Помогите разобраться, как правильно строить сеть с нуля. Вопросы скорее теоретические, но хочется понять как бы вы делали. Кому скучно и кто хочет отвлечься от текущих новостей, буду признателен за небольшой ликбез.
P.S. Сейчас читаю серию статей "Сети для самых маленьких", еще в процессе.
К примеру есть понимание, что будет по итогу:
- 300-450 ПК
- 50 принтеров
- 15 серверов
- 200-300 телефонов
- 100 камер
- коммутаторы по необходимости
Ставим L3 коммутатор, который будет рулить потоком, его же добавляем в качестве шлюза. Вопрос 0: При каком условии мы делаем на нем Вланы и насколько они критичны? Только в тех случаях когда четко понимаем, что нужно будет какую то сеть изолировать извне?
Подготовка зоны для ПК пользователей. Вопрос 1: ПК больше 253, а значит /24 маска не работает, следовательно, нужно будет увеличивать маску до 23 или 22, чтобы в одном сегменте сети смогло поместиться больше устройств, верно? Вопрос 2: Какую адресацию давать подсети с этими ПК? Читал, что вариации 192.168.1.* и 192.168.0.* нежелательны, потому что они выдаются домашним роутерам и т.д. Получается если выдавать адреса для 300+ ПК, то нужно сделать сеть к примеру 192.168.111.0/22 (условно), верно? Вопрос 3: Вытекает из 2-го вопроса. Часто встречал статьи, что люди внутри сети делают адресацию не классически 192.168.*.*, а делаю ее с адресами 10.10.100,*/24 и похожими. В чем разница такой нумерации? Зачем так усложнять и давать адрес с такого пула? Почему не использовать стандарный? Вопрос 4: Нужно ли для всего пула адресов делать Влан? К примеру Vlan111 "users", возникнут ли ситуации что он понадобится именно для всего пула рабочих ПК, или так как всегда дается доступ ко всему, то и смысла в влане для ПК нет, в отличии от камер или телефонии, где могут быть ограничения доступа в другие сети?
После того, как мы сделали сеть для рабочих станций переходим к серверам. Вопрос 5: Адресацию серверов лучше делать в той же последовательности что и пользовательские ПК? Если пользователи были в сети 111.*, то сервера можно сделать в сети 110.*/24, не нужно давать принципиально другие сети? Вопрос 6: Лучше всего сделать для серверов отдельный Влан и на L3 настроить сразу маршрутизацию между всеми остальными? Добавлять сервера в подсеть с пользовательскими ПК 111.*/2 не лучше решение?
Камеры и телефоны. Вопрос 7: У телефонии есть свой голосовой Влан, как я понял. Насколько оправдано втыкать телефон в сеть, а в телефон втыкать ПК, чтобы использовать одну общую розетку, вместо двух? Кроме экономии денег, какой смысл несет это действие в плане рисков? По факту это получается доп.точка отказа в работе ПК, если сетевая на телефоне будет глючить. Вопрос 8: Сеть с камерами лучше сразу делать отдельным Вланом или ей вообще лучше поставить отдельный коммутатор, чтобы трафик 24/7 крутился только на нем, а на этом коммутаторе уже на одном порту прокинуть влан в другой коммутатор для доступа нужному серверу/сотруднику к этим камерам?
Принтера. Вопрос 9: Нужно ли делать под принтеры отдельный Влан или их рекомендовано добавлять в общую подсеть с пользовательскими ПК ?
Возможно упустил еще какие то моменты, и подскажете на что обратить внимание дополнительно.
Вы задаёте совсем базовые вопросы, но в то же время хотите развернуть сеть на 300-450 ПК.
Скажите вашему работодателю правду, что вы некомпетентны в этом вопросе, и наймите профессионала. Нормально тренироваться на маленьких сетях — их легко иил даже тривиально переделать, но в сети на 300 ПК вы со своими знаниями сделаете говно.
3. Ни разницы, ни усложнения нет и в помине. Стандартности тут тоже никакой.
4. Каждую подсеть в свой VLAN. Ибо нефиг.
5. Серверы в отдельных подсетях. Причём не одной. Что делать серверу видеонаблюдения в подсети бухгалтерии?
6. Стройте схему на основании потоков трафика, а не по некоему мистическому наитию.
7. Не у телефонии, а у некоторых коммутаторов есть специальная работа с VoiceVLAN. да, только экономия портов. Если не работал - то и не связывайся. Потом поэкспериментируешь.
8. По требованиям безопасности сеть видеонаблюдения вообще должна быть по возможности физически отделена от пользовательской. Отдельные коммутаторы и кабельные линии. да и трафика они генерят - могут забивать каналы, оно надо? То же и с линиями охранно-пожарной сигнализации - но тут строго, никаких "по возможности".
9. Сервер печати. И да - он и принтеры в отдельном VLAN.
Ставим L3 коммутатор, который будет рулить потоком, его же добавляем в качестве шлюза.
Ставь сразу нормальный маршрутизатор.
Потому что коммутатор, хоть и L3, тебе ничего не даст во вменяемой форме - ни статистики, ни управления, ни наблюдения.
Akina поясните за 5 и 9 вопросы.
Если образно, всего будет 15 серверов, зачем их раскидывать по разным вланам, что я выиграют из этого?
Что плохого в том, что сделать один влан для всех серверов, к примеру Vlan3 "Servers", и в нем будет адресация 192.168.3.1-15 (к примеру).
Вы же предлагаете сервер печати разместить в сети с принтерами, т.е. сделать к примеру Vlan4 "Printers" и сделать в нем принтсервер с адресом 192.168.4.1, а принтера давать адресацию начиная с *.4.2.
Тоже самое вы предлагаете с бухгалтерией? Сделать для всех ПК бухгалтерии отдельный Влан и добавить туда их ПК и в этот же Влан добавить сервер с 1С, или же вы предлагаете для бухов сделать один влан, для 1С сервер/терминального другой Влан и между ними настроить маршрутизацию?
Чем плох вариант с одним Вланом как я описал выше?
P.S. по 6-му вопросу, что значит по движению потоков? Можно чуть подробнее?
Во-первых, все они сидят в отдельном, выделенном, высокоскоростном VLAN. Это решает и проблемы независимости межсерверного обмена от пользовательского трафика, и вопросы широкого канала для резервного копирования, и физически отделяет сегмент администрирования от пользовательского, и ещё кучу мелких вопросов.
Во-вторых, при едином маршрутизаторе это упрощает подключение и настройку этого маршрутизатора. Хотя не вижу никаких проблем, если сервер сидит одним интерфейсом в межсерверном вилане, а вторым в клиентском.
Отдельные подсети для серверов - для исключения взаимодействия, если оно не нужно реально. Маршрутизатору-то в общем пофиг, на какой адрес маршрутизировать пакеты. А в случае, когда один интерфейс сервера сидит в клиентском вилане, оно вообще получается само собой, ибо в каждом вилане своя подсеть (реже - свои подсети).
Вы же предлагаете сервер печати разместить в сети с принтерами, т.е. сделать к примеру Vlan4 "Printers" и сделать в нем принтсервер с адресом 192.168.4.1, а принтера давать адресацию начиная с *.4.2.
Да, один вилан, в котором находится сервер печати и принтеры. Другим же интерфейсом сервер печати общается с клиентами сети. Поскольку не только подсеть принтеров отдельная, но и вилан, у нас никогда не будет ситуации "ой, не туда". Далеко не все принтеры умеют принимать задания от строго ограниченного списка клиентов.
Сделать для всех ПК бухгалтерии отдельный Влан и добавить туда их ПК и в этот же Влан добавить сервер с 1С,
Бухгалтерия - она тоже не едина. Расчётчик и материальщик никак не пересекаются - на что им быть в одном вилане? С сервером же одноэски или терминальным та же история - интерфейс к клиентам, другой к серверам. А между терминальным и одноэсовским вообще можно отдельный вилан соорудить, ибо в нём больше ничему бегать и не требуется.
Чем плох вариант с одним Вланом как я описал выше?
Да зоопарком главным образом. И разделением общей полосы на все сервисы/подсети.
по 6-му вопросу, что значит по движению потоков? Можно чуть подробнее?
Есть клиент. Есть сервер. Между ними есть некий информационный обмен. Есть информационный обмен между двумя серверами. Каждый такой обмен, если он может быть интенсивным, следует учесть. И рассмотреть случаи, когда они пересекаются между собой в каком-то сегменте сети - пропускная способность не резиновая. На загрузку вордового файла в две странички - наплевать, а вот пятиминутная загрузка чертежа с сервера PLM в SolidWorks вместо обычных 10-15 секунд потому, что в этот момент половину полосы съел начальник службы охраны, выгружающий к себе вчерашние видеоролики от пяти камер с видеосервера - штука для конструктора безрадостная.
Akina, По движению потоков, понял, спасибо.
Касательно несколько интерфейсов у сервера, а не будет проблем с маршрутизацией на втором интерфейсе, где не будет указан шлюз (в винде же нельзя ставить два шлюза на разные сетевые интерфейсы)?
Берем принт-сервер на винде, ставим на первую сетевуху 192.168.4.1/24 и шлюз 192.168.4.254 (образно адрес порта на L3 где будет влан настроен ) делаем влан4. Этот сетевой интерфейс будет смотреть внутрь и к адресу 4.1 будут обращаться пользователи для доступа к принтерам.
На втором интерфейсе мы делаем адрес 192.168.5.1/24 без шлюза, ибо указать нельзя, в этой же подсети будут все принтера и общаться они будут с сервером в подсети 5, но как делать маршрутизацию и 5-ый влан, если я не могу на втором сетевом интерфейсе указать шлюз. Понятное дело, что принтеры и принтсервер буду нормально общаться потому что находятся в одном сегменте сети, но у меня не получится тогда пробросить второй влан в сеть. т.к. у него не будет шлюза и зайти на принтера для их настройки я как админ со своего места не смогу, мне нужно будет сначала зайти на сервер и с него настраивать уже все принтера. + ко всему у меня не получится выдать им адреса по дхцп (знаю что им нужно ставить статику, просто рассматриваю варианты почему вариант может не работать).
Касательно несколько интерфейсов у сервера, а не будет проблем с маршрутизацией на втором интерфейсе, где не будет указан шлюз (в винде же нельзя ставить два шлюза на разные сетевые интерфейсы)?
Вы что-то путаете.
Количество шлюзов теоретически ничем не ограничено (ограничено практически, но лимит где-то в районе 8-10 тысяч). Даже шлюзов по умолчанию может быть несколько - но с разными метриками, иначе будет весьма сложно определить, какой именно будет использоваться, и будет ли он же использоваться после перезагрузки.
Маршрутизации же вообще всё это пофиг. Она оперирует своей таблицей и адресом назначения, и из всех записей таблицы используется та, которая совпадает по подсети и имеет минимальную метрику.
В дальнем прошлом регулярно возникали проблемы маршрутизации в тот же интерфейс - но это проблемы организации сетевой подсистемы и драйвера сетевого интерфейса, и сейчас вроде как не встречается.
Берем принт-сервер на винде, ставим на первую сетевуху 192.168.4.1/24 и шлюз 192.168.4.254
Шлюз - куда?? шлюз - всегда в определённую подсеть. Если это подсеть 0.0.0.0/0, то шлюз является шлюзом по умолчанию, иначе шлюзом в подсеть.
Кстати, маршруты нужны, чтобы маршрутизировать пакеты в подсети, адресов из которых НЕТ на локальных сетевых интерфейсах. Иначе адреса таких подсетей достижимы напрямую, и никакого шлюза не требуется.
но как делать маршрутизацию и 5-ый влан
А что ты собираешься маршрутизировать сервером печати-то? он ни разу не маршрутизатор. Если надо маршрутизировать трафик между этими сегментами, то в этих сегментах должен торчать сервер-маршрутизатор. Нет, если ты на сервер решил взвалить и роль маршрутизатора, и роль сервера печати - то да, будет, куда денется.
Вы что-то путаете. Количество шлюзов теоретически ничем не ограничено.
На одном сетевом интерфейсе да, но если у системе две сетевые карты то нельзя было прописать на вторую сетевую карту шлюз, если на первом он уже стоял выдавались ошибка. Метрики и прочее работает только на одной карте.
А что ты собираешься маршрутизировать сервером печати-то? он ни разу не маршрутизатор.
Им ничего, я имел ввиду, что если я не смогу настроить сетевой интерфейс и пробросить его, то зайти на этот влан у меня не получится.
Им ничего, я имел ввиду, что если я не смогу настроить сетевой интерфейс и пробросить его, то зайти на этот влан у меня не получится.
Если нет отдельного маршрутизатора с доступом к подсети с принтерами, то можно использовать тот же сервер печати: на сервере печати разрешаешь маршрутизацию и на админской станции прописываешь маршрут до подсети с принтерами через сервер печати. Обычным пользователям этот маршрут не нужен, т.к. они не будут ходить к принтерам на прямую.
на сервере печати разрешаешь маршрутизацию и на админской станции прописываешь маршрут до подсети с принтерами через сервер печати.
Это явный намёк на то, что админская станция находится в пользовательской сети, и управление маршрутизируется в административный сегмент. Что в общем неправильно. Административный комп просто должен иметь несколько интерфейсов - в каждом сегменте, где требуется его присутствие. Например, мой рабочий административный компьютер имеет 4 сетевых интерфейса... и при необходимости я включаю нужные, а после выполнения задач - отключаю.
Что же до конкретно сети с принтерами - доступ туда как бы и не нужен. Всё управление принтерами (кроме начальной настройки) должно выполняться через сервер печати. Да и начальную настройку, если она проводится удалённо, можно выполнить через RDP-сеанс на сервере печати.
800 устройств в одном домене коллизий, это [censored] и полный ступор.
В наше время домен коллизий актуален только для беспроводной части сети (там коллизии в эфире). Ибо на свитче домен коллизий = один порт. Хабы уже сто лет не применяются. Иными словами, с переходом с хабов на свитчи коллизии в проводных сегментах в принципе исчезли как явление.
System Administrator & Engineer, а так же фотограф
Я опишу свою рабочую схему, она проста и логична и очень легко масштабируется.
1. за основу взята орг. структура организации и принцип паранои (бухгалтера падают в обморок если видят в сетевом окружении компьютер кадровиков или не дай бог простых смертных).
Т. е. количество подсетей = количеству орг. подраздеьений.
2. принцип раздачи сетей и vlan. VLAN ID N содержит сеть вида 192.168.n.x/24. n в диапазоне от 2 до 130 (да у меня дохрена подсетей кажлая размерностью условно от 2х до 200 устройств).
С подсетями отличающихся от /24 могут возникать внезапные проблемы - некоторые устройства не могут с первого раза принять другую маску по DHCP (у меня сетевые принтеры и Windows 95 глючили). Сеть может быть и 10.x.y.z - это дело вкуса, мне интегратор пытался навязать схему где разряды это этаж и номер коммутатора, но это было бы логично для однородного жилого дома, но не для организации, где одно структурное подразделение может занимать помещения на разных этажах и подключены к разным коммутаторам.
3. если сетевые принтеры закреплены за подразделениями и стоят в одном с ними кабинете, то принтер попадает в ту же подсеть, что и его подразделение.
4. сервера сидят в своей обособленной мжнеджовой подсети, НО если это сервер бузгалтерии, то ему добавляется интерфейс с vlan и ip бухгалтерии, что бы минимизировать трафик через маршрутизатор и да у общего файлового сервера 130 vlan и ip.
Когда по сети летит база на несколько гигабайт на скорости 800-900 мегабит возможны жесткие коллизии, особенно если она летит из одной подсети в другую через маршрутищатор.
5. у меня в сети более 700 voip телефонов и под них сделано исключение - в их vlan подсеть /22
6. система контроля доступа и видеокамеры вынесены вообще на отдельные коммутаторы.
У видеокамер и к примеру у систем аудио/видеоконференций иногда бывают механизмы использующие бродкасты/мультикасты и это может стать очень большой проблемой - регается тонкой настройкой коммутаторов.
7. комп через телефон - только при дефиците розеток. Схема рабочая, если коммутатор поддерживает макавторизацию на адрес (есть вариант на порт, тогда это не будет правильно работать). В общем лучше этого не делать.
8. ещё у меня есть гостевая подсеть, куда попадают гости не входящие в структуру.
9. точки доступа Wi-Fi силят в мэнеджовой сети, а вещают BSSID с гостевым vlan и возможностью авторизации по маку с возможностью привязки к vkan.
10. у меня сеть enterprise уровня на железках huawei s5700 модно и на s2700 это реализовать + сервер управления сети (radius со специфичными настройками) + dhcp + dns. DHCP лучше делать на отдельном компьютере, а не на коммутаторе (коммутаторы иногда глючат, ограничены в функционале и из лучше не нагружать лишней нагрузкой). Маршрутизатор у меня на Linux по той же проблеме - у коммутатора были ограничения на количество правил (ACL), а на Linux можно было творить что угодно. Так же в мэнеджовой сети есть tftp сервер для хранения и раздачи конфигов коммутаторов.
Вот так вкраце. И очень советую читать документацию и консультироваться у старших товарищей. Каждый элемент имеет огромное количество неочевидных нюансов.
Валентин
@vvpoloskin Куратор тега Компьютерные сети
Инженер связи
Сеть 10.0.0.0 используют из-за того, что удобно делать сети > /24, а во втором октете можно зашифровать географию (№ офиса, код региона, зону ответственности и т.д., например, 10.77.X.X - адресный диапазон для Москвы).
Конечно, нужно кучу вланов, вы удивитесь, но у вас их будет гораздо больше, чем вы написали. Например, сходу будет влан управления (где будет управление сетевым оборудованием), влан управления серверами (iLo, IPMI, iDRAC или что там у вас), влан с "публичными" IP-адресами (в офисе же будет интернет?), влан серверов для пользователей (файловые шары), влан технологических серверов (всякие сислоги, заббиксы), рано или поздно два влана на вай-фай (гостевой и внутренний), вланы для стыковочных сетей (от L3-коммутатора до маршрутизатора, между L3-коммутаторами и т.д.).
Основная экономическая характеристика коммутатора - цена за порт. Как правило, для телефонии используются порты с PoE, они стоят в 2.5 раза дороже портов без PoE. На сэкономленные деньги лучше купить ЗИП на телефоны.
Когда-то потом вы придете к настройке QoS для телефонии по крайней мере на линках от агрегации. Это проще всего делать, когда телефоны выделены в отдельный влан.
Под видеонаблюдение опять же как правило используются порты с PoE. Камеры, конечно лучше в отдельный влан, который пустить в отдельный порт. Трафик с камер емкий, но в то же время не вызывающий сильного пользовательского негатива, легко забьет 1GE.
Валентин Спасибо, за подробности.
Грубо говоря, делать сеть/вланы вида 192.168.10.0/24 для серверов и 192.168.11.0/24 для пользователей (*0.0/24 и *1.0/24 не берем во внимание из-за домашний маршрутизаторов и т.д.) будет тоже самое, что если сделать сеть 10.77.10.0/24 и 10.77.11.0/24. Разница будет только в удобстве второго в читаемости и возможности разбивки, если она будет. В остальном разницы нет и в будущем не возникнем никаких никаких проблем с той ни с другой подсетью, если нужно будет поднять какой-нибудь сервис, который к примеру не будет воспринимать адреса и 10.*.*.*
Так же как я задал вопрос отвечающему выше, насколько правильно размещать тот же принт-сервер в Влане с принтерам. Если я понимаю что у меня будет всего 15 серверов, и они легко помещаются в одну подсеть и не будут меняться, почему нельзя сделать все 15 серверов с адресами подряд в одном сегменте сети? Только из-за возможного спама трафиком?
Вася Пупкин, не бывает таких сервисов, которые не воспримут адрес 10.0.0.0, вы их совершенно напрасно боитесь. Это полностью нормальный IP-адрес. Вы же не думаете что в интернете встречаются всякие адреса, условно: 16.147.32.14, находящийся в подсети 16.0.0.0/8?
А насчет домашнего оборудования: у меня микротик с заводскими настройками прихапал себе адрес 192.168.88.1 и начал раздавать по DHCP пул 192.168.88.0/24 в локальную сеть. Я это, конечно, могу переконфигурировать - но зачем, если все работает? А что если у какого-нибудь удаленщика на домашнем роутере окажется не 192.168.1.*, а 192.168.10.*?
Вася Пупкин, а почему вообще у вас встает вопрос про "не берем во внимание из-за домашний маршрутизаторов" у вас же в сети не планируется, я надеюсь, "домашних маршрутизаторов"? А если и появятся, вы же, надеюсь, будете с ними бороться? Например, тем же dhcp snooping'ом, например :)
0. Да
1. Да
2. Да. Только 192.168.111.0 - не подойдет для маски 22. Вам нужно подтянуть теорию по IP адресации.
3. Тут нет классических/не классических вариантов. Погуглите "серые IP фдреса", узнаете, что подсеть 10.0.0.0/8 - вполне себе "классическая" серая подсеть. Обычно используют 10 подсеть там где очень много компов в сети - несколько тысяч.
4. Обычно для "общего" влана используют VLAN0, он же влан по умолчанию. В коммутаторах, обычно, этот ВЛАН уже есть и в него входят все порты как не тегированные и, по моему, это изменить нельзя.
5. Без разницы. Смотрите по факту. Например у вас по каким-то причинам появилась группа компов в своем ВЛАНе или своей подсети и ей нужен "свой" сервер, логично этот сервер поместить в эту же подсеть/влан.
Имейте ввиду, что помещая сервера в дургие подсети, потребуется обеспечить маршрутизацию между подсетями. Часто это может быть связано с дополнительными пересылками трафика, которых можно избежать, поместив сервера в ту же подсеть с пользователями.
Вообще тут часто играют внешние факторы, например дополнительные требования к безопасности для каких-то серверов и т.п.
6. то же что 5.
7. IP телефония как и камеры то же генерирует сетевой трафик, если его будет слишком много, он может мешать нормально работе сети. Тупо перегрузка сети, дополнительная нагрузка на коммутатор, большие лаги и т.п. Кстати - и наоборот то же актуально - если повышается нагрузка на сеть, то можете столкнуться с тем, что по телефону станет сложно разговаривать. И вообще в случае аварийной ситуации в сети, хорошо когда хотя бы телефоны работают. А то знаете - сбой сетевого адаптера в любом ПК, он начинает флудить пакетами в сеть и телефоны то же перестают работать - апокалипсис местного масштаба.
8. Да.
9. Сомневаюсь, что тут есть какие-то рекомендации. Я всегда помещал принтера в ту же подсеть и влан, в котором сидят его пользователи. Естественно, под принтера выделяется отдельный поддиапазон адресов, который не раздается по DHCP пользователям. Если у вас централизованный принт-сервер, то возможно будет удобнее выделить принтера в отдельную подсеть/влан. На мой взгляд, если нет дополнительных требований/хотелок, то нет смысла усложнять схему.
Обычно для "общего" влана используют VLAN0, он же влан по умолчанию.
Вообще-то VLANID = 1.
и, по моему, это изменить нельзя.
Это с чего бы? я вообще все порты из этого VLAN всегда выкидываю.
Это на ну очень старых коммутаторах нельзя было из него выбрасывать транковые порты, потому что переставали нормально работать STP и прочие протоколы межкоммутаторного взаимодействия. Последняя модель с такой хнёй, от которой я избавился - это были DES-3028 и DES-3052.
Я всегда помещал принтера в ту же подсеть и влан, в котором сидят его пользователи.
Не, это в результате получается неуправляемый зоопарк шареных принтеров. И вопли - с одной стороны "Я посылаю на принтер, а он не печатает!", а с другой одновременно "У меня тут из принтера какая-то херня лезет!"... Так что выделенный принт-сервер - это скорее необходимость, чем хотелка.
Да, бывают и исключения. Как правило - это МФУ для рабочих групп, используемые как массовые оффлайн-сканеры.
Наверное, вы правы. Я сейчас не могу это проверить, давно уже переквалифицировался из админов.
я вообще все порты из этого VLAN всегда выкидываю
Зачем?
Не, это в результате получается неуправляемый зоопарк шареных принтеров.
Почемуто у меня не получалось :)
Помещение принтеров в отдельную подсеть/влан мало связано с реализацией "шареных принтеров". Это несколько разные уровни. Принтера назначаются пользователям централизовано политиками. Пользователю должно хватать для его работы тех принтеров, которые у него настроены админом. Админ должен убрать возможность подключения других принтеров в принципе правами.
Вообще тема довольно холиварная, варианты могут быть разные в зависимости от конкретной ситуации, в т.ч. и в одной сети можно использовать несколько подходов.
Во-первых, каждый порт должен сидеть в своём вилане. Кстати, именно поэтому не люблю МАС-based VLAN вообще, и VoiceVLAN в частности.
Во-вторых, просто нелюбовь к дефолтным настройкам.
В третьих, последствия вышеописанного косяка некоторых моделей.
В четвёртых, этот вилан - неудаляемый. А предопределённое значение - это всегда проблема в системе безопасности.
Вообще тема довольно холиварная
Угу. Просто я исхожу из того, что каждый функционал - в своём вилане. И сервис печати в этом смысле ничем не отличается от остальных.
Никогда не придерживался такой такой стратегии. Возможно из-за того, что мне не приходилось админить крупные сети. Мой порог был 200 ПК в основной сети + несколько удаленных офисов по меньше.
предопределённое значение - это всегда проблема в системе безопасности.
Теоретически да. Практически, если значения по умолчанию достаточно продуманы, то это избавляет от лишних телодвижений.
Что есть какая-то уязвимость в коммутаторах, связанная с эксплуатацией дефолтного влана? Не сталкивался.
0. Не только из вне, но и во вне
1. Необязательно пихать все ПК в один сегмент, особенно если юзеры занимаются очень разнообразными задачами.
2. 192.168.х.х у некоторых считаются плохим тоном из-за того, что большинство оборудования по дефолту использует эти адреса и если без подготовки втыкнуть в сеть условный туполинк, то, считается, что он наделает проблем больше чем если бы его втыкнули в 10.х.х.х, а также если придется строить VPN сети к "удаленщикам" могут возникнуть коллизии маршрутизации с их туполинками
3. Читайте теорию ip адресации - 10 можно делить на меньшие подсети, собственно как и 192.168.0.х можно делить на /25+ подсети - для чего и как описано в теории, а также плюсы/минусы данных решений.
4. Бестпрактикс - каждому пулу по влану - в реальности, обычно, так и получается. смысла пихать несколько подсетей в vlan обычно не возникает (если не ультралоупрайс оборудование)
5. В зависимости от назначения, политики иб и прочего
6. см. п. 5
7. По ситуации, если в кабинете только одна розетка или на свиче больше нету портов и никаких перспектив - комп через телефон. Если у рабочего места только 2 розетки - принтер через телефон, если и розеток и портов на свичах хватает - в идеале каждое устройство отдельно, а телефоны по poe. Иначе: у меня ничего не работает, тк забыл включить телефон в розетку.
8. Отдельными свичами и маршрутизаторами, в том числе с разбиениями по периметрам, иначе может быть плохо и сети и ИБ
9. По месту и требованиям
Тут уже много чего, написали, но просто крик души: никогда не используйте в корпоративных сетях поддиапазон 192.168.0.0/16! Как только понадобится делать VPN соединения с "домашними" компами, вспомните. Не то чтобы там что-то нерешаемое, но зачем лишние проблемы? 172-я и 10-я прекрасно подходят, вторая удобнее с точки зрения запоминания подсетей или виланов.
Компы через телефоны плохо включать: во-первых телефоны имеют свойство зависать (редко но бывает), во-вторых там часто 100мбит а не гигабит и потом, удобнее мониторить все устройства через управляемые свитчи - одна сетевуха - один порт.
Видеонаблюдение я бы вынес в отдельную физическую сеть. Многие камеры геморройно настраивать, к тому же траффик там может быть весьма нехилый. А главное - через камеру можно получить физический доступ в сетку, особенно, если есть внешние камеры.
Кстати, еще один вопрос безопасности: не надо подключаться к сети через вайфай, даже если очень хочется. Для вайфая - отдельная сеть или вилан, а лучше вообще использовать его только для выхода в интернет.