Перейти к содержимому
Калькуляторы

Корпоративная сеть и VLAN

Имеется корпоративная сеть.

Состоит из DGS-1210-24, DES-1210-52 и кучи DES-1210-28.

Также есть IP телефония (компьютеры к ПК подходят от телефонов), несколько wifi c Multi SSID, несколько коммутаторов других производителей (POE) и несколько серверов.

 

Идея:

1. Разделить отделы по VLAN с доступом к серверам без маршрутизации (вроде как Asymmetric VLAN).

2. Вынести Voip, также как и IP видеонаблюдение в отдельные VLAN (вроде как Voice VLAN).

3. Создать гостевую сеть в отдельном VLAN, которой доступен только шлюз (а он уже роутит куда надо и т.д.).

 

Вопросы:

1. По faq на сайте dlink не совсем понятно можно использовать Asymmetric VLAN на нескольких коммутаторах и могут ли отделы могут быть разбросаны по разным коммутаторам?

2. Будет ли работать Voice VLAN совместно с Asymmetric VLAN?

3. Так как на шлюзе нужно разделять внутреннюю сеть от гостевой, то нужно отправлять на него данные тегированными. (шлюз - linux based). А так как для разделения отделов нужен Asymmetric VLAN, то будет ли это работать или нет? И как такое настроить если будет?

 

Возможно есть еще какие нибудь моменты, которые я не учел...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Забудьте про ассиметрик влан, он работает только в пределах одного свича.

На каждый влан свою сетку серых адресов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

первый лекго

Вы это о Asymmetric VLAN?

Ниже написали что Asymmetric VLAN работает в пределах одного свича.

Кому верить?

 

 

Делать отдельные вланы и раздельные сети - немного наклодно в плане управления, т.к. отделов около 10.

Есть сервера к которым доступ нужен из всех отделов.

На них получается нужно тагетами пробрасывать все vlan и делать вирт. сетевые?

А в этом плане мы сильно завязаны на ПО/сетевые адаптеры (на некоторых серверах Windows)...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

сервера выносим в отдельную сеть, клиентов в другую... Кроме Л2 разделения - еще ж и Л3 можно задействовать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть сервера к которым доступ нужен из всех отделов.

На них получается нужно тагетами пробрасывать все vlan и делать вирт. сетевые?

А в этом плане мы сильно завязаны на ПО/сетевые адаптеры (на некоторых серверах Windows)...

 

Либо покупаете L3-свитч/маршрутизатор, либо можно один любой сервер под это приспособить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кроме Л2 разделения - еще ж и Л3 можно задействовать...

Под Л3 вы имеете ввиду на маршрутизатор?

Как минимум есть 4 сервера на которые нужен доступ практически со всех вланов и желательно без маршрутизации (Сам маршрутизатор-линукс, сервер 1с-винда, файлопомойка-линукс, сервер с доп. сервисами-винда).

Например ключ защиты 1с - ищется бродкастом и на Л3 он не будет определяться....

 

 

Либо покупаете L3-свитч/маршрутизатор, либо можно один любой сервер под это приспособить.

А какие плюсы есть у L3 свитча перед маршрутизатором?

 

Я вообще под L3 маршрутизацией правильно понимаю следующее:

1. на шлюз/маршрутизатор пробрасываются все вланы тагетом.

2. для каждого влана делается вирт. сетевая.

3. между вирт. сетевыми делается маршрутизация, экран и т.д.

?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Например ключ защиты 1с - ищется бродкастом и на Л3 он не будет определяться....

В конфиге клиента можно запретить броадкаст, юзать только тцп и указать ип:порт сервера менеджера лицензий

Изменено пользователем pppoetest

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В конфиге клиента можно запретить броадкаст, юзать только тцп и указать ип и порт сервера менеджера лицензий

Да есть такое, но есть еще один момент:

Весь 1с трафик (50-100 клиентов) пускать через маршрутизатор я думаю не эффективно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Кому верить?

Документации.

 

Делать отдельные вланы и раздельные сети - немного наклодно в плане управления, т.к. отделов около 10. Есть сервера к которым доступ нужен из всех отделов. На них получается нужно тагетами пробрасывать все vlan и делать вирт. сетевые? А в этом плане мы сильно завязаны на ПО/сетевые адаптеры (на некоторых серверах Windows)...

Читайте теорию.

Разделяя на L2 вам нужно обеспечивать коммутацию(роутинг) на L3.

 

Например ключ защиты 1с - ищется бродкастом и на Л3 он не будет определяться....

Либо прописать руками адрес сервера, либо заюзать терминальный доступ и там воткнуть ключ, либо выкинуть 1с нафик.

 

Весь 1с трафик (50-100 клиентов) пускать через маршрутизатор я думаю не эффективно...

L3 коммутатору пофик.

Да не много у вас его там, прожуёт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

целых 100 клиентов? Какой кошмар, конечно неэффективно. Маршрутизаторы - они в теплицах обычно работают, там на 100 маршрутизаторов 1 клиент приходится...

 

1с - в терминальном режиме? если в терминальном - то зачем клиенту ключ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Документации

т.е. не работает!?

 

Разделяя на L2 вам нужно обеспечивать коммутацию(роутинг) на L3.

Ну есть еще как минимум 2 варианта.

Trafic Segmentation и прокинуть сервера во все vlan.

Просто на практике не знаю что лучше...

 

либо выкинуть 1с нафик.

Конструктивно))))

 

L3 коммутатору пофик.

Да не много у вас его там, прожуёт.

Какой посоветуете?

Прожует имеете ввиду маршрутизатор?

 

 

1с - в терминальном режиме? если в терминальном - то зачем клиенту ключ?

Пополам. Но тенденция на уход с терминальника...

 

Ну ведь получается что доступ к системе сильно зависит от канала (в моменты сложных запросов).

А тут еще получается надо маршрутизировать еще и видеонаблюдение (мониторинг камер от сервера до пользователя).

Плюс прочие сервисы...

Поэтому есть узкое звено в маршрутизаторе с его пусть и гигабитом в локалку...

Изменено пользователем deevil

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Забудьте про ассиметрик влан, он работает только в пределах одного свича.

 

Мы вроде собирали нечто подобное на DES 2108 /B1

 

 

2 DES к каждому подключено по 2 компа каждый комп в своем vlan

при этом есть доступ на 1 шлюз DIR 412, который в ассиметричной vlan

 

1 vlan на 2 свитча в этом случае мы разбрасывали

Изменено пользователем erlink2011

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Идея:

1. Разделить отделы по VLAN с доступом к серверам без маршрутизации (вроде как Asymmetric VLAN).

2. Вынести Voip, также как и IP видеонаблюдение в отдельные VLAN (вроде как Voice VLAN).

3. Создать гостевую сеть в отдельном VLAN, которой доступен только шлюз (а он уже роутит куда надо и т.д.).

1. поставить L3 свитч и настроит маршрутизацию (ну и правила ACL как надо)

2. Если ваши смарт железки умеют войс влан. IP видеокамеры без проблем

3. пункт 1 + правила на шлюзе в интернет

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Мы вроде собирали нечто подобное на DES 2108 /B1

В ограниченных случаях может работать.

Нужно понимать суть технологии чтобы не наступить на грабли вдруг.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В ограниченных случаях может работать.

 

Например каких именно

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. поставить L3 свитч и настроит маршрутизацию (ну и правила ACL как надо)

А что если роль L3 свитча будет выполнять linux based маршрутизатор?

Какие плюсы-минусы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
А что если роль L3 свитча будет выполнять linux based маршрутизатор?

Какие плюсы-минусы?

минусы производительность количество гигабитных портов глючность габариты сложность настройки

плюсы мона почти все что угодно делать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо. Понял...

 

Какой L3 свитч порекомендуете?)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

минусы производительность

10 гбит какой-то i5 пережует не напрягаясь, если без фанатизма с iptables

 

количество гигабитных портов

4x pci-e x4/x8/x16 (а есть и больше на платах, до 8) * 4x1000BaseTX порта на сетевухах = 16 портов. Хотя сомневаюсь, что кому-то будет сильно нужно более 8 портов (по 4 в транк на л2 свичи)

 

глючность

Прямо зависит от кривизны рук настраивающего. У нас на некоторых роутерах аптайм в полгода-год, ребуты чаще всего по питанию. Хотя на брасах в последнее время замечены утечки памяти (раз в несколько месяцев приходится ребутить), впрочем, обновление ядра должно это пофиксить (на тестовом тазике, куда собрал дистр с новым ядром и влепил в него kmemleak заодно, утечки памяти почему-то волшебным образом прекратились).

 

габариты

Можно и в 1U упихать, и даже при везучести - с 8 портами или даже 12 (райзер с двумя-тремя слотами если будет, вроде такое у супермикро видел).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какой L3 свитч порекомендуете?)))

Сильно зависит от фактических нагрузок, присутствия вирусов и т.д.

Не исключено, что окажется достаточно даже софтового Mikrotik RB/1100AHx2 за 17т.р.

или 100-мегабитного DES-3810-28 за 19т.р.

 

Из более серьёзного можете посмотреть либо на подержанный за 65т.р - http://shop.nag.ru/catalog/00001.Kommutatory/02392.Cisco/02987.WS-C3560G-24TS-S

либо на новый за 97т.р. - http://www.senetsy.ru/products/juniper/switches/ex3200_ex4200/#platforms/ex3200-24

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Например каких именно

Подробностей уже не помню. Читал относительно давно, понял что смысла связываться нет.

У длинка есть супервланы для примерно таких целей.

Но лучше оставить в покое л2 сегменты и соединять по л3: это просто, понятно, куча вариантов реализации, вылизанное решение, и просто дебажить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас