Какую конфигурацию выбрать для построения сети?

Question

[denn]

Здравствуйте. Наконец-то получил долгожданное оборудование. Теперь сижу ломаю голову с конфигурацией сети.
Изначально я планировал вот так:
Роутер микротик RB3011 раздает провайдера РТК. У данного роутера айпи 10.0.1.2
К данному роутеру подключены устройства с айпи:

1. Коммутатор CRS328 10.0.1.3
   
2. Active Directory сервер поднятый на Linux 10.0.1.4
   
3. VoIP Asterisk сервер 10.0.1.5
   
4. Маленький web сервер на Linux 10.0.1.6
   
5. NAS хранилище 10.0.1.7
   

Затем к коммутатору CRS328 подключаются точки доступа hAP ac2 для раздачи вай фая клиентам.
Клиенты через вай фай получают айпи 10.0.2.*. Данные же клиенты должны видеть оборудование, подключенное к роутеру RB3011.
Так же, есть и вай фай принтеры. Принтеры будут подключаться тоже к этим точкам. У них айпи уже 10.0.3.*. Клиенты тоже должны их видеть и подключаться к ним.
Айпи телефоны будут уже с айпи 10.0.4.*. Для этого скорее всего будет приобретен отдельный коммутатор. Пока не решил как буду телефонию развивать.

Но мне сказали слишком я замудрил с этими разделениями айпи. Якобы можно пойти легким путем, чтобы все устройства получали айпи с роутера RB3011. А коммутатор CRS328 чтобы просто работал в режиме моста и раздавал PoE точкам.

И встал вопрос. Как поступить?


Вообщем решил не мудрить и все пустить бриджем. Но теперь вопрос встал с капсманом. Где лучше поставить контролер? На коммутаторе или на роутере?

Comments

[hint000]

мне сказали слишком я замудрил

Правильно вам сказали.

[denn]

hint000, в таком случае capsman надо настраивать на роутере?

[hint000]

denn, одно не зависит от другого. Можно не мудрить с адресами, но при этом capsman размещать где угодно.

[Akina]

Роутер микротик RB3011 раздает провайдера РТК. У данного роутера айпи 10.0.1.2
...
Затем к коммутатору CRS328 подключаются точки доступа hAP ac2 для раздачи вай фая клиентам.
Клиенты через вай фай получают айпи 10.0.2.*. Данные же клиенты должны видеть оборудование, подключенное к роутеру RB3011.

Маску типа угадайте сами, да? Если она /22 или шире - то все эти узлы уже будут в одной подсети.

PS. Какой смысл брать такую широкую сеть, если количество узлов даже всех вместе - менее двух десятков?

[denn]

Akina, сорян. маска 24 у всех.
Да, я и сам начал задаваться таким вопросом.

[Ивор Барханский]

Akina, есть такая штука - "навырост". Мои предшественники 20 лет назад думали примерно так же, как вы сейчас описываете. Когда адресов стало не хватать и фирма стала стремительно развиваться, встал вопрос расшириться не останавливая бизнес процессы от слова вообще.
И знаете, мы уже лет пять мигрируем на более правильную архитектуру и, наверное, ещё несколько лет мигрировать будем. Потому что взять и остановить всё даже на две-три недели - вообще не вариант.

[Akina]

Игорь,

Мои предшественники 20 лет назад думали примерно так же, как вы сейчас описываете. Когда адресов стало не хватать и фирма стала стремительно развиваться, встал вопрос расшириться не останавливая бизнес процессы от слова вообще.

Значит, они допустили ошибку, когда использовали недостаточно широкие подсети без "свободных" подсетей между ними. Иначе простое расширение подсети за счёт расширения маски сразу превращает нерешаемую проблему в почти тривиальную.

[Ивор Барханский]

Akina, клёво вы в прыжке переобулись, я оценил.

[Akina]

Игорь, я так понимаю, что слова, выделенные жирным шрифтом, Вы не стали читать?

А если прочитали, но тем не менее съёрничали - значит, не поняли...

[Ивор Барханский]

какой смысл брать такую широкую сеть

они допустили ошибку, когда использовали недостаточно широкие подсети

Akina, куда уж нам, недалёким..

[Akina]

Игорь, ну раз не понимаете, то и не надо...

Answer 1

[Армянское Радио]

Обычно сначала сеть все же проектируют, потом покупают железо. У вас как-то наоборот вышло, это странненько.

Можно разделить на классические зоны - Ext, Int и DMZ

В Ext попадает то, что не должно быть доступно изнутри - например, гостевой Wi-Fi

В Int - то, что не должно быть доступно снаружи - например, файлопомойка и рабочие станции. Рабочие станции, критичные для бизнеса, вроде бухгалтерии и гендиректора - попадают в свою отдельную зону (Int-VIP)

В DMZ попадает то, что должно быть доступно и изнутри и снаружи - например, WWW-сервер и Asterisk.

Все эти VLAN, файерволлы и зоны нужны для того, чтобы в случае заражения или внешней атаки, полетели не все тачки, а только какая-то малая доля (криптолокер, скачанный водителем не должен попасть на станцию гендира).

Comments

[denn]

Спасибо за ответ. Ну да, я таки планировал изначально. Разделить устройства по айпи и затем их распихать по полочкам. Но почему-то не советуют так заморачиваться с айпи.

[Армянское Радио]

denn, потому что делить нужно не по IP, а по VLAN, а потом настраивать между ними мрашрутизацию и файерволл.

[denn]

Армянское Радио, ясно, спасибо. Пойду статьи читать про все это)) пока удалось все в бридж запихать

[Ивор Барханский]

denn,

Но почему-то не советуют так заморачиваться с айпи.

Проведите эксперимент - возьмите два порта, дайте им две подсети, подключите два ПК и попробуйте с одного сходить на другой. Оцените преимущество бриджей заодно.

Answer 2

[Максим Корнеев]

на некротике и так сойдет. а то грамотный ответ стоит дороже долгожданного оборудования которое не понятно как использовать :)
влом в очередной раз из глины и палок делать конфетку. купили - дерзайте!

Answer 3

[Drno]

запихните всех в одну сеть.
в отдельную - только гостевой вифи
настройте всё, включая капсман, на центральном роутере

Всё)

Comments

[denn]

Пробую сейчас данный стенд. Но почему-то капсман не встал на роутере. А вот на свиче сразу завелся и раздал настройки точкам о_о

[Drno]

denn, всмысле не встал... что пишет?)

[denn]

Drno, да в том то и дело. Ничего не пишет )) ровно с такими настройками на свиче поднялось все

[Drno]

denn, мистика... ну без логов или на что ругается тут не понять дальше)

[denn]

Drno, ага. Завтра еще потыкаю. Самому аж интересно стало))

[denn]

Drno, теперь заработало)) я походу забыл вчера включить в Manager :D

Answer 4

[graf_Alibert]

Я бы разделил на подсети - отдельно управление, отдельно рабочая сеть и отдельно гостевая. Дальше все распетлять вланами и настроить маршрутизацию между сетями.