Как избежать широковещательного трафика в сети?

Question

[Андрей .]

Здравствуйте имеется управляемый коммутатор 2 уровня и mikrotik в качестве шлюза. Нужно ограничить друг от друга сеть с пк и принтерами, сеть с камерами и сеть с телефонией. Телефоны ip-шные имеющие двойной порт (VLAN`ами разграничить уже не получится, так как пк и телефон воткнуты в 1 порт). Как избежать широковещательного трафика в данном случае и как правильнее разграничить сети?

Comments

[Strabbo]

коммутатор какой?

[Андрей .]

Strabbo, DES-1210-52/ME

[Андрей .]

Дмитрий, в коммутаторе они воткнуты в 1 порт

[vreitech]

Андрей ., обычно это не проблема, если телефон умеет VLAN.

[Андрей .]

Филипп, Layer 2 QoS 802.1Q/VLAN Tag действительно есть, тогда проблема видимо решена, пойду пробовать

Answer 1

[d-stream]

Я бы начал с вопроса - а насколько велик этот широковещательный трафик, что с ним надо бороться? )

А так - да:
телефоны в отдельный vlan (как правило двухпортовые умеют разделять тегированный трафик на "для себя" и "для подключенного следом девайса")
принтеры в отдельный vlan (или даже vlan'ы) и доступ к ним только серверу печати, а пользовательским устройствам - доступ только к серверу печати.
Исключение - МФУ, которые используются как сканеры.

Comments

[Андрей .]

телефония порядка 30 телефонов + камеры 10 шт и всё это постепенно разрастается

[d-stream]

Андрей ., Ну количество совсем не устрашающее. Будь там еще по нолику в количествах...

А так, подготовка "на вырост" - правильное дело.

Камеры, кстати, тоже в отдельную подсеть.

Но я бы уже призадумался в сторону L3 коммутаторов.

[Griboks]

d-stream, я бы задумался в сторону маршрутизаторов, суть которых есть ограничение широковещательного трафика.

[d-stream]

Griboks, Только моментик есть между L2+|L3 коммутаторами и маршрутизаторами - что помимо умения дропать часть широковещательного трафика еще умеют маршрутизировать (простенько) пакеты со скоростью коммутации. Что зачастую критично. Особенно если маршрутизация требуется между массивными сегментами. Например юзеры-серверы-печать-копирование.

[Станислав Бодро́в]

Griboks,

я бы задумался в сторону маршрутизаторов, суть которых есть ограничение широковещательного трафика

Акститесь. Это их побочное качество. Широковещательный расколбас суть проявления канального уровня к коему маршрутизатор не имеет никакого отношения, он работает на сетевом. Суть работы маршрутизатора - выбор пути в сети, по которой будет отправляться сетевой трафик.

[d-stream]

Станислав Бодро́в, я бы даже добавил, что широковещание не всё и не всегда зло.

[Griboks]

Станислав Бодро́в, так а зачем путь то выбирать? Пустил во все стороны и в ус не дуешь, 100% дойдёт до получателя, ещё и мощности в десять раз меньше потреблять будешь.

[d-stream]

Griboks,

так а зачем путь то выбирать? Пустил во все стороны и в ус не дуешь, 100% дойдёт до получателя, ещё и мощности в десять раз меньше потреблять будешь.

сдуру можно и хрен сломать)
Но к примеру принтеры HP исключительно широковещательно докладывают о себе.

Притом Станислав Бодро́в говорит о несколько ином.

Answer 2

[Станислав Бодро́в]

С помощью активного коммутатора с поддержкой L3, если с бюджетом повезёт взять маршрутизатор, разнести всё по разным подсетям: телефония отдельно с её безобразием по UDP; наблюдение отдельно; бухгалтерия с её банклиентами и отчётностью отдельно (тут безопасность); можно разнести некоторые отделы по личному усмотрению. Помимо разограничения потоков сетевого трафика получаешь удобство в в локализации некоторых проблем и бонус в безопасности.
Разограничение по широковещательным доменам лучше делать по уму, разнеся домены по разным подсетям, а не VLAN-ам. Потому как VLAN (802.1q) не более чем костыль, работающий на канальном уровне

С его заморочками tag и access.
Если будешь покупать маршрутизатор, бери лучше железный (хардовый), а не программный (софтовый) всякие Микротики и *-линки. Программные при нагрузках начинают хорошо сдавать. В качестве примера самая простая модель (без VPN, DMZ) модель Cisco-ASA 55** (** модель в зависимости от скорости и количества портов).

Comments

[d-stream]

Вообще-то при правильном приготовлении - vlan - отличная замена отдельным изолированным кабельным сетям)

осталось человечку восьмитонник на офис с полсотней рабочих мест порекомендовать )))

[Станислав Бодро́в]

Вообще-то при правильном приготовлении - vlan - отличная замена отдельным изолированным кабельным сетям

Как с маршрутизацией, балансировкой и отказоустойчивостью на канальном уровне? Если какой-нибудь бедолага петлю по запаркам или не знанию сварганил? Каким способами можно выполнять фильтрацию, приоретизацию трафика? Если иерархию надо реализовать?
Изолированные кабельные сети - прежде всего физика. Её наебать с помощью логических изголений дохлый номер. Если есть шина, то никакими правилами и подходами из неё звезду не сделать (то что вроде пытаются сделать с помощью коммутаторов). Сколько бы vlan-ов не было на интерфейсе, обрабатываться трафик со скоростью физического интерфейса.
Когда дело доходит до безопасности. Нормальной, а не тряпочной. Тогда за заикания про vlan можно огрести неслабый батхёрт. Был свидетелем, когда админу пришлось всю инфраструктуру начать перелопачивать из-за требований безопасности.

осталось человечку восьмитонник на офис с полсотней рабочих мест порекомендовать

Даже шеститонник не нужен. Для таких целей используют мэйнфреймы с кучей сетевых интерфейсов.Вот и вот по цене не сильно ушли от управляемых коммутаторов. А для разделения по сетям и небольшой обработки трафика больше и не надо.