP адрес свой.

 

Для возможности общения устройств между собой включаете на каждом влане прокси-арп и все.

 

Далее забываете про такие слова как подсети, маска подсети и т.п.

Полнейший бред создания сети на коленке, причём в этом случае это можно сказать болезнь создания пионерсети, как будто не преодолимое желание сделать, я извиняюсь за слово - гавно

 

Proxy arp этот, который способствует раз... Бенить всю сеть, причём не важно, микрот, хуавей, циско, тут зависит от уязвимостей, причём у всех, включая микрот даже acl от дыры в ssh не спасет

[Saab95]

2 часа назад, fractal сказал:

Полнейший бред создания сети на коленке,

Вы, простите, книжки умные по сетям читали? В 1995 году как было написано - разделить порты на коммутаторы разных отделов, порты для телефонии и т.п. Свести каждые из этих вланов на свой обслуживающий сервер.

 

30 лет назад это было. Что-то новое можете предложить, кроме как вланами сеть сегментировать?

[fractal]

4 часа назад, Saab95 сказал:

Вы, простите, книжки умные по сетям читали? В 1995 году как было написано - разделить порты на коммутаторы разных отделов, порты для телефонии и т.п. Свести каждые из этих вланов на свой обслуживающий сервер.

 

30 лет назад это было. Что-то новое можете предложить, кроме как вланами сеть сегментировать?

Читал, но что то я не помню чтобы там этот бред был написан, помню что необходимо сегментировать все и только. Что то новое хотите? Юзайте sd-access, это как раз микросегментация по Sgt, а не сеть из микротов и вланов на каждого клиента

[Saab95]

У нас полностью L3 сеть. и вланы живут только на ближайших коммутаторах. Уже более 15 лет все работает и никаких проблем не возникает.

 

Даже когда покупали различных провайдеров, которые еще в начале 2000 тянули оптику и между домами кабель 1-2 волокна, и вся сеть сделана на шине с отводами, порой по 40-60 коммутаторов цепочкой по одному волокну идут. Сразу разделяли сеть на части и устанавливали микротики, что бы и старую адресацию использовать, и от проблем широковещательных сегментов уйти. И когда ранее оператор каждый день ездил перезагружать зависшие коммутаторы или искал флудящие порты, оперируя десятком монтажником. Сейчас вообще выездов нет.

 

А тут человек спрашивает как сделать лучше сеть - так и делать сразу на L3, имея возможность управлять каждым портом.

[sheft]

В 15.05.2025 в 11:56, trash_l сказал:

Несколько дополнил схему для более полного понимания топологии

Почему все спускается вниз с верхнего маршрутизатора, на нем есть планы поднимать удаленные филиалы, VPN клиентов и прочие задачи. Плюс хочется чтобы внутренние VLAN-ы были не на том коммутаторе который стоит первый. В целях безопасности, в случаи компрометации. Может это конечно и зря

И я так понимаю вопросы выходит за рамки и плавно перетекает в сторону архитектуры

для начала нужно понять цель сегментирования, что не устраивает в текущей реализации и какие проблемы настоящие или гипотетические хотите решить.. и учесть момент, что трафик, который ранее, возможно, бегал между рабочими машинами напрямую, с увеличением сегментации попрёт через центр со всем сопутствующим ущербом в производительности и нагрузкой на узле выполняющим роль "центра".. у современных коммутаторов достаточно развиты и mac-таблицы и средства для подавления всякого рода штормов и защиту от колец и прочих вирус-атак, так что советы типа - каждый порт в vlan - это не от здоровой головы..

[VolanD666]

В 16.05.2025 в 22:17, Saab95 сказал:

30 лет назад это было. Что-то новое можете предложить, кроме как вланами сеть сегментировать?

Протоколу HTTP уже 35 лет, зачем бы используете старевшие технологии? Закройте браузер уже.

[straus]

Устаревшие технологии не обязательно плохие. Я вот уверен, что дома Saab95 с женой делают детей по устаревшим технологиям. И менять их не собираются, разве что немного усовершенствовать и разнообразить.

[trash_l]

Цель всего сегментирования разделить между собой отделы, чтобы не было доступа из одного отдела в другой.

[TheUser]

2 часа назад, trash_l сказал:

Цель всего сегментирования разделить между собой отделы, чтобы не было доступа из одного отдела в другой.

Какую роль выполняет каждое из сетевых устройств на ваших картинках?

[naves]

4 hours ago, trash_l said:

Цель всего сегментирования разделить между собой отделы, чтобы не было доступа из одного отдела в другой.

это работает ровно до того, пока в одном отделе не захотят внезапно распечатать на принтере из соседнего отдела.

 

[TheUser]

9 минут назад, naves сказал:

это работает ровно до того, пока в одном отделе не захотят внезапно распечатать на принтере из соседнего отдела.

 

Поэтому принтеры должны быть сетевыми, работать через единую очередь сервера.

[VolanD666]

1 час назад, naves сказал:

это работает ровно до того, пока в одном отделе не захотят внезапно распечатать на принтере из соседнего отдела.

Отдельная подсеть для принтеров решает эту проблему.

[naves]

1 hour ago, VolanD666 said:

Отдельная подсеть для принтеров решает эту проблему.

В мою бытность работы в офисе, это не решало проблемы, а наоборот только создавало.

Руководители очень любили двигать столы, кровати и стулья в отделах. Причем в стиле, через 20 минут начинается приемное время, все должно работать. Особенно было забавно, когда по проекту розетки с одной стороны стены, а столы телепортировались либо в центр комнаты, либо вообще к другой стене.

И дежурные мальчики по подключению компуКтеров, не заморачивались над тем, в какую розетку втыкать компьютеры. Особенно в кабинетах, в которых было по 4 рабочих места, а розеток изЯрнета всего две, а второй кабель от розетки перебили на этаже в прошлом месяце, и мы ждем монтажников, те розеток осталось одна. Так вот, мальчики приносили свичи-мыльницы, и подключали вот это все.

А еще эти компуКтеры подключались гирляндой через SIP-телефоны, или иногда компы в свои розетки, зато телефоны гирляндой через друг-друга, первый телефон получает питание через PoE, а второй уже через отдельный БП.

Ой, про принтеры забыл, в какой же порт в итоге воткнуть принтер, ведь розеток пока еще две, и в них уже воткнуто джва компуктера через телефон...

Подключаем по USB в первый компуКтер, расшариваем, второй компуКтер печатает через первый. Не нужно снова идти в кладовку за свичем, и заодно брать новый разветлитель потому, что в текущем уже заняты все 5 выводов 220V

 

Как вспомню, ээхх, и мы еще боХато жили, ведь у нас были SIP-телефоны, и новенькие сетевые принтеры Kyocera, а не этот весь зоопарк с картриджами от HP...

Edited May 20 by naves

[Saab95]

В 17.05.2025 в 22:22, sheft сказал:

с увеличением сегментации попрёт через центр со всем сопутствующим ущербом в производительности и нагрузкой на узле выполняющим роль "центра".. у современных коммутаторов достаточно развиты и mac-таблицы и средства для подавления всякого рода штормов и защиту от колец и прочих вирус-атак, так что советы типа - каждый порт в vlan - это не от здоровой головы..

В таком случае и вирусы пойдут напрямую между компьютерами, и печатать можно на любых принтерах, через сеть файлы качать и вообще всячески данные с работы уводить.

 

13 часов назад, trash_l сказал:

Цель всего сегментирования разделить между собой отделы, чтобы не было доступа из одного отдела в другой.

Вот как раз сегментация (физическая) эту проблему и решит.

 

К слову на коммутаторах есть кроме вланов еще и сегментация портов, которая позволяет отделить между собой порты на группы. Например коммутатор на 24 порта можно разделить на группы по 6 портов, если он имеет 4 оптических порта, то каждую группу объединить со своим портом, и по 4 кабелям прокинуть дальше в центр.

 

8 часов назад, naves сказал:

это работает ровно до того, пока в одном отделе не захотят внезапно распечатать на принтере из соседнего отдела.

На Windows можно подключить принтер по IP адресу, если в файрволе доступ откроют никаких проблем это не создаст.

 

5 часов назад, naves сказал:

А еще эти компуКтеры подключались гирляндой через SIP-телефоны, или иногда компы в свои розетки, зато телефоны гирляндой через друг-друга, первый телефон получает питание через PoE, а второй уже через отдельный БП.

В настройках SIP телефонов есть и PPPoE сервер, что позволяет полностью исключить возможность доступа на телефоны извне. Есть много вредоносных программ, которые взламывают локально телефоны и совершают звонки. Обычно с паролями не особо заморачиваются, у некоторых моделей есть уязвимости и т.п.

[sirmax]

25 минут назад, Saab95 сказал:

К слову на коммутаторах есть кроме вланов еще и сегментация портов

Поздравляю с выходом из анабиоза 🙂 

[VolanD666]

11 часов назад, Saab95 сказал:

В настройках SIP телефонов есть и PPPoE сервер, что позволяет полностью исключить возможность доступа на телефоны извне. Есть много вредоносных программ, которые взламывают локально телефоны и совершают звонки. Обычно с паролями не особо заморачиваются, у некоторых моделей есть уязвимости и т.п.

Очередная чушь. Кладете телефоны в отдельный влан, на интерфейс управления разрешен доступ только админской подсети. Все. И не надо городить всякий вышеописанный бред.

[straus]

15 часов назад, Saab95 сказал:

К слову на коммутаторах есть кроме вланов еще и сегментация портов, которая позволяет отделить между собой порты на группы. Например коммутатор на 24 порта можно разделить на группы по 6 портов, если он имеет 4 оптических порта, то каждую группу объединить со своим портом, и по 4 кабелям прокинуть дальше в центр.

Saab95 открыл для себя очередную новость - Port-Based VLANs. Повторяется его же история с RAID, где он делал Soft-RAID, но упорно это отрицал.

 

Я тебе больше скажу: в Port-Based можно даже сделать перекрывающиеся структуры, например порт сетевого принтера раскидать нескольким портам клиентов. И они все будут печатать на принетре, но при этом не будут видеть друг друга. Более того, можно сделать многократно частично перекрывающиеся конфигурации, с кучей отдельных провайдеров интернет и кучей частично перекрывающихся локальных сервисов. И даже в этом случае ни один клиентский комп не будет видеть другие клиентские компы.

А сегментирование - это частный случай Port-Based, когда конфигурация без перекрытия вообще (отдельные виртуальные свитчи). Но перекрытие позволяет сэкономить железо, при этом полностью изолируя пользователей.

 

15 часов назад, sirmax сказал:

Поздравляю с выходом из анабиоза

Походу там непробиваемый случай.

Я вспоминаю доинтернетные времена (сеть Fidonet) - у нас малознающего называли "чайник". А вот воинствующего, который ничего не знает, но всех поучает, называли "ламер". А ещё в киевском диалекте руководящего языка было отдельное словво для обозначения человека, постоянно несущего полную ахинею - "арсеналец".

[straus]

В 17.05.2025 в 22:22, sheft сказал:

советы типа - каждый порт в vlan - это не от здоровой головы

Как я уже сказал выше - проблему решает частичная сегментация при помощи нетэгированых VLAN на основе портов. Прямо на уровне доступа трафик разделяется по направлениям, и ничего лишнего не бегает через центр.

[straus]

4 часа назад, VolanD666 сказал:

Очередная чушь. Кладете телефоны в отдельный влан, на интерфейс управления разрешен доступ только админской подсети. Все. И не надо городить всякий вышеописанный бред.

Ну Saab95 видимо не знаком с основами ИТ-безопасности. От слова совсем. Расскажите ему, что сначала строится модель угроз, потом она разделяется по уровням вероятности и по уровням опасности. И уже потом выбираются меры противодействия.