Jump to content
Калькуляторы

Корпоративная сеть и VLAN

Имеется корпоративная сеть.

Состоит из DGS-1210-24, DES-1210-52 и кучи DES-1210-28.

Также есть IP телефония (компьютеры к ПК подходят от телефонов), несколько wifi c Multi SSID, несколько коммутаторов других производителей (POE) и несколько серверов.

 

Идея:

1. Разделить отделы по VLAN с доступом к серверам без маршрутизации (вроде как Asymmetric VLAN).

2. Вынести Voip, также как и IP видеонаблюдение в отдельные VLAN (вроде как Voice VLAN).

3. Создать гостевую сеть в отдельном VLAN, которой доступен только шлюз (а он уже роутит куда надо и т.д.).

 

Вопросы:

1. По faq на сайте dlink не совсем понятно можно использовать Asymmetric VLAN на нескольких коммутаторах и могут ли отделы могут быть разбросаны по разным коммутаторам?

2. Будет ли работать Voice VLAN совместно с Asymmetric VLAN?

3. Так как на шлюзе нужно разделять внутреннюю сеть от гостевой, то нужно отправлять на него данные тегированными. (шлюз - linux based). А так как для разделения отделов нужен Asymmetric VLAN, то будет ли это работать или нет? И как такое настроить если будет?

 

Возможно есть еще какие нибудь моменты, которые я не учел...

Share this post


Link to post
Share on other sites

Забудьте про ассиметрик влан, он работает только в пределах одного свича.

На каждый влан свою сетку серых адресов.

Share this post


Link to post
Share on other sites

первый лекго

Вы это о Asymmetric VLAN?

Ниже написали что Asymmetric VLAN работает в пределах одного свича.

Кому верить?

 

 

Делать отдельные вланы и раздельные сети - немного наклодно в плане управления, т.к. отделов около 10.

Есть сервера к которым доступ нужен из всех отделов.

На них получается нужно тагетами пробрасывать все vlan и делать вирт. сетевые?

А в этом плане мы сильно завязаны на ПО/сетевые адаптеры (на некоторых серверах Windows)...

Share this post


Link to post
Share on other sites

сервера выносим в отдельную сеть, клиентов в другую... Кроме Л2 разделения - еще ж и Л3 можно задействовать...

Share this post


Link to post
Share on other sites

Есть сервера к которым доступ нужен из всех отделов.

На них получается нужно тагетами пробрасывать все vlan и делать вирт. сетевые?

А в этом плане мы сильно завязаны на ПО/сетевые адаптеры (на некоторых серверах Windows)...

 

Либо покупаете L3-свитч/маршрутизатор, либо можно один любой сервер под это приспособить.

Share this post


Link to post
Share on other sites

Кроме Л2 разделения - еще ж и Л3 можно задействовать...

Под Л3 вы имеете ввиду на маршрутизатор?

Как минимум есть 4 сервера на которые нужен доступ практически со всех вланов и желательно без маршрутизации (Сам маршрутизатор-линукс, сервер 1с-винда, файлопомойка-линукс, сервер с доп. сервисами-винда).

Например ключ защиты 1с - ищется бродкастом и на Л3 он не будет определяться....

 

 

Либо покупаете L3-свитч/маршрутизатор, либо можно один любой сервер под это приспособить.

А какие плюсы есть у L3 свитча перед маршрутизатором?

 

Я вообще под L3 маршрутизацией правильно понимаю следующее:

1. на шлюз/маршрутизатор пробрасываются все вланы тагетом.

2. для каждого влана делается вирт. сетевая.

3. между вирт. сетевыми делается маршрутизация, экран и т.д.

?

Share this post


Link to post
Share on other sites

Например ключ защиты 1с - ищется бродкастом и на Л3 он не будет определяться....

В конфиге клиента можно запретить броадкаст, юзать только тцп и указать ип:порт сервера менеджера лицензий

Edited by pppoetest

Share this post


Link to post
Share on other sites

В конфиге клиента можно запретить броадкаст, юзать только тцп и указать ип и порт сервера менеджера лицензий

Да есть такое, но есть еще один момент:

Весь 1с трафик (50-100 клиентов) пускать через маршрутизатор я думаю не эффективно...

Share this post


Link to post
Share on other sites
Кому верить?

Документации.

 

Делать отдельные вланы и раздельные сети - немного наклодно в плане управления, т.к. отделов около 10. Есть сервера к которым доступ нужен из всех отделов. На них получается нужно тагетами пробрасывать все vlan и делать вирт. сетевые? А в этом плане мы сильно завязаны на ПО/сетевые адаптеры (на некоторых серверах Windows)...

Читайте теорию.

Разделяя на L2 вам нужно обеспечивать коммутацию(роутинг) на L3.

 

Например ключ защиты 1с - ищется бродкастом и на Л3 он не будет определяться....

Либо прописать руками адрес сервера, либо заюзать терминальный доступ и там воткнуть ключ, либо выкинуть 1с нафик.

 

Весь 1с трафик (50-100 клиентов) пускать через маршрутизатор я думаю не эффективно...

L3 коммутатору пофик.

Да не много у вас его там, прожуёт.

Share this post


Link to post
Share on other sites

целых 100 клиентов? Какой кошмар, конечно неэффективно. Маршрутизаторы - они в теплицах обычно работают, там на 100 маршрутизаторов 1 клиент приходится...

 

1с - в терминальном режиме? если в терминальном - то зачем клиенту ключ?

Share this post


Link to post
Share on other sites

Документации

т.е. не работает!?

 

Разделяя на L2 вам нужно обеспечивать коммутацию(роутинг) на L3.

Ну есть еще как минимум 2 варианта.

Trafic Segmentation и прокинуть сервера во все vlan.

Просто на практике не знаю что лучше...

 

либо выкинуть 1с нафик.

Конструктивно))))

 

L3 коммутатору пофик.

Да не много у вас его там, прожуёт.

Какой посоветуете?

Прожует имеете ввиду маршрутизатор?

 

 

1с - в терминальном режиме? если в терминальном - то зачем клиенту ключ?

Пополам. Но тенденция на уход с терминальника...

 

Ну ведь получается что доступ к системе сильно зависит от канала (в моменты сложных запросов).

А тут еще получается надо маршрутизировать еще и видеонаблюдение (мониторинг камер от сервера до пользователя).

Плюс прочие сервисы...

Поэтому есть узкое звено в маршрутизаторе с его пусть и гигабитом в локалку...

Edited by deevil

Share this post


Link to post
Share on other sites

Забудьте про ассиметрик влан, он работает только в пределах одного свича.

 

Мы вроде собирали нечто подобное на DES 2108 /B1

 

 

2 DES к каждому подключено по 2 компа каждый комп в своем vlan

при этом есть доступ на 1 шлюз DIR 412, который в ассиметричной vlan

 

1 vlan на 2 свитча в этом случае мы разбрасывали

Edited by erlink2011

Share this post


Link to post
Share on other sites
Идея:

1. Разделить отделы по VLAN с доступом к серверам без маршрутизации (вроде как Asymmetric VLAN).

2. Вынести Voip, также как и IP видеонаблюдение в отдельные VLAN (вроде как Voice VLAN).

3. Создать гостевую сеть в отдельном VLAN, которой доступен только шлюз (а он уже роутит куда надо и т.д.).

1. поставить L3 свитч и настроит маршрутизацию (ну и правила ACL как надо)

2. Если ваши смарт железки умеют войс влан. IP видеокамеры без проблем

3. пункт 1 + правила на шлюзе в интернет

Share this post


Link to post
Share on other sites
Мы вроде собирали нечто подобное на DES 2108 /B1

В ограниченных случаях может работать.

Нужно понимать суть технологии чтобы не наступить на грабли вдруг.

Share this post


Link to post
Share on other sites

В ограниченных случаях может работать.

 

Например каких именно

Share this post


Link to post
Share on other sites

1. поставить L3 свитч и настроит маршрутизацию (ну и правила ACL как надо)

А что если роль L3 свитча будет выполнять linux based маршрутизатор?

Какие плюсы-минусы?

Share this post


Link to post
Share on other sites
А что если роль L3 свитча будет выполнять linux based маршрутизатор?

Какие плюсы-минусы?

минусы производительность количество гигабитных портов глючность габариты сложность настройки

плюсы мона почти все что угодно делать...

Share this post


Link to post
Share on other sites

Спасибо. Понял...

 

Какой L3 свитч порекомендуете?)))

Share this post


Link to post
Share on other sites

минусы производительность

10 гбит какой-то i5 пережует не напрягаясь, если без фанатизма с iptables

 

количество гигабитных портов

4x pci-e x4/x8/x16 (а есть и больше на платах, до 8) * 4x1000BaseTX порта на сетевухах = 16 портов. Хотя сомневаюсь, что кому-то будет сильно нужно более 8 портов (по 4 в транк на л2 свичи)

 

глючность

Прямо зависит от кривизны рук настраивающего. У нас на некоторых роутерах аптайм в полгода-год, ребуты чаще всего по питанию. Хотя на брасах в последнее время замечены утечки памяти (раз в несколько месяцев приходится ребутить), впрочем, обновление ядра должно это пофиксить (на тестовом тазике, куда собрал дистр с новым ядром и влепил в него kmemleak заодно, утечки памяти почему-то волшебным образом прекратились).

 

габариты

Можно и в 1U упихать, и даже при везучести - с 8 портами или даже 12 (райзер с двумя-тремя слотами если будет, вроде такое у супермикро видел).

Share this post


Link to post
Share on other sites

Какой L3 свитч порекомендуете?)))

Сильно зависит от фактических нагрузок, присутствия вирусов и т.д.

Не исключено, что окажется достаточно даже софтового Mikrotik RB/1100AHx2 за 17т.р.

или 100-мегабитного DES-3810-28 за 19т.р.

 

Из более серьёзного можете посмотреть либо на подержанный за 65т.р - http://shop.nag.ru/catalog/00001.Kommutatory/02392.Cisco/02987.WS-C3560G-24TS-S

либо на новый за 97т.р. - http://www.senetsy.ru/products/juniper/switches/ex3200_ex4200/#platforms/ex3200-24

Share this post


Link to post
Share on other sites
Например каких именно

Подробностей уже не помню. Читал относительно давно, понял что смысла связываться нет.

У длинка есть супервланы для примерно таких целей.

Но лучше оставить в покое л2 сегменты и соединять по л3: это просто, понятно, куча вариантов реализации, вылизанное решение, и просто дебажить.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this