Разграничить по подсетям и VLAN?

Question

[Drawn]

Добрый день!
Такое задание, не могу чет в голове логику сложить.
Задание следующее:
Требуется организовать следующие сети (Vlan):
— отдел продаж (192.168.10.0 255.255.255.0)
— бухгалтерия (192.168.20.0 255.255.255.0)
— администраторы (192.168.100.0 255.255.255.0)
— сеть для управления сетевым оборудованием (192.168.1.0 255.255.255.0)
Из того что я имею:
DHCP Server на Контроллере домена = 1ед.
SNR Коммутатор S2965=3ед.
Вопрос, имея это оборудование, могу я прийти к решению такой задачи.
Могу разве, что понимать, что на коммутаторе разграничить порты на VLAN-1-2-3-4. Но вот, как быть с DHCP, чтобы DHCP сервер понимал, что вот устройствам находящиеся на коммутаторе во VLAN2 нужно выдать подсеть именно "Бухгалтерия" не могу понять.

Comments

[Valentin Barbolin]

По класике нужен еще коммутатор уровня L3, роль которого заниматься роутингом между сетями.

Answer 1

[Akina]

Делаете следующее. В контроллер, который наделён ролью DHCP-сервера, втыкаете три сетевые карты. На каждой сетевой карте настраиваете свой скоп, и подключаете его к порту коммутатора с соответствующим VLANID. Всё, рабочие станции из этого VLAN будут получать адреса только из привязанного к данному интерфейсу скопа.

PS. Не мешайте VLAN и подсети - это вещи с разных уровней. Ничто не мешает нескольким подсетям бегать внутри одного VLAN. И даже наоборот.

Comments

[Drawn]

ну то что VLAN и подсети это вещи с разных уровней знаю, подсети 3 уровень, VLAN 2 уровень. То есть правильней будет создать только VLAN и все, нет смысла разграничивать их по разным подсетям?

[Drawn]

И ещё вопрос, в интернете зачем то в качестве примеров используют VLAN + разные подсети, для чего это сделано, если вы пишите, что лучше не смешивать.

[Akina]

То есть правильней будет создать только VLAN и все, нет смысла разграничивать их по разным подсетям?

Разделение по VLAN и разделение на разные подсети решают разные в общем несвязанные задачи. Так что ставить в зависимость одно от другого нет никакого смысла.

вы пишите, что лучше не смешивать

о_О Где? Я предлагаю не смешивать их назначение и не ставить в зависимость одного от другого.

[Drawn]

Akina, а не так понял, спасибо за разъяснения:)

[Akina]

Вот практический пример. У меня есть система видеонаблюдения. Точнее, их три. Для каждой выделен собственный VLAN (L2), но у них общая адресация (L3). И для перемещения камеры из одной системы в другую мне достаточно изменить VLANID порта, к которому подключена камера. Поскольку каждая камера зарегистрирована во всех трёх системах - она буквально в пару секунд автоматически подхватывается и начинает выводиться на нужный экран и записываться в архив. Ни камеру, ни софт перенастраивать не нужно.

[res2001]

Добавлю.
В контроллере можно обойтись и одним сетевым адаптером. Если адаптер поддерживает VLAN, то можно в этот единственный порт на коммутаторе пустить все 4 тегированных VLAN. Разруливать VLANы уже непосредственно на контроллере - там создать 4 виртуальных адаптера (по количеству VLANов) с помощью драйвера сетевого адаптера, дальше все как описано.

В разных VLAN лучше использовать разные, не пересекающиеся IP подсети. Т.к. использование одной и той же IP подсети в разных VLAN добавит вам проблем, в случае, если между подсетями нужен обмен трафиком (обычно это так и есть). Даже если вам сейчас кажется, что никакого обмена никогда не будет, то все равно сделайте разные подсети, т.к. обмен рано или поздно все равно понадобится.
Ваш контроллер, который подключен ко всем VLANам и имеет в каждой подсети адрес может выступать шлюзом для обмена трафиком между подсетями.

[Akina]

res2001,

использование одной и той же IP подсети в разных VLAN добавит вам проблем, в случае, если между подсетями нужен обмен трафиком (обычно это так и есть)

Да, если нужен межсегментный обмен, то пересечение подсетей, конечно, недопустимо. Или придётся морочиться с двусторонним NAT, что явно избыточно, да и не во всех случаях корректно работает.

Впрочем, именно прямой межсегментный обмен, не через сетевое хранилище или какие-то серверы типа системы документооборота или совместного проектирования, нужен достаточно редко.

[Drawn]

Akina, а как вы реализовали «но у них общая адресация (L3)»
Через коммутатор 3 уровня?

[Akina]

Drawn, у камер статические адреса.

[Drawn]

Akina, подскажешь может, что я делаю не так.
Делал по инструкции, создал 45 порт во VLAN 2, подключил тачку в 45 порт, думал что смогу изолировать его от доступа к сети ЛВС но с возможностью выйти в Интернет, но элементарно даже физическое подключение не работает. Ладно открываю интернет и делаю конфиг:
switch(config)#vlan 2
switch(config-vlan2)#switchport interfaces 1/0/45
switch(config-vlan2)#exit
switch(config)#interfaces vlan2
switch(config-if-vlan2)#ip add 192.168.2.100 255.255.255.0
Далее делаю транк:
switchport mode trunk
switchport trunk allowed vlan 2
Если не сделаю транк, то комп не может получить IP адрес: 169.ххх.
А если сделав транк, то получаю IP из подсети выдаваемым DHCP сервером 192.168.0.хх
В итоге, как мне убрать доступ и ЛВС но при этом находиться с возможностью выйти в Интернет?

[Akina]

Drawn, информация о настройке одного порта не говорит ни о чём. Вообще. Рассматривать надо всю конфигурацию в комплексе.

Первое - определяем, какие VLANID будут созданы. У тебя в задании 4 VLAN, так что резервируем 4 VLANID. скажем, 10 (продажи), 20 (бухи), 30 (инет), 1000 (администрирование).

Второе - коммутаторы будут соединены между собой. Определяем порты, которые будут использоваться для линковки. Например, это порты с 49 по 52 (часть рабочие, остальные резерв, лучше сразу строить кольцо и обеспечивать отсутствие петель настройкой ERPS, либо, если он не поддерживается, RSTP). На этих портах создаём все перечисленные VLANID в режиме tagged.

Третье - для каждого клиентского порта (порты 1-48) определяем, к какому VLANID будет подключен клиент данного порта. И настраиваем этот порт на нужный VLANID в режиме untagged. Все неиспользуемые клиентские порты исключаем вообще из любых VLAN.

А собственно основное - всё. Теперь если два клиентских порта имеют одинаковый VLANID, то трафик между ними ходит, а если разные - то нет.

Если надо обеспечить хождения трафика из одного VLAN в другой, то используем многоинтерфейсный маршрутизатор. Два его интерфейса подключаются к двум портам, каждый из которых находится в нужном VLAN, и настраиваем маршрутизацию и фильтрацию.

Варианты прямого объединения VLAN и маршрутизации одноинтерфейсным маршрутизатором пока не рассматривайте - Вы ещё недостаточно прочувствовали технологию, а накосячить и положить всю сетку - это запросто.

[Eduard Nurdinov]

Можно использовать промежуточный виртуальный роутер на linux между vlan-ами и их подсетями и dhcp-сервером контроллером. На этом роутере установить и настроить dhcp-relay, чтобы он в правильные vlan-ы передавал ip-адреса с dhcp-сервера. Также на этом роутере можно настроить любую конфигурацию маршрутизации пакетов между vlan-ами.