deevil Posted June 11, 2012 Posted June 11, 2012 Имеется корпоративная сеть. Состоит из DGS-1210-24, DES-1210-52 и кучи DES-1210-28. Также есть IP телефония (компьютеры к ПК подходят от телефонов), несколько wifi c Multi SSID, несколько коммутаторов других производителей (POE) и несколько серверов. Идея: 1. Разделить отделы по VLAN с доступом к серверам без маршрутизации (вроде как Asymmetric VLAN). 2. Вынести Voip, также как и IP видеонаблюдение в отдельные VLAN (вроде как Voice VLAN). 3. Создать гостевую сеть в отдельном VLAN, которой доступен только шлюз (а он уже роутит куда надо и т.д.). Вопросы: 1. По faq на сайте dlink не совсем понятно можно использовать Asymmetric VLAN на нескольких коммутаторах и могут ли отделы могут быть разбросаны по разным коммутаторам? 2. Будет ли работать Voice VLAN совместно с Asymmetric VLAN? 3. Так как на шлюзе нужно разделять внутреннюю сеть от гостевой, то нужно отправлять на него данные тегированными. (шлюз - linux based). А так как для разделения отделов нужен Asymmetric VLAN, то будет ли это работать или нет? И как такое настроить если будет? Возможно есть еще какие нибудь моменты, которые я не учел... Вставить ник Quote
Ivan_83 Posted June 12, 2012 Posted June 12, 2012 Забудьте про ассиметрик влан, он работает только в пределах одного свича. На каждый влан свою сетку серых адресов. Вставить ник Quote
deevil Posted June 12, 2012 Author Posted June 12, 2012 первый лекго Вы это о Asymmetric VLAN? Ниже написали что Asymmetric VLAN работает в пределах одного свича. Кому верить? Делать отдельные вланы и раздельные сети - немного наклодно в плане управления, т.к. отделов около 10. Есть сервера к которым доступ нужен из всех отделов. На них получается нужно тагетами пробрасывать все vlan и делать вирт. сетевые? А в этом плане мы сильно завязаны на ПО/сетевые адаптеры (на некоторых серверах Windows)... Вставить ник Quote
martin74 Posted June 12, 2012 Posted June 12, 2012 сервера выносим в отдельную сеть, клиентов в другую... Кроме Л2 разделения - еще ж и Л3 можно задействовать... Вставить ник Quote
s.lobanov Posted June 12, 2012 Posted June 12, 2012 Есть сервера к которым доступ нужен из всех отделов. На них получается нужно тагетами пробрасывать все vlan и делать вирт. сетевые? А в этом плане мы сильно завязаны на ПО/сетевые адаптеры (на некоторых серверах Windows)... Либо покупаете L3-свитч/маршрутизатор, либо можно один любой сервер под это приспособить. Вставить ник Quote
deevil Posted June 12, 2012 Author Posted June 12, 2012 Кроме Л2 разделения - еще ж и Л3 можно задействовать... Под Л3 вы имеете ввиду на маршрутизатор? Как минимум есть 4 сервера на которые нужен доступ практически со всех вланов и желательно без маршрутизации (Сам маршрутизатор-линукс, сервер 1с-винда, файлопомойка-линукс, сервер с доп. сервисами-винда). Например ключ защиты 1с - ищется бродкастом и на Л3 он не будет определяться.... Либо покупаете L3-свитч/маршрутизатор, либо можно один любой сервер под это приспособить. А какие плюсы есть у L3 свитча перед маршрутизатором? Я вообще под L3 маршрутизацией правильно понимаю следующее: 1. на шлюз/маршрутизатор пробрасываются все вланы тагетом. 2. для каждого влана делается вирт. сетевая. 3. между вирт. сетевыми делается маршрутизация, экран и т.д. ? Вставить ник Quote
pppoetest Posted June 12, 2012 Posted June 12, 2012 (edited) Например ключ защиты 1с - ищется бродкастом и на Л3 он не будет определяться.... В конфиге клиента можно запретить броадкаст, юзать только тцп и указать ип:порт сервера менеджера лицензий Edited June 12, 2012 by pppoetest Вставить ник Quote
deevil Posted June 12, 2012 Author Posted June 12, 2012 В конфиге клиента можно запретить броадкаст, юзать только тцп и указать ип и порт сервера менеджера лицензий Да есть такое, но есть еще один момент: Весь 1с трафик (50-100 клиентов) пускать через маршрутизатор я думаю не эффективно... Вставить ник Quote
Ivan_83 Posted June 12, 2012 Posted June 12, 2012 Кому верить? Документации. Делать отдельные вланы и раздельные сети - немного наклодно в плане управления, т.к. отделов около 10. Есть сервера к которым доступ нужен из всех отделов. На них получается нужно тагетами пробрасывать все vlan и делать вирт. сетевые? А в этом плане мы сильно завязаны на ПО/сетевые адаптеры (на некоторых серверах Windows)... Читайте теорию. Разделяя на L2 вам нужно обеспечивать коммутацию(роутинг) на L3. Например ключ защиты 1с - ищется бродкастом и на Л3 он не будет определяться.... Либо прописать руками адрес сервера, либо заюзать терминальный доступ и там воткнуть ключ, либо выкинуть 1с нафик. Весь 1с трафик (50-100 клиентов) пускать через маршрутизатор я думаю не эффективно... L3 коммутатору пофик. Да не много у вас его там, прожуёт. Вставить ник Quote
martin74 Posted June 12, 2012 Posted June 12, 2012 целых 100 клиентов? Какой кошмар, конечно неэффективно. Маршрутизаторы - они в теплицах обычно работают, там на 100 маршрутизаторов 1 клиент приходится... 1с - в терминальном режиме? если в терминальном - то зачем клиенту ключ? Вставить ник Quote
deevil Posted June 12, 2012 Author Posted June 12, 2012 (edited) Документации т.е. не работает!? Разделяя на L2 вам нужно обеспечивать коммутацию(роутинг) на L3. Ну есть еще как минимум 2 варианта. Trafic Segmentation и прокинуть сервера во все vlan. Просто на практике не знаю что лучше... либо выкинуть 1с нафик. Конструктивно)))) L3 коммутатору пофик. Да не много у вас его там, прожуёт. Какой посоветуете? Прожует имеете ввиду маршрутизатор? 1с - в терминальном режиме? если в терминальном - то зачем клиенту ключ? Пополам. Но тенденция на уход с терминальника... Ну ведь получается что доступ к системе сильно зависит от канала (в моменты сложных запросов). А тут еще получается надо маршрутизировать еще и видеонаблюдение (мониторинг камер от сервера до пользователя). Плюс прочие сервисы... Поэтому есть узкое звено в маршрутизаторе с его пусть и гигабитом в локалку... Edited June 12, 2012 by deevil Вставить ник Quote
erlink2011 Posted June 12, 2012 Posted June 12, 2012 (edited) Забудьте про ассиметрик влан, он работает только в пределах одного свича. Мы вроде собирали нечто подобное на DES 2108 /B1 2 DES к каждому подключено по 2 компа каждый комп в своем vlan при этом есть доступ на 1 шлюз DIR 412, который в ассиметричной vlan 1 vlan на 2 свитча в этом случае мы разбрасывали Edited June 12, 2012 by erlink2011 Вставить ник Quote
mukca Posted June 13, 2012 Posted June 13, 2012 Идея: 1. Разделить отделы по VLAN с доступом к серверам без маршрутизации (вроде как Asymmetric VLAN). 2. Вынести Voip, также как и IP видеонаблюдение в отдельные VLAN (вроде как Voice VLAN). 3. Создать гостевую сеть в отдельном VLAN, которой доступен только шлюз (а он уже роутит куда надо и т.д.). 1. поставить L3 свитч и настроит маршрутизацию (ну и правила ACL как надо) 2. Если ваши смарт железки умеют войс влан. IP видеокамеры без проблем 3. пункт 1 + правила на шлюзе в интернет Вставить ник Quote
Ivan_83 Posted June 14, 2012 Posted June 14, 2012 Мы вроде собирали нечто подобное на DES 2108 /B1 В ограниченных случаях может работать. Нужно понимать суть технологии чтобы не наступить на грабли вдруг. Вставить ник Quote
erlink2011 Posted June 14, 2012 Posted June 14, 2012 В ограниченных случаях может работать. Например каких именно Вставить ник Quote
deevil Posted June 14, 2012 Author Posted June 14, 2012 1. поставить L3 свитч и настроит маршрутизацию (ну и правила ACL как надо) А что если роль L3 свитча будет выполнять linux based маршрутизатор? Какие плюсы-минусы? Вставить ник Quote
mukca Posted June 15, 2012 Posted June 15, 2012 А что если роль L3 свитча будет выполнять linux based маршрутизатор? Какие плюсы-минусы? минусы производительность количество гигабитных портов глючность габариты сложность настройки плюсы мона почти все что угодно делать... Вставить ник Quote
deevil Posted June 15, 2012 Author Posted June 15, 2012 Спасибо. Понял... Какой L3 свитч порекомендуете?))) Вставить ник Quote
NiTr0 Posted June 15, 2012 Posted June 15, 2012 минусы производительность 10 гбит какой-то i5 пережует не напрягаясь, если без фанатизма с iptables количество гигабитных портов 4x pci-e x4/x8/x16 (а есть и больше на платах, до 8) * 4x1000BaseTX порта на сетевухах = 16 портов. Хотя сомневаюсь, что кому-то будет сильно нужно более 8 портов (по 4 в транк на л2 свичи) глючность Прямо зависит от кривизны рук настраивающего. У нас на некоторых роутерах аптайм в полгода-год, ребуты чаще всего по питанию. Хотя на брасах в последнее время замечены утечки памяти (раз в несколько месяцев приходится ребутить), впрочем, обновление ядра должно это пофиксить (на тестовом тазике, куда собрал дистр с новым ядром и влепил в него kmemleak заодно, утечки памяти почему-то волшебным образом прекратились). габариты Можно и в 1U упихать, и даже при везучести - с 8 портами или даже 12 (райзер с двумя-тремя слотами если будет, вроде такое у супермикро видел). Вставить ник Quote
Ilya Evseev Posted June 15, 2012 Posted June 15, 2012 Какой L3 свитч порекомендуете?))) Сильно зависит от фактических нагрузок, присутствия вирусов и т.д. Не исключено, что окажется достаточно даже софтового Mikrotik RB/1100AHx2 за 17т.р. или 100-мегабитного DES-3810-28 за 19т.р. Из более серьёзного можете посмотреть либо на подержанный за 65т.р - http://shop.nag.ru/catalog/00001.Kommutatory/02392.Cisco/02987.WS-C3560G-24TS-S либо на новый за 97т.р. - http://www.senetsy.ru/products/juniper/switches/ex3200_ex4200/#platforms/ex3200-24 Вставить ник Quote
Ivan_83 Posted June 15, 2012 Posted June 15, 2012 Например каких именно Подробностей уже не помню. Читал относительно давно, понял что смысла связываться нет. У длинка есть супервланы для примерно таких целей. Но лучше оставить в покое л2 сегменты и соединять по л3: это просто, понятно, куча вариантов реализации, вылизанное решение, и просто дебажить. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.