deevil Опубликовано 11 июня, 2012 · Жалоба Имеется корпоративная сеть. Состоит из DGS-1210-24, DES-1210-52 и кучи DES-1210-28. Также есть IP телефония (компьютеры к ПК подходят от телефонов), несколько wifi c Multi SSID, несколько коммутаторов других производителей (POE) и несколько серверов. Идея: 1. Разделить отделы по VLAN с доступом к серверам без маршрутизации (вроде как Asymmetric VLAN). 2. Вынести Voip, также как и IP видеонаблюдение в отдельные VLAN (вроде как Voice VLAN). 3. Создать гостевую сеть в отдельном VLAN, которой доступен только шлюз (а он уже роутит куда надо и т.д.). Вопросы: 1. По faq на сайте dlink не совсем понятно можно использовать Asymmetric VLAN на нескольких коммутаторах и могут ли отделы могут быть разбросаны по разным коммутаторам? 2. Будет ли работать Voice VLAN совместно с Asymmetric VLAN? 3. Так как на шлюзе нужно разделять внутреннюю сеть от гостевой, то нужно отправлять на него данные тегированными. (шлюз - linux based). А так как для разделения отделов нужен Asymmetric VLAN, то будет ли это работать или нет? И как такое настроить если будет? Возможно есть еще какие нибудь моменты, которые я не учел... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
little Опубликовано 12 июня, 2012 · Жалоба первый лекго Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 12 июня, 2012 · Жалоба Забудьте про ассиметрик влан, он работает только в пределах одного свича. На каждый влан свою сетку серых адресов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
deevil Опубликовано 12 июня, 2012 · Жалоба первый лекго Вы это о Asymmetric VLAN? Ниже написали что Asymmetric VLAN работает в пределах одного свича. Кому верить? Делать отдельные вланы и раздельные сети - немного наклодно в плане управления, т.к. отделов около 10. Есть сервера к которым доступ нужен из всех отделов. На них получается нужно тагетами пробрасывать все vlan и делать вирт. сетевые? А в этом плане мы сильно завязаны на ПО/сетевые адаптеры (на некоторых серверах Windows)... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 12 июня, 2012 · Жалоба сервера выносим в отдельную сеть, клиентов в другую... Кроме Л2 разделения - еще ж и Л3 можно задействовать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 12 июня, 2012 · Жалоба Есть сервера к которым доступ нужен из всех отделов. На них получается нужно тагетами пробрасывать все vlan и делать вирт. сетевые? А в этом плане мы сильно завязаны на ПО/сетевые адаптеры (на некоторых серверах Windows)... Либо покупаете L3-свитч/маршрутизатор, либо можно один любой сервер под это приспособить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
deevil Опубликовано 12 июня, 2012 · Жалоба Кроме Л2 разделения - еще ж и Л3 можно задействовать... Под Л3 вы имеете ввиду на маршрутизатор? Как минимум есть 4 сервера на которые нужен доступ практически со всех вланов и желательно без маршрутизации (Сам маршрутизатор-линукс, сервер 1с-винда, файлопомойка-линукс, сервер с доп. сервисами-винда). Например ключ защиты 1с - ищется бродкастом и на Л3 он не будет определяться.... Либо покупаете L3-свитч/маршрутизатор, либо можно один любой сервер под это приспособить. А какие плюсы есть у L3 свитча перед маршрутизатором? Я вообще под L3 маршрутизацией правильно понимаю следующее: 1. на шлюз/маршрутизатор пробрасываются все вланы тагетом. 2. для каждого влана делается вирт. сетевая. 3. между вирт. сетевыми делается маршрутизация, экран и т.д. ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 12 июня, 2012 (изменено) · Жалоба Например ключ защиты 1с - ищется бродкастом и на Л3 он не будет определяться.... В конфиге клиента можно запретить броадкаст, юзать только тцп и указать ип:порт сервера менеджера лицензий Изменено 12 июня, 2012 пользователем pppoetest Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
deevil Опубликовано 12 июня, 2012 · Жалоба В конфиге клиента можно запретить броадкаст, юзать только тцп и указать ип и порт сервера менеджера лицензий Да есть такое, но есть еще один момент: Весь 1с трафик (50-100 клиентов) пускать через маршрутизатор я думаю не эффективно... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 12 июня, 2012 · Жалоба Кому верить? Документации. Делать отдельные вланы и раздельные сети - немного наклодно в плане управления, т.к. отделов около 10. Есть сервера к которым доступ нужен из всех отделов. На них получается нужно тагетами пробрасывать все vlan и делать вирт. сетевые? А в этом плане мы сильно завязаны на ПО/сетевые адаптеры (на некоторых серверах Windows)... Читайте теорию. Разделяя на L2 вам нужно обеспечивать коммутацию(роутинг) на L3. Например ключ защиты 1с - ищется бродкастом и на Л3 он не будет определяться.... Либо прописать руками адрес сервера, либо заюзать терминальный доступ и там воткнуть ключ, либо выкинуть 1с нафик. Весь 1с трафик (50-100 клиентов) пускать через маршрутизатор я думаю не эффективно... L3 коммутатору пофик. Да не много у вас его там, прожуёт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 12 июня, 2012 · Жалоба целых 100 клиентов? Какой кошмар, конечно неэффективно. Маршрутизаторы - они в теплицах обычно работают, там на 100 маршрутизаторов 1 клиент приходится... 1с - в терминальном режиме? если в терминальном - то зачем клиенту ключ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
deevil Опубликовано 12 июня, 2012 (изменено) · Жалоба Документации т.е. не работает!? Разделяя на L2 вам нужно обеспечивать коммутацию(роутинг) на L3. Ну есть еще как минимум 2 варианта. Trafic Segmentation и прокинуть сервера во все vlan. Просто на практике не знаю что лучше... либо выкинуть 1с нафик. Конструктивно)))) L3 коммутатору пофик. Да не много у вас его там, прожуёт. Какой посоветуете? Прожует имеете ввиду маршрутизатор? 1с - в терминальном режиме? если в терминальном - то зачем клиенту ключ? Пополам. Но тенденция на уход с терминальника... Ну ведь получается что доступ к системе сильно зависит от канала (в моменты сложных запросов). А тут еще получается надо маршрутизировать еще и видеонаблюдение (мониторинг камер от сервера до пользователя). Плюс прочие сервисы... Поэтому есть узкое звено в маршрутизаторе с его пусть и гигабитом в локалку... Изменено 12 июня, 2012 пользователем deevil Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
erlink2011 Опубликовано 12 июня, 2012 (изменено) · Жалоба Забудьте про ассиметрик влан, он работает только в пределах одного свича. Мы вроде собирали нечто подобное на DES 2108 /B1 2 DES к каждому подключено по 2 компа каждый комп в своем vlan при этом есть доступ на 1 шлюз DIR 412, который в ассиметричной vlan 1 vlan на 2 свитча в этом случае мы разбрасывали Изменено 12 июня, 2012 пользователем erlink2011 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 13 июня, 2012 · Жалоба Идея: 1. Разделить отделы по VLAN с доступом к серверам без маршрутизации (вроде как Asymmetric VLAN). 2. Вынести Voip, также как и IP видеонаблюдение в отдельные VLAN (вроде как Voice VLAN). 3. Создать гостевую сеть в отдельном VLAN, которой доступен только шлюз (а он уже роутит куда надо и т.д.). 1. поставить L3 свитч и настроит маршрутизацию (ну и правила ACL как надо) 2. Если ваши смарт железки умеют войс влан. IP видеокамеры без проблем 3. пункт 1 + правила на шлюзе в интернет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 14 июня, 2012 · Жалоба Мы вроде собирали нечто подобное на DES 2108 /B1 В ограниченных случаях может работать. Нужно понимать суть технологии чтобы не наступить на грабли вдруг. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
erlink2011 Опубликовано 14 июня, 2012 · Жалоба В ограниченных случаях может работать. Например каких именно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
deevil Опубликовано 14 июня, 2012 · Жалоба 1. поставить L3 свитч и настроит маршрутизацию (ну и правила ACL как надо) А что если роль L3 свитча будет выполнять linux based маршрутизатор? Какие плюсы-минусы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 15 июня, 2012 · Жалоба А что если роль L3 свитча будет выполнять linux based маршрутизатор? Какие плюсы-минусы? минусы производительность количество гигабитных портов глючность габариты сложность настройки плюсы мона почти все что угодно делать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
deevil Опубликовано 15 июня, 2012 · Жалоба Спасибо. Понял... Какой L3 свитч порекомендуете?))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 15 июня, 2012 · Жалоба минусы производительность 10 гбит какой-то i5 пережует не напрягаясь, если без фанатизма с iptables количество гигабитных портов 4x pci-e x4/x8/x16 (а есть и больше на платах, до 8) * 4x1000BaseTX порта на сетевухах = 16 портов. Хотя сомневаюсь, что кому-то будет сильно нужно более 8 портов (по 4 в транк на л2 свичи) глючность Прямо зависит от кривизны рук настраивающего. У нас на некоторых роутерах аптайм в полгода-год, ребуты чаще всего по питанию. Хотя на брасах в последнее время замечены утечки памяти (раз в несколько месяцев приходится ребутить), впрочем, обновление ядра должно это пофиксить (на тестовом тазике, куда собрал дистр с новым ядром и влепил в него kmemleak заодно, утечки памяти почему-то волшебным образом прекратились). габариты Можно и в 1U упихать, и даже при везучести - с 8 портами или даже 12 (райзер с двумя-тремя слотами если будет, вроде такое у супермикро видел). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 15 июня, 2012 · Жалоба Какой L3 свитч порекомендуете?))) Сильно зависит от фактических нагрузок, присутствия вирусов и т.д. Не исключено, что окажется достаточно даже софтового Mikrotik RB/1100AHx2 за 17т.р. или 100-мегабитного DES-3810-28 за 19т.р. Из более серьёзного можете посмотреть либо на подержанный за 65т.р - http://shop.nag.ru/catalog/00001.Kommutatory/02392.Cisco/02987.WS-C3560G-24TS-S либо на новый за 97т.р. - http://www.senetsy.ru/products/juniper/switches/ex3200_ex4200/#platforms/ex3200-24 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 15 июня, 2012 · Жалоба Например каких именно Подробностей уже не помню. Читал относительно давно, понял что смысла связываться нет. У длинка есть супервланы для примерно таких целей. Но лучше оставить в покое л2 сегменты и соединять по л3: это просто, понятно, куча вариантов реализации, вылизанное решение, и просто дебажить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...