Задать вопрос
@Desert-Eagle
Новичок во всем

Правильно ли сделаны VLAN?

Продолжаю учить СДСМ. Разбираюсь с вланами и их настройкой, а так же адресами.
Есть вопросы по разделению сетей и правильности выбора. Схема такая:
649942275a169240917733.png
1. Я создал на DHCP три области под три влана, как оборудование узнает из какой области получать адрес? Мне нужно будет в каждый Влан, который создан на маршрутизаторе добавить строчку типа ip address-helper 172.16.10.1? Как устройство поймет что ему надо брать адрес из области Users, а не Printers?

2. Нужно ли на SW2 добавлять vlan10 для доступа к серверам или если на коммутаторе нет устройств которые подключены с vlan10 то и добавлять его не нужно а доступ к нему происходит через коммутатор?

3. На SW3 нет vlan16, нужно ли на 49 порту в транк добавлять vlan16?

4. Правильно ли я сделал, что выделил Принтсервер в отдельный влан вместе с принтерами? Или нужно будет оставить его вместе с остальными серверами в vlan10?

5. Принтеры все подключаются через GPO и следовательно доступ к самим принтерам пользователям не нужен. Как ограничить доступ ко всему vlan30 для пользователей, но оставить доступ на принтерсервер, с которого будут "цепляться" принтера?
  • Вопрос задан
  • 465 просмотров
Подписаться 1 Простой 1 комментарий
Пригласить эксперта
Ответы на вопрос 4
flapflapjack
@flapflapjack
на треть я прав
Контроллер домена с DNS и DHCP должны находиться насколько я помню в одном широковещательном домене, чтобы избежать возможных проблем, иначе при проблемах с маршрутиризатором у вас отвалится всё Active Directory.

Айпишник с серверной подсети на DNS и DC можете повесить на дополнительный интерфейс сервера и прокинуть вторым портом в коммутатор SW3. Соответственно конечно же на транковый порт SW3 нужно будет кинуть оба VLAN. Принт сервер можно и на DC сделать, не думаю что это прям отдельного сервера заслуживает, если у вас компания не из 100500 принтеров.

Доступ к принтерам от пользователей - нужен. У вас принт сервер отдает пользователю информацию о принтере - это ip:port. А как будет ip принтера доступен пользователю, если сеть пользователя и принтеров не маршрутизируются между собой?
Ответ написан
@Akina
Сетевой и системный админ, SQL-программист.
1. Каждый DHCP-скоп должен "сидеть" в своём VLAN. Так что VLANID=10 для DHCP-сервера - явно неправильно. Он должен раздавать адреса юзерам и, возможно, принтерам, так что два скопа и три VLANID (ибо он сервер и должен быть в VLAN серверов). Да, серверы с динамическим IP - это более чем странно, даже при статическом резервировании.

2. Клиентских портов - да, не требуется. А вот на транке добавь, хуже не будет.

3. Аналогично - лучше добавь.

4. Можно и так, и эдак. Как по мне - принтсервер таки сервер, вот и пусть его в сегменте серверов. А вообще я б его делал двухинтерфейсным, наверное - один в серверах, второй с принтерами, так ему проще будет отлавливать включение-выключение принтеров.

5. Так принт-сервер и его очереди же публикуются через домен, а доступ к нему маршрутизируется. Зачем тебе прямой доступ клиентов к принтсерверу?
Ответ написан
vesper-bot
@vesper-bot
Любитель файрволлов
1. Лучше всего выставить DHCP-сервер в подсеть к пользователям, вместо использования ip address-helper. Уже потом пользователи (если ПК с виндами, или если настроена DNS-регистрация) пойдут на DC за регистрацией своего IP-адреса и всем остальным от домена. Если у вас DHCP на роутере, то да, в каждый vlan нужно назначить один пул адресов вместе с остальными конфигами (gateway, DNS, что ещё требуется в сети). Хотя в серверной подсети держать DHCP малость некорректно в самом деле, но можно его там иметь на случай если кто-то левый подключится по DHCP, а сервер хоп и алерт пошлет, вида "у вас завелся враг!!11!". Ну или если конфиг на адаптере слетит, можно будет добраться до сервера и починить.
2. Нет, если vlan10 там ни одному устройству не требуется на уровне L2, а по схеме там ни одного устройства с vlan10 нет. Но добавить в транк - можно, "хуже не будет", свитчи знают, на каком порту у них какие устройства, и трафик по vlan10 в сторону свитча полетит только тогда, когда будет куда его отправлять.
3. То же самое
4. Работать будет, а понятие "правильно" тут не особо применимо. Вам понадобится разрешить на роутере доступ к принт-серверу из vlan пользователей и серверов (если в серверах есть RDP, с которых нужна печать), плюс со станции управления.
5. А так и пишете, iptables -A FORWARD -s 172.16.16.0/23 -d 172.16.30.1 -j ACCEPT (опционально фильтровать дополнительно порты, нужен 445 для SMB и могут понадобиться динамические порты, давно уже нет у меня принт-сервера). Все равно меж-влановым доступом управляет роутер на уровне L3/L4.
Ответ написан
@gonzaman1
Бррррр........
Разобьем ответ на 2 блока:
1. Конечные клиенты должны получать айпи с сервера автоматом, поэтому вешаешь дхсп прямо на вланы. Хочешь безопасности - фильтруй по макам уже на портах. А так пришел чувак с тупой железкой и тут придется вмето включения порта и антаргета регистрировать его руками. Можно, но не вижу необходимости.
2. Транк вланов должен быть свободный для удобства коммутации и маштабирования.
3. Выше ответ
4. Принтсерверу в общем то пофигу где быть, главное - доступность всех принтеров.
5. Правилом vlan16 vlan30 drop при условии что вторым интерфейсом принтсервер смотрит в сеть пользователей

Теперь по ответам на вопросы)))

1. Хелпер это простой маршрут для определенного пакета. Тоесть если вы хотите вынести dhcp в другую подсеть - вы делаете либо персональный маршрут на влан либо персональный маршрут на порт.
2. Влан трафик не обрабатывает)) это туннель, трафик обрабатывает маршрутизатор. Вы же не отсылаете запрос с клиента типа - мне в влан20 бабушке до востребования))) вы отсылаете на шлюз запрос типа- мне доступ к *.*.х.*/24 от *.*.у.*/24 шлюз запрос принимает и проверяет его по правилу- "так такой запрос нужно направить из сети У в сеть Х , а сеть Х у нас находится в вланеХ и туда отправляет". Так что ответ на вопрос - нет, добавлять влан на коммутатор не нужно, если вы не планируете на нем в этот влан добавлять устройства.
3. Как и в предыдущем вопросе - нет устройст нет влана
4. Это незначительно, куда хотите его туда и засовывайте. Главное чтобы доступ черезз маршрутизатор к нему был.
5. Опять же влан это просто туннель между устройствами, фактически простая одноранговая сеть. Вы не можете дать доступ к куску сети , а остальное отрезать. Поэтому вланами такое не режется, это режется правилами трафика тспип создаете 2 правила: Верхнее разрешить трафик из сети пользователей до принтсервера Нижнее запретить весь остальной трафик из сети пользователей в сеть принтеров.

В общем разбирайтесь. И еще раз в голове для себя соберите понятия vlan. Судя по вопросам вы не до конца понимаете зачем они нужны.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы