Правильно ли сделаны VLAN?

Question

[Вася Пупкин]

Продолжаю учить СДСМ. Разбираюсь с вланами и их настройкой, а так же адресами.
Есть вопросы по разделению сетей и правильности выбора. Схема такая:

1. Я создал на DHCP три области под три влана, как оборудование узнает из какой области получать адрес? Мне нужно будет в каждый Влан, который создан на маршрутизаторе добавить строчку типа ip address-helper 172.16.10.1? Как устройство поймет что ему надо брать адрес из области Users, а не Printers?

2. Нужно ли на SW2 добавлять vlan10 для доступа к серверам или если на коммутаторе нет устройств которые подключены с vlan10 то и добавлять его не нужно а доступ к нему происходит через коммутатор?

3. На SW3 нет vlan16, нужно ли на 49 порту в транк добавлять vlan16?

4. Правильно ли я сделал, что выделил Принтсервер в отдельный влан вместе с принтерами? Или нужно будет оставить его вместе с остальными серверами в vlan10?

5. Принтеры все подключаются через GPO и следовательно доступ к самим принтерам пользователям не нужен. Как ограничить доступ ко всему vlan30 для пользователей, но оставить доступ на принтерсервер, с которого будут "цепляться" принтера?

Comments

[graf_Alibert]

С точки зрения перфекционизма, да и вообще удобства ради адреса типа х.х.х.1 должны принадлежать маршрутизатору, так будет меньше путаницы.

Как устройство поймет что ему надо брать адрес из области Users, а не Printers?

"Понимать" кого куда назначить - задача DHCP.

Answer 1

[Талян]

Контроллер домена с DNS и DHCP должны находиться насколько я помню в одном широковещательном домене, чтобы избежать возможных проблем, иначе при проблемах с маршрутиризатором у вас отвалится всё Active Directory.

Айпишник с серверной подсети на DNS и DC можете повесить на дополнительный интерфейс сервера и прокинуть вторым портом в коммутатор SW3. Соответственно конечно же на транковый порт SW3 нужно будет кинуть оба VLAN. Принт сервер можно и на DC сделать, не думаю что это прям отдельного сервера заслуживает, если у вас компания не из 100500 принтеров.

Доступ к принтерам от пользователей - нужен. У вас принт сервер отдает пользователю информацию о принтере - это ip:port. А как будет ip принтера доступен пользователю, если сеть пользователя и принтеров не маршрутизируются между собой?

Comments

[Sergey Ryzhkin]

Принт сервер можно и на DC сделать

Не очень хороший совет.

[Максим Гришин]

> У вас принт сервер отдает пользователю информацию о принтере - это ip:port.

Вообще говоря, неверно, принт-сервер на виндах отдает пользователям виртуальную очередь вида \\printserver\printer, доступ на неё по 445 порту SMBv3, а общением с принтерами занимается сам сервер.

> иначе при проблемах с маршрутизатором у вас отвалится всё Active Directory

Можно обойти с использованием RODC в подсети пользователей, который так же будет работать DNS-сервером. Но так как при проблемах с роутером отвалится вообще всё, а не только AD, то есть и печать, и файлы, и что там за службы развернуты в подсети серверов, резервировать только AD нецелесообразно. Всё равно роутер чинить.

Answer 2

[Akina]

1. Каждый DHCP-скоп должен "сидеть" в своём VLAN. Так что VLANID=10 для DHCP-сервера - явно неправильно. Он должен раздавать адреса юзерам и, возможно, принтерам, так что два скопа и три VLANID (ибо он сервер и должен быть в VLAN серверов). Да, серверы с динамическим IP - это более чем странно, даже при статическом резервировании.

2. Клиентских портов - да, не требуется. А вот на транке добавь, хуже не будет.

3. Аналогично - лучше добавь.

4. Можно и так, и эдак. Как по мне - принтсервер таки сервер, вот и пусть его в сегменте серверов. А вообще я б его делал двухинтерфейсным, наверное - один в серверах, второй с принтерами, так ему проще будет отлавливать включение-выключение принтеров.

5. Так принт-сервер и его очереди же публикуются через домен, а доступ к нему маршрутизируется. Зачем тебе прямой доступ клиентов к принтсерверу?

Comments

[Вася Пупкин]

Да, серверы с динамическим IP - это более чем странно, даже при статическом резервировании.

Я про динамические адреса на серверах вроде ничего не писал.

Зачем тебе прямой доступ клиентов к принтсерверу?

Так принтер подключается к пользователю через GPO и там получается что принтер отображается в формате "принтсервер\имя_принтера". Как он подключится если он будет недоступен? Да и выше вон человек написал, что передаются какие-то еще данные.

так что два скопа и три VLANID (ибо он сервер и должен быть в VLAN серверов)

Тут ничего не понял, если не сложно то чуть более развернуто можно ответить, что мне исправить?

Каждый DHCP-скоп должен "сидеть" в своём VLAN. Так что VLANID=10 для DHCP-сервера - явно неправильно.

Аналогично. Немного не понятно. Мне на порту на сервере делать кучу адресов из разных вланов или что? Можно чуть подробнее что в схеме исправить?

[Akina]

Вася Пупкин,

Я про динамические адреса на серверах вроде ничего не писал.

Ну ты ж создал скоп для серверного вилана...

Как он подключится если он будет недоступен?

А почему это он недоступен? у тебя ж маршрутизатор...

[Вася Пупкин]

Akina,

Ну ты ж создал скоп для серверного вилана...

А, ты про зону в дхцп? Ну просто для удобства мониторинга и т.д. Можно же просто закрыть зону от выдачи адресов. Так же удобно вроде мониторить количество и актуальность адресов. Не лазая по каким-нить файликам с записями.

А почему это он недоступен? у тебя ж маршрутизатор...

Так речь же идет чтобы убрать доступ в влан с принтерами для полдьзователей. А если не будет доступа в влан как тогда пользогватели будут иметь доступ к серверу который там расположен.

[Талян]

Вася Пупкин,

Так речь же идет чтобы убрать доступ в влан с принтерами для полдьзователей. А если не будет доступа в влан как тогда пользогватели будут иметь доступ к серверу который там расположен.

если пользовательский влан и влан с принтерами не пересекается, но маршрутизируется между собой на роутере, то доступ - будет.

Я вам выге писал именно про доступ через маршрутизатор. А так - пусть принтеры в отдельном влане болтаются. Это правильно.

[Максим Гришин]

> Каждый DHCP-скоп должен "сидеть" в своём VLAN.

Справедливости ради, это не совсем верно. Была у меня сеть с двумя DHCP-серверами, каждый раздавал свой скоп, но они во-первых не пересекались (сеть была ЕМНИП 172.16.0.0/16 и скопы были 80.0/21 и 90.0/21), во-вторых выдавали одинаковые значения для GW и DNS, и всё прекрасно работало. Вот если скоп перекрывает всю подсеть, тогда да, один скоп - один влан.

[Akina]

Максим Гришин, это вполне возможно. Даже с точки зрения надёжности два непересекающихся DHCP в одном вилане лучше одного.

Вот если скоп перекрывает всю подсеть

Необязательное условие. Всё же есть часть адресов подсети, которые должны назначаться именно статически, где простого резервирования адреса недостаточно. Скажем, те же GW и DNS, адреса которых передаются клиентам.

Answer 3

[Максим Гришин]

1. Лучше всего выставить DHCP-сервер в подсеть к пользователям, вместо использования ip address-helper. Уже потом пользователи (если ПК с виндами, или если настроена DNS-регистрация) пойдут на DC за регистрацией своего IP-адреса и всем остальным от домена. Если у вас DHCP на роутере, то да, в каждый vlan нужно назначить один пул адресов вместе с остальными конфигами (gateway, DNS, что ещё требуется в сети). Хотя в серверной подсети держать DHCP малость некорректно в самом деле, но можно его там иметь на случай если кто-то левый подключится по DHCP, а сервер хоп и алерт пошлет, вида "у вас завелся враг!!11!". Ну или если конфиг на адаптере слетит, можно будет добраться до сервера и починить.
2. Нет, если vlan10 там ни одному устройству не требуется на уровне L2, а по схеме там ни одного устройства с vlan10 нет. Но добавить в транк - можно, "хуже не будет", свитчи знают, на каком порту у них какие устройства, и трафик по vlan10 в сторону свитча полетит только тогда, когда будет куда его отправлять.
3. То же самое
4. Работать будет, а понятие "правильно" тут не особо применимо. Вам понадобится разрешить на роутере доступ к принт-серверу из vlan пользователей и серверов (если в серверах есть RDP, с которых нужна печать), плюс со станции управления.
5. А так и пишете, iptables -A FORWARD -s 172.16.16.0/23 -d 172.16.30.1 -j ACCEPT (опционально фильтровать дополнительно порты, нужен 445 для SMB и могут понадобиться динамические порты, давно уже нет у меня принт-сервера). Все равно меж-влановым доступом управляет роутер на уровне L3/L4.

Comments

[Вася Пупкин]

Максим Гришин,
1. ДХЦП на винде будет, т.е. на контроллере и соответственно в 10-ом влане, который будет отведен для серверов.
1а) Понял что область для серверов лучше не делать, а адресацию вести в табличке.
1б) "Лучше всего выставить DHCP-сервер в подсеть к пользователям, вместо использования ip address-helper" - Как это сделать не подскажете?
1в) Тогда как правильно мне выдавать адреса для остальных вланов через ДХЦП если не ставить helper в настройках влана на маршрутизаторе?
1г) Я вообще считал, что если есть домен, то и ДХЦП мастхев должен быть там же. Разве есть смысл юзать дхцп на то же маршрутизаторе, если у тебя предприятие и штук 300 оборудования. Как вообще принятно в таком случае? Я не встречал примеров когда у тебя есть домен но ДХЗЦП ты поднимаешь где-то в другом месте.

[Максим Гришин]

Вася Пупкин, ну в домене главное все-таки не DHCP а DNS, и настройка автоматической регистрации рабочих станций в нем. Вот DNS всегда на контроллере домена, а DHCP может там не быть. Как следствие, DHCP можно поднять на роутере, указав в скоупе default gw и DNS server опции, после чего машина в домене зарегистрирует (если не сломано на конкретной тачке) своё имя со своим текущим адресом на DNS-сервере он же DC.
А насчет ip helper'a - чтобы раздавать адреса одним сервером на обе подсети (16 и 30), вам как-то надо различать, из какой подсети прилетел DHCP-запрос, и сколько помню (вот тут могу легко ошибаться), пересланный по ip helper запрос не сохраняет информацию, из какого VLAN он прилетел, и сервер не сможет различить, какой скоуп использовать для выделения IP-адреса. И вы тогда поимеете проблем, вида адрес 172.16.30.0/24 в 16й подсети.

Answer 4

[gonzaman1]

Бррррр........
Разобьем ответ на 2 блока:
1. Конечные клиенты должны получать айпи с сервера автоматом, поэтому вешаешь дхсп прямо на вланы. Хочешь безопасности - фильтруй по макам уже на портах. А так пришел чувак с тупой железкой и тут придется вмето включения порта и антаргета регистрировать его руками. Можно, но не вижу необходимости.
2. Транк вланов должен быть свободный для удобства коммутации и маштабирования.
3. Выше ответ
4. Принтсерверу в общем то пофигу где быть, главное - доступность всех принтеров.
5. Правилом vlan16 vlan30 drop при условии что вторым интерфейсом принтсервер смотрит в сеть пользователей

Теперь по ответам на вопросы)))

1. Хелпер это простой маршрут для определенного пакета. Тоесть если вы хотите вынести dhcp в другую подсеть - вы делаете либо персональный маршрут на влан либо персональный маршрут на порт.
2. Влан трафик не обрабатывает)) это туннель, трафик обрабатывает маршрутизатор. Вы же не отсылаете запрос с клиента типа - мне в влан20 бабушке до востребования))) вы отсылаете на шлюз запрос типа- мне доступ к *.*.х.*/24 от *.*.у.*/24 шлюз запрос принимает и проверяет его по правилу- "так такой запрос нужно направить из сети У в сеть Х , а сеть Х у нас находится в вланеХ и туда отправляет". Так что ответ на вопрос - нет, добавлять влан на коммутатор не нужно, если вы не планируете на нем в этот влан добавлять устройства.
3. Как и в предыдущем вопросе - нет устройст нет влана
4. Это незначительно, куда хотите его туда и засовывайте. Главное чтобы доступ черезз маршрутизатор к нему был.
5. Опять же влан это просто туннель между устройствами, фактически простая одноранговая сеть. Вы не можете дать доступ к куску сети , а остальное отрезать. Поэтому вланами такое не режется, это режется правилами трафика тспип создаете 2 правила: Верхнее разрешить трафик из сети пользователей до принтсервера Нижнее запретить весь остальной трафик из сети пользователей в сеть принтеров.

В общем разбирайтесь. И еще раз в голове для себя соберите понятия vlan. Судя по вопросам вы не до конца понимаете зачем они нужны.

Comments

[Вася Пупкин]

поэтому вешаешь дхсп прямо на вланы.

Разве это правильно, делать дхцп на вланах, когда есть домен и дхцп в домене? Я правильно понял, что вы рекомендуете поднимать дхцп сервис там где идет настройка вланов и маршрутизации, т.е. на условном микротике вместо серверной винды?

По всем остальным более-менее понятно, спасибо!

[gonzaman1]

Я написаол вам 2 блока, в первом собрал в голове вашу схему и подумал как бы ее я собрал. Во втором постарался предметно ответить на ваши вопросы.
Почему dhcp на железе, а не на софте ? нет необходимости его администрировать в вашей конфигурации, зачем заморачиваться ? Трафик же маршрутизатор гоняет, вот пусть и гоняет )

[Вася Пупкин]

gonzaman1, Т.е. дхцп на винде нужен тогда, когда эта самая винда выступает в качестве маршрутизатора? Во всех остальных это типа не мастхев?

У меня просто изначально было понимание, что если в сети есть домен и контроллер, то дхцп должен быть в виде роли на той же винде и это типа не обсуждается. А тут уже пару человек высказалось, что при стандартной для всех схеме сети, где есть ПК, принтера, сервера, телефония и камеры (что обычно является стандартом у 90% компаний), оказывается ДХЦП не нужен на винде, и его можно, и как я понял даже нужно т.к. будет более правильно, делать его на маршрутизаторе.

Получается мне нужно убрать роль с винды, перенести дхцп на маршрутизатор, убрать их вланов строку ip address-helper и в теории это будет более правильно, верно?

[gonzaman1]

Все зависит от будущих задач. Дхцп на контроллере нужен для многоуровневого леса, огромное дерево, куча ресурсов, 300 туннелей , 1000 пользователей , 200 шареных папок, офисы по всему миру )
Тогда днс группы должны быть жестко привязаны к адресам, автоматические трансферы обратных зон и удобное администрирование. Тогда надо, конечно, разворачивать на винде. А если у вас "полтора сервера, хромой админ и 6 человек штата сотрудников " на это заморачиваться не нужно. Хотя мы с вами в 3 темах разговариваем и если учитывать ваш не большой опыт, может вам и стоит дхцп поднять на контроллере