Как сделать VLAN в корпоративной сети?

Question

[vitz84]

Всем доброе утро.
Ситуация такая, в конторе подсетка 192.168.1.* в ней уже почти 200 хостов забиты юзерами и МФУ
хочу этот бардак немного причесать и сделать по подсеткам на VLAN
единственный нюанс, это то, что в этой конторе разные коммутаторы, но один из них D-link DGS-1510-52L/ME который поддерживает Vlan , а маршрутизатор микротик. Все сегменты VLAN которые хочу создать они находятся на коммутаторе (DGS-1510-52L/ME)

т.к. тут нет большого опыта возникают следующие вопросы:
1) как правильно разбивать сетку если допустим планируется создать в конторе 5-15 vlan сегментов
2) есть ли какая то принципиальная разница по выбору подсетей для этого т.е. делать на 192.168.*.* или допустим 10.*.*.*
3) после определения какие будут подсети что нужно сделать на контроллере доменов?
4) возможно ли построение VLAN на узлах которые подключены DGS-1510-52L/ME или нужно чтобы вся сеть была построена на управляемых маршрутизаторах с поддержкой VLAN
5) пойдет ли данный коммутатор для построения и тестирования VLAN если отбросить религиозные предпочтения по цискам и другим вендорам?
6) маршрутизатор микротик на данный момент подключен в другой коммутатор, после построения сети, нужно ли его перекоммутировать на DGS-1510-52L/ME или нет

Буду признателен Вам за ответы или ссылки. Заранее большое спасибо!

Comments

[Alexey Dmitriev]

Можно уточнить цель планируемых изменений?

[vitz84]

Доброе утро
1) опыт
2) как я понимаю vlan сегменты защищают от большого широковещательного/паразитного трафика и тем самым хочу изолировать важные отделы (бух и фин отдел), а также те которые у меня вызывают опасность (отдел где сидят много студентов и внешних приходящих людей)

[Drno]

зачем? если можно просто разбить по группам внутри /24 сети или больше...
типа
192.168.1.10-192.168.1.50 - ПК
192.168.1.51-192.168.1.60 - принтеры
итд...

если проходит сеть через "тупые" комутаторы, конечное устройство должно уметь принимать VLAN,.. ну либо ставить там "умные" свитчи...
Либо всё должно исходить от "умного" свитча - 1 провод, 1 VLAN

[hx510b]

vitz84, запустите снифер и посмотрите. обычно какого-то засилья широковешательного трафика не видно. изоляция на VLAN имеет смысл для безопаности и для пропускания через он физический линк разнородных сетей. как только разделите на VLAN, понадобится марщрутизация между VLAN - кто будет эту роль выполнять? и этот же маршутизатор станет точкой возможного отказа.

[vitz84]

hx510b, как тогда посоветуете сделать?

[hx510b]

vitz84, я пока не понял цели, для наведения порядка в сегменте есть смысл расширить саму подсеть. и затем разделить диапазон на фиксированные адреса для сетевых устройств и на динамические адреса для рабочих мест. зачем внедрять VLAN?

Answer 1

[Valentin Barbolin]

1. Примерно так
- сервера
- рабочие ПК
- телефоны
- принтеры
- камеры
- wifi
- wifi гостевой

2. 10.0.0.0/8

3. Поправить DNS зону и DHCP (если они используются)

4. Надо планировать. Сложно будет там где в один тупой коммутатор будут подключены устройства которые должны быть в разных VLAN.

5. Да

6. Главное что бы между ними можно было скоммутировать VLAN как они подключены физически не особо важно.

Comments

[vitz84]

Спасибо большое за ответ! можно задам еще пару уточняющих

1) правильно ли будет сделать один сегмент VLAN с юзерами и принтерами которые уже в их отделе?
2) как я понимаю тут можно брать абсолютно любые диапазоны например если у меня будет 15 сегментов то взыть
10.10.1.* - 10.10.15.* ?
3) понял
4) не не, все сегменты будут только в нормальном коммутаторе, другие юзеры будут сидеть в "тупых" коммутаторах и потом если выбью деньги докуплю умный коммутатор
5) не будет проблем если допустим сейчас у меня будет Длинк, а потом допустим будет циска или QTECH или другой вендор? или лучше все строить на одном вендоре?
6) хм, это пока под вопросом,

[Valentin Barbolin]

vitz84,
1. Тут же и кроется твоя проблема. Конечные устройства подключены в один тупой коммутатор на котором ты не можешь управлять VLAN. Если принтер и ПК подключены в один тупой коммутатор, то они будут в одной сети. С данным оборудованием ты можешь разделить только по схеме
один тупой коммутатор - один VLAN
2) да
5) c vlan не будет, но стоит учитывать что бы вендоры понимали хоть какой-то общий протокол STP (MSTP, RSTP, PVSTP).
6) Некоторые тупые коммутаторы могут (надо проверить) пропускать тегированный трафик, то есть такой трафик может пройти через него транзитом.
Микротик - тупой коммутатор - умный коммутатор

[Valentin Barbolin]

Valentin Barbolin,

3. Поправить DNS зону и DHCP (если они используются)

Если DHCP не на микротике, а на DC, то на микротике надо настроить DHCP Relay.

[vitz84]

Valentin Barbolin, спасибо большое!!!!

[mordo445]

6. вам бы рассказать, что там за микрот, сколько у него портов для этого мероприятия доступно. Вам нужно притащить на него трафик от всех vlan, можно сделать это с DGS-1510-52L/ME транком, одним интерфейсом, но тогда у вас будет узкое место и можно вычерпать всю полосу интерфейса. Лучше иметь с каждого vlan с десктопами по аплинку, телефонию/принтеры и условно камеры (от количества камер зависит) можно завернуть через один интерфейс.
Лучшим вариантом будет обновить комутатор до L2+ или L3, например DGS-3120-48PC, если D-link. Тогда все отношения между пользователями ПК, файловыми серверами останутся в пределах этого коммутатора, а микротик не будет этим заниматься, а будет чем ему положено - интернетом и VPN.

Answer 2

[Akina]

Вы неправильно понимаете, и от того неправильно мыслите.

Представим, что у нас на коммутаторе сделаны, скажем, 3 VLAN. Ну и подключены какие-то узлы-клиенты. Так вот - чтобы построить то же самое, но без управляемого коммутатора, Вы должны взять три отдельных коммутатора, и в соответствии с VLAN переключить на них всех клиентов.

Иными словами, сети различных VLAN изолированы друг от друга ПОЛНОСТЬЮ. И пусть Вас не обманывает, что все они сходятся в одном коммутаторе - внутри этого коммутатора никакого соединения между VLAN нет. Соответственно чтобы трафик ходил из одного VLAN в другой, нужен маршрутизатор, который одним интерфейсом смотрит в один VLAN, другим - в другой VLAN.

Вы хотите сделать у себя 5 VLAN. Соответственно если они, скажем, должны обращаться к одному и тому же серверу-файлопомойке, или через этот один сервер ходить в Интернет, значит, в этот сервер придётся вставить 5 сетевых карт, и каждую из карт подключить к отдельному порту коммутатора, являющемуся членом одного из имеющихся VLAN. Вот Вы точно этого хотите? А представляете, какой получится монстр, если количество VLAN будет не 5, а 15?

Да, в именно описанном случае можно спасти ситуацию, если использовать серверное оборудование и ПО, которые могут на одном внешнем интерфейсе создать несколько адресов из разных подсетей и статически зафиксировать для каждого из адресов определённый МАС-адрес, а на коммутаторе включить МАС-based VLAN. Но, поверьте, Ваша ситуация ну совершенно не располагает к созданию себе подобного геморроя...

--------------------

Как по мне, Вам вполне достаточно просто сделать несколько подсетей.

Comments

[mordo445]

Зачем нужно 5 интерфейсов на файлсервере не проясните? Может всё таки маршрутизатор и статические маршруты? Один транк на маршрутизатор и весь трафик всех vlan оттуда. Или, если очень хочется 5 адресов у сервера, по одному на vlan, то транк до сервера и туда нужные vlan? Человек хочет сделать как надо, зачем его стращать и пускать по печальному пути многих сетей в одно широковещательном домене...

[vitz84]

согласен, как то страшно получается.
тогда если создать несколько подсетей на уровне контроллера?
как тогда это грамотно сделать и как можно правильно в таком случае сделать разделение сетей чтобы отрезать "плохие отделы"

[Akina]

mordo445, Далеко не каждое железо и софт умеют держать на одной сетевой карте несколько тегованных VLAN. А без них от "одна сетевуха на один VLAN" не сбежать.

[Akina]

vitz84,

как можно правильно в таком случае сделать разделение сетей чтобы отрезать "плохие отделы"

Если оставить всё в одном L2 - то очевидно никак.

Проблема в том, что Вы даёте слишком мало данных. А потому вариантов реализации море, а критериев (и соответственно возможности выбрать оптимум) нет.

[mordo445]

Akina, если сетевая карта не может 802.1q то она не нужна и пора избавляться. Если ваш сервер действительно сервер (а не самосбор названый сервером) то его интерфейсы могут, и должны. несколько интерфейсов в разные vlan пригодятся разве что при нагрузке, близкой к пропускной способности интерфейса. По этому мы используем на серверах 10 и 40G интерфейсы, агрегируем их при потребности и пускаем туда столько vlan, сколько надо. Особенно с тем, что сервера как правило в кластере и на них уйма виртуалок, и всем нужны свои сети, часто L2. Другое дело, что для точных рекомендаций vitz84 должен еще много чего рассказать про свою систему, и может вариант с парой сетевых карт в разные vlan будет верно неплох)

По поводу "нарезать сетей". Почему плохо и неполезно создавать разные сети в одном широковещательном пространстве. Откройте wireshark и убедитесь, сколько в этом пространстве происходит наплевав на адреса сетей: ARP запросы стаями летают ощупывая сеть, MDNS пытается выяснить кто здесь главный, Netbios с старых устройств пытается сделатт тоже самое, SSDP, uPNP, и еще черт знает что. Им плевать на ваши адреса сетей. Ваши пользователи будут получать в сети замечательные штуки, как то принтеры обнаруженные uPNP, но не разу не работающие, блуждающий доступ к общим папкам на машинах из разных подсетей, то появляющееся, то исчезающее разрешение имен компьютеров в домене и вне его. Нет на моей памяти сетей с 100+ устройств, которые бы предсказуемо запускались с применением нескольких сетей в одной LAN. Вот может товарищ Акина расскажет удачный опыт, у меня такого нет. Связность по L3 дает более предсказуемый результат.

[Drubanda]

Akina а вы точно сетевой админ, как у вас написано?
Какие пять сетевых интерфейсов?
Доступ к определенным серверам из других vlan свободно реализуется маршрутизацией между этими же vlan. И при этом все остаются в своих броадкаст доменах.

[Akina]

Drubanda,

Доступ к определенным серверам из других vlan свободно реализуется маршрутизацией между этими же vlan.

Маршрутизация между VLAN? Вы имеете в виду IP-маршрутизацию, выполняемую внешним маршрутизатором либо огрызком L3-функционала на L2-коммутаторе, или речь о непосредственной L2-коммутации из одного VLAN в другой? про второе я лично как-то не в курсе...

[Drubanda]

Akina, Внешний маршрутизатор. И он тоже не должен физическими интерфейсами смотреть в каждый vlan. Для этого есть тегированный порт.
Без обид, но вы прежде чем человеку отвечать "Вы неправильно понимаете, и от того неправильно мыслите", сами у себя в голове вопрос задайте "А я сам достаточно разбираюсь в том, о чем сейчас напишу?".

[Akina]

Drubanda,

И он тоже не должен физическими интерфейсами смотреть в каждый vlan. Для этого есть тегированный порт.

Хорошо, когда оборудование и ПО умеют на одном физическом интерфейсе создать несколько виртуальных, каждый из которых работает со своим tagged VLAN. Но так бывает не всегда - серверы могут быть самосборными, а могут быть просто весьма старыми.

Впрочем, у автора в качестве маршрутизатора Микротик, он это умеет, более того, делает это по умолчанию (на практике я пока подобной схемы не использовал, мне приходилось делать наоборот, создавать изолированный режим и блокировать доступ из одного VLAN в другой, обеспечивая только маршрутизацию во внешний канал).

Но тем не менее понимание у товарища всё же неполное, он как-то, по-моему, воспринимает деление на VLAN и деление на подсети как две части одного процесса. Мысленное разделение сети с кучей VLAN на несколько физически не связанных сетей должно помочь избавиться от этого, имхо.

[vitz84]

Akina, Владислав добрый день
Спасибо за Ваши комментарии, а с Вами можно как то пообщаться по телеграмму или другому мессенджеру?