Для работы досталась сеть 192.168.0.0/22, порядка 12 Hyper-V серверов( 50 вирутальных), около 40 IP телефонов, 20 IP камер, 150 компьютеров. Все это находится в одной сети, никак не разделено на VLAN. Имеем несколько Zyxel 2200-48 - 4 шт. Так же Mikrotik. Порядка 5-8 хабов на 16 портов. DHCP и DNS MS Windows.
Серверную комнату я перекоммутирвоать могу, а вот перетянуть провода по всему производству точно нет. Провода на камеры и телефоны с компьютерами не промаркированы. Отделить сервера от всей локальной сети(возможно даже разделить Hyper-V от Virtual Machine, Hyper-V Gateway?)
так же хотелось бы отделить трафик IP от компьютеров, и камеры конечно в отдельный VLAN. OSPF Zyxel не поддерживает.
Хотелось бы что-то сделать теггирование, чтобы кадр метился в зависимости от подсети на первом возможном управляемом коммутаторе. Так же блок чужих MAC адресов, хватает деятелей со своими девайсами.
Кароч Хаос и только, надо привести в порядок. Подскажите как можно обойтись без глобальной перетяжки линий, а сделать хотя "головную" часть нормальной.
Smithson: Конечная цель уйти от петли в дальнем цехе, и глючит вся сеть. Кто работает с камерами нечего им обозревать всю сеть. Оборудования много хочется broadcast уменьшить, чтобы по всей сети не спамило. Закрыть возможность любого сетевого взаимодействия серверов обслуживания, которые никак не связаны с работой каждого пользователя. Закрыть доступ с устройств которые не получили одобрение(MAC адрес), есть любители забраться в дальний угол воткнуть свой ноутбук и пользоваться просто интернетом. В общем вопрос запретов, секьюрности, уменьшение нагрузки на всю сеть.
Вы сами же ответили на свой вопрос - VLANы. Начните с обычной схемы сети: что сейчас и что хотите. И зачем глобальная перетяжка? Сделайте мониторинг сетевого оборудования.
Олег П: Какой VLAN выбрать? если я не знаю какие куда хвостики приходят к управляемым свитчам, допустим приходит 10 компьютеров,5 камер, и еще 10 компьютеров только 1 хвост а за ним хаб стоит на 16 портов.
Как и советуют выше начинаете составлять физическую схему сети, для этого отсматриваете таблицу mac адресов на коммутаторах, сопоставляете mac адреса с ip, для этого сканируете сеть чем-то вроде advanced ip scanner. Для полноты и красоты, порты подписываете. После составления физической схемы начинаете планировать логическую, придумываете адресацию сетей для разных vlan, сами вланы. Маршрутизацию м/у влнами, в принципе, можно возложить на микротик, т. к. зухель в нее не умеет. Для защиты от незваных гостей включите и настройте dhcp-snooping, port-security, ip source guard и потушите не используемые порты.
Схема сети рисуется. Маршрутизацию между VLAN возложу на коммутатор. Ранее строит только port based VLAN, в данном случае схема не прокатит, так как везде оборудование может быть подключено в разные порты(камеры, телефония и прочие). Хотелось бы что-то тегированное. Вот здесь небольшой провал в знаниях, куда копать?
Ну, что-то тегированное у вас это аплинки коммутаторов, порт к маршрутизатору и к виртуалкам. Другие порты тегированными не сделаете, по причине тупых свичей (не думаю, что у вас там хабы, которые транслируют все, во все порты), т. к. они отбросят тегированный фрейм как поврежденный, из-за метки vlan (хотя некторорые могут и пропустить, тут как повезет) , да и не все конечные устройства позволяют настроить vlan у себя на интерфейсе. Поэтому, если хотите все это причесать и действительно сегментировать сеть, то либо заменяйте тупые свичи, на что-то что сможет в vlan, либо группируйте и подключайте определенные устройства, в определенные свичи, типа камеры все в одном свиче, офисные компьютеры в другом, телефоны в третьем (имеются ввиду тупые свичи).
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
