Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?
Стоит дилема как лучше поступить.
Но для начала глупый вопрос.
Хотелось бы взять комок не важно L2 и L3 и сказать ему: "Дружище вот 1-4 порты это подсеть 1.0, порты 5-6 это подсеть 2.0 и так далее" Но чтоб все они были в VLAN1!
На подсети разделить хочется, а усложнять себе жизнь гемором не очень (Когда денег платится не много).
Поэтому вижу отсюда такой выход.
Купить CCR2216-1G-12XS-2XQ потому что нужно БУДЕТ ОЧЕНЬ МНОГО SFP (на самом деле 4-6 портов максимум). Другие микротики советовать не надо - это говно либо мало SFP либо нет switch сопроцессора и тд.
дак вот. И уже на самом Некротике я буду говорить "Друг, SFP1 это подсеть 1.0 давай иди гуляй к тому комку.Так, SFP2 ты подсеть 2.0, давай иди гуляй во торому комку и так далее".
Норм тема?
Пусть все в 1 vlan будут, зато хоть так разделить камеры телефоны компы и бродкасты. НУ НЕ ХОЧУ я жопу себе рвать ради VLAN, я не сетевик а инфраструктурщик ёмаё.
Да и компов у нас мало, подсети ваще не нужны но хочется по красивше сделать.
П. С. Бонусный глупый вопрос. Рассматриваю также к покупке Zywall FLEX 700h. ПО цене также как и микротик, у нас вся инфраструктура на Zywall.
Но проблема в том что у него куча медных портов а мне надо дофига оптики + разделеи подсетей. Тут тогда придётся либо вланы, либо куча медиаконвертеров либо куча коммутаторов а это ГОВНО.
Советы вопросы критика?
А дальше всё это дело обмазать VPN ISPEC IKEV1 по ключу.
Все подсети будут с /24 маской.
Но подсеть впн будет с /18 маской чтобы ВИДЕТЬ другие сети. Будет подсеть на подсетью (секретная типа того, псевдо подсеть невидимая).
Двойную инкапсляцию не хочу! Поэтому планирую на чистом ipsec сделать обходные пути (потому что на голом ipsec никакие маршрутизации ничё не работает, а мне надо звезду делать чтобы без проблем трафик гулял через центральное ядро в крайние удаленные узлы
Но в крайнем случае без проблем конеш всё это безобразие можно будет обернуть в GRE какой-нить под IPSEC.
Критика. Простые и банальные вопросы вообще не сочетаются с использованием придуманного "компьютерного сленга".
Кто будет читать и вникать в полет сознания, да еще в такой форме.
В правилах кстати есть п. 3.6 https://qna.habr.com/help/rules
Без разделения по vlan ты можешь творить что угодно, но будет полная ахинея и хаос.
Работать технически возможно что-то где-то как-то будет, физического разделения подсетей между портами не будет.
И ты вообще кажется не понимаешь на каком уровне у тебя vlan, на каком разделение по ip , а на каком vpn.
У меня всё будет происходить на самом Межсетевом экране.
Кто-то запрещает сделать 4-6 бриджей?
SFP1 порт - это bridge1 подсеть 1.0/24
SFP2 порт - это bridge2 подсеть 2.0/24
SFP3 порт - это bridge3 подсеть 3.0/24
SFP4 порт - это bridge4 подсеть 4.0/24
Ipsec peer будет с /18 или /19 маской не важно.
Все во VLAN1
В чём проблемы? Это лучше чем все в одной подсети НО БЕЗ ЖОПАБОЛИ с влан.
Само собой в одной физической локальной сети могут быть группы машин с РАЗНЫМИ подсетями (просто указать в dhcp для каждого mac адреса свой ip адрес ну или статикой), и они не будут друг другу мешать, пока пользователь вручную ip адрес не поменяет. Для этого не нужно никакого умного оборудования
У тебя должно быть физическое подключение офисов, какой то способ передавать сетевые пакеты между ними, объединяя их в единую сеть. Полагаю либо между офисами у тебя уже протянут кабель либо это сделал ваш вышестоящий провайдер, не важно как.
По умолчанию, если разным машинам выдавать ip адреса из нескольких подсетей, то эти подсети БУДУТ РАБОТАТЬ независимою. Для этой работы ничего больше не нужно делать
Но это не подходит под требование секретности, так как все устройства в такой сети будут иметь возможность подключиться к любой локальной сети в ней... vlan-ы позволяют на аппаратном уровне разграничить доступ.
Иначе, у тебя варианты:
1. на каждой машине, где нужна секретная сеть, поднять любой vpn клиент (не важно ip sec или openvpn, это уже тонкости реализации), в этом случае все остальные машины в сети будут видеть какой то трафик но не будут его понимать.
2. разделить сеть физически, расставив маршрутизаторы в узлах, а на маршрутизаторах настроить vpn (т.е. как в первом случае но маршрутизаторы избавят от необходимости инкапсулировать трафик везде)
Этот вариант такой же 'дорогой' как и поставить нормальное оборудование, только гемора больше.
rPman, давай я нарисую щас чтоб понятнее было пару минут
Написано
Валентин
@vvpoloskin Куратор тега Компьютерные сети
Какой-то сумбур написан. Автор боится VLANо-в, хотя технологии уже 30 лет. Хочет гавключать больше портов в файрвол вместо коммутаторов, не смотря на то что порт на свиче стоит на порядок дешевле чем на экране.
Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?
Можно, называется ip secondary. Только это колхоз и так делают когда надо расширять имеющееся, не новое
bassoon48, у тебя единый узел в центре, на котором ты можешь настроить маршрутизацию трафика как угодно, хоть роутингом, хоть натом, хоть как.
НО в каждой отдельной сети (вот эти три отростка со своими api) будет своя локальная сеть, которая будет работать с центральным роуетром по его правилами.
Не важно как ты доставляешь трафик на роутер, важно как его забирают клиенты.
p.s. есть теория а есть практика, вот с практикой у меня опыта мало, говори конкретные настройки и тебе подскажут
bassoon48, через роутер зависит конечно от ресурсов роутера, все в разы, а то и в десятки или сотни раз будет работать медленне чем с разбивкой по тупым vlan.
в чем разница между разбивкой на подсети в одной vlan на межсетевом экране и в разных vlan на l3 коммутаторе?
В том, что vlan разделяет широковещательные домены канального уровня, а разные подсети - сетевого.
IP телефоны в самом деле лучше изолировать в отдельный влан, они нэжные и тормознутые, как правило, им любой лишний трафик противопоказан. На многих свичах даже отдельный приоритет для влана под voip можно выставить. На остальное в маленькой сети пофиг.
Ну а так, я не понимаю, зачем ты занимаешься тем, что тебе не нравится. Скажи начальству "наймите сисадмина, я тут при чем?", если твоя работа к этому отношения не имеет.
VLAN - сложна, а штаны через голову надевать - нет. Забавно. Что сложного с vlan?
А зачем нужен VLAN тут?
В чём разница между:
1.0/24 vlan1
2.0/24 vlan1
и 1.0/24 vlan10
2.0/24 vlan20
Принципиальная разница в чём? Я всегда думал что ВЛАН нужен В ПЕРВУЮ очередь чтобы не городить 100 коммутаторов а более рационально распределять порты. Как матрёшка вместо 1 коммутатора у тебя условно 10-20.
И ещё когда у тебя суууупер много подсетей. Больше 15-20. И это не удалённые подсети а именно в одном здании.
Плюс когда это реально требуется по безопасности.
А так на кой хер вот ты мне скажи разница в чём?
И так и так будут бродкасты разделены и изолированы.
bassoon48, ты просто не понимаешь, делай как знаешь.
Зачем вопросы задаешь если ответы ты все равно принимать не собираешься.
Чтобы самоутвердится какую ты гениальную схему придумал что-ли ?
Так через гениальные схемы все проходят в начале пути, потом понимают вдруг в очередную бессонную ночь, что книжки не идиоты пишут, и некоторые вещи давно придуманы и их думать не надо.
bassoon48, если клиент нищий - подумай чем он будет потом платить тебе когда все упрется в проблему.
Запомни один закон вселенной - деньги ты экономишь клиенту, и ты этих денег не увидиш.
Геморой зарабатываешь себе лично, и клиенту на него плевать.
----
И если клиент нищий поставь вообще самый дешманский коммутатор неуправляемый и ничего не дели пусть все в одной сети будет, делать говно так делай полностью говно.
А пытаться сделать бочку меда с ложкой говна - плохая идея.
Это уже все равно будет бочка говна.
Три ветки обсуждений вопроса и во всех обсуждают одно и то же. Жесть...
Технически, если в одной сети одни хосты используют подсеть1, другие непересекающуюся с ними подсеть2, то это всё даже будет работать. Но возникает вопрос: А ЗАЧЕМ? Такой подход не решает никаких проблем. Вообще ни одной. Кроме ленивой жопы админа, который ниасилил даже такую примитивную и дубовую технологию, как VLAN.
VLAN - это то, что очень просто и при этом работает очень хорошо. Один раз настраиваешь - и оно годами работает без сбоев. А этот кадавр с одним VLAN - это потенциальный источник самых непредсказуемых проблем. Случится у тебя proxy-arp или icmp-redirect - и начинай мучительно искать, откуда оно вылезло...
Если опустить вопрос масштабируемости и безопасности что какая нибудь умная бабка из бухгалтерии получит доступ к принтеру из туалета (хотя это решается доменными правами на учётку AD)
Alexey Dmitriev, одмен, снеси пожалуйста этот вопрос. + дай мне в карму побольше плюсов чтоб я мог больше холиварить и поднимать SEO чтоб вопросики были выше по списку гугла и яндекса.
bassoon48, proxy arp и icmp redirec это НИКАК НЕ L0. Вот видишь, ты уже на такой простой детали и не понимаешь тему. Судя по дальнейшему комментарию ты даже не в курсе, что такое proxy arp и как может тебе устроить задницу на пустом месте.
ICMP Redirect это не про блокировку ICMP. Это про то, что любой шлюз в сети может посчитать, что ему не надо роутить трафик, а вместо этого попросить роутить в другой хост. И это обычное дело, если шлюз посчитает, что оба хоста находятся в одной сети, это временами приходится вот прям нарочно отключать, чтобы не работало. Но зачем это отключать, если при изначально правильной архитектуре такой ситуации даже не возникает?
Разница в том, что в первом случае у тебя софтверный бридж со всеми его нюансами (fd, stp итд, паразитный трафик broadcast'ов во всех интерфейсах и всё такое), а во втором - полноценные отдельные независимые интерфейсы.
Просто почитай на досуге про macvlan и ipvlan, как они отличаются и почему у них целая пачка настроек и режимов. Там всё совсем непросто.
И всё ради чего? Что мешает сделать отдельные интерфейсы? Что мешает сделать ПРАВИЛЬНО и ГРАМОТНО? Ты же вообще ни в чём не экономишь.
. ICMP Redirect это не про блокировку ICMP. Это про то, что любой шлюз в сети может посчитать, что ему не надо роутить трафик, а вместо этого попросить роутить в другой .
Ну дак это проблема L0. У тебя почему к шкафам имеют доступ? Порты лишние надо отключать это раз.
Во вторых я тебе ещё раз говорю. Чтобы не было arp spoofing и icmp redirect. - во первых в микротике есть галочка ARP SPOOFING.
Во вторых есть таблица белых mac адресов.
В третьих есть firewall, логи...
Для остального есть доменные учетки с обрезанными правами.
. fd, stp итд, паразитный трафик broadcast'ов во всех интерфейсах и всё такое
Всё такое)) вот ты сам и обосрался. Во первых бродкасты разделяются - иначе ты бы видел mac адреса другой подсети.
Какой паращмтный трафик?
Всё такое))
Stp и "все такое" также можно настроить. И это будут ОТДЕЛЬНЫЕ ПОЛНОЦЕННЫЕ но ФИЗИЧЕСКИЕ а не ВИРТУАЛЬНЫЕ VLAN
Ты понять простой вещи не можешь что vlan это логическое деление коммутатора а я делю ФИЗИЧЕСКИ. Прям вот отдельные порты выделяю и всё. И это тоже правильно когда мало сетей и нет требований
Я тебе даю 2 подсказки. Vlan1 там условен, вланов вообще не будет. Это я для удобства для тупых чтоб понимали о чем речь, а то они только по книгам думать умеют.
Во вторых - бриджей вообще НЕ БУДЕТ.
Спойлер! Разницы НЕ БУДЕТ. Минус только 1 - масштабируемость и гибкость.
Но если это нах не надо то оно не надо, верно? Вот буду я щас себе башку забивать какие порты под какие vlan отдать.
Ну ооочень удобно! Гораздо удобнее чем просто коммутатор зафигачить и как хочешь так и подключай
bassoon48, проблема не L0. Ну если ты это не понимаешь, то о чём вообще можно говорить? Ты вообще с реальнми проблемами на сети в жизни сталкивался? Как вообще можно было путать proxy arp и arp spoofing?
Если ты делаешь просто физические порты без vlan то ладно, я разрешаю использовать физические порты. Так тоже делают иногда. Но это всё равно будут физические порты, причём тут vlan? Убери его из этой схемы тогда. Если же влан ты таки заведёшь (вот этот вот один), то никуда не деться от бриджа между портами.
Это головная боль безопасников думать. Моя задача - обеспечить безопасность на уровне L0 - банально запереть шкафы и отключить лишние порты и розетки. ВСЁ!
Для шизов - привязка к MAC и все твои arp spoofing proxy arp и redirect автоматически идут нахер.
Кулхацкер получит писей по губам. Для остального придуманы доменные учётки и антивирус.
bassoon48, Исходя из предоставленной картинки со схемой, я вообще не вижу никаких предпосылок для использования вланов. Все настраивается маршрутами на машрутизаторах офисов. Ну и плюс можно добавить фильтры к маршрутам. Вланы нужны когда нужно несколько сетей L2 пробросить по одному физическому каналу(кабелю). Но вообще, нужна более точная информация по инфраструктуре.
Если офисы подключаются через интернет. То маршрутизаторе офиса 1 включаешь vpn сервер (протокол выбираешь на свой вкус исходя из предлагаемых маршрутизатором), соответственно на маршрутизаторах остальных офисов клиентов, настраиваешь туннели. И дальше всё как я говорил выше. Тут и места нет вланам, потому что они не смогут ходить поверх ip(L3), за исключением EoIP.
Хочешь сказать что они не будут друг друга видеть по IPSEC site-to-site?
Бред какой-то.
А EoIP вообще вредно использовать, там фрейм просто огромный (фрагментация). Единственное применение - это то что он пускает мультикаст по туннелю. Больше применений не нашёл (пока что(
bassoon48, вланы актуальны(применимы) только внутри локальной сети (L2 домена). Т.е на маршрутизаторе Москвы ты создаешь какие угодно вланы для этого офиса. На маршрутизаторе Владивостока свои вланы для этого офиса. И эти вланы (Москвы и Владика) никак напрямую не пересекаются. Взаимодействие сетей(а вланы это и есть разные сети) между офисами происходит посредством настройки маршрутизации на обоих концах через впн туннель. Примерно так: На стороне Москвы: сеть "Владик №1"(конечно же это адрес одной из сетей Владика) - смотри в туннель, сеть "Владик №2" - тоже туда же. На стороне Владика: сеть "Москва №1" - в туннель, и так далее.
pilligrimm, как будут в локалке гулять VLAN это и дураку ясно. Хоть на Роутере маршрутизируй хоть на L3 свиче.
Плюс если ещё понадобиться пробросить тегированный трафик по туннелю? У меня допустим VLAN10 будет и в Москве и во Владике.
Я поэтому до последнего избегаю этого гемора (типа "удобства", ага да 100 раз) - поэтому тупо навшиваю на каждый интерфейс Роутера (ETH1 ETH2 ETH3...) - отдельные подсети.
П. С. Если сможешь мне объяснить технологию я буду счастлив потому что пока в голове каша
bassoon48, Ну почти. Близко. Попробую уточнить. Есть маршрутизатор в Москве, назовем его Мм и соответственно во Владике - Мв. На Мм сводятся свои локальные сети (без разницы по вланам или портам), пусть будут 11.0/24 (192.168. - буду опускать для краткости), 12.0/24, 13.0/24. Соответственно на Мв пусть будут свои: 21.0/24, 22./24. Между Мм и Мв поднимает туннель (опять же без разницы, по вкусу, хоть IPsec., хоть SSTP, хоть PPTP или прочий). У которого на Мм будет адрес допустим 172.16.0.1/30, а на Мв соответственно 172.16.0.2/30. Всё, теперь туннель поднят и на маршрутизаторах указываем маршруты. На Мм: 21.0/24 gateway 172.16.0.2 и 22.0/24 gateway 172.16.0.2. На Мв, соответственно: 11.0/24 gateway 172.16.0.1, 12.0/24 gateway 172.16.0.1 и 13.0/24 gateway 172.16.0.1. Всё, каждый маршрутизатор знает какие сети расположены на другом конце туннеля и соответствующие запросы направляет туда.
pilligrimm, Всё я понял. С L3 коммутатором это наоборот лишний гемор (наверно но это не точно)
Я понял так.
Есть у нас роутер Mikrotik. Все порты у него связаны в Bridge. Мы на этот Brdige навешиваем 300 вланов. Все порты Trunk.
И потом я уже как удобно от этого bridge пускаю Trunk порты на коммутаторы L2 по зданию.
Самая фишка в том, чтоб сам роутер ЗНАЛ все 300 вланов. А свитчам L2 достаточно знать только свои вланы 3-10шт например (но которые в свою очередь обязан знать сам роутер Mikrotik).
bassoon48, "Типа 192.168.1.0/24 vlan 10 в Москве это НЕ тоже самое 192.168.1.0/24 vlan 10 в Волгограде?" - это ты пытаешься растянуть одну локалку (L2 домен) 192.168.1.0/24 на два офиса. Тогда только EoIP. А если тебе нужна просто доступность сетей одного офиса в другом, то тегированный трафик нафиг не нужен.
bassoon48, "Но чистый Ipsec я на 99% уверен что не будет инкапсулировать в L2 подсети ЗА маршрутизатором." - ты перечитался. Ничего инкапсулировать не надо. Надо маршрутизировать, это и есть L3 уровень. Московские сети во Владике доступны? Доступны. В Москве Владиковские сети доступны? Доступны. Что ещё надо?
bassoon48, "А мне бы чистый ipsec хотелось он быстрее" - это просто протокол на котором ты поднимешь туннель (установишь связь между офисами). Я же сказал, хочешь ipsec - пожалуйста, хочешь какой-то другой - пожалуйста. Это как мост через реку. Хочешь бетонный, хочешь деревянный, хочешь, хоть, веревочный. Главное чтоб ты мог с одного берега ходить на другой. И кто сказал, что ipsec самый быстрый. Он будет быстрым если у тебя маршрутизатор аппаратно заточен под него.
bassoon48, "Но смогу ли я объяснить роутеру что если тебе нужны такие то подсети - иди на 0.2
А если такие то 0.1." - так я же тебе расписал - маршрутами на роутерах
Ну объясните мне почему мой способ "хуже", чем запариваться с VLAN, access, trunk?
ВЫ ко мне приедете и всё настроите я правильно понимаю?
150 камер, 50 телефонов и так далее да? И кластер ESXI серверов (50 виртуалок) и все сервисы поднимете? А САМОЕ ГЛАВНОЕ - потом БУДЕТЕ это админить за 50-60к в месяц.
А потом вот такие как вы приходят ко мне, как к инженеру провайдера, к которому их замечательная практическая сеть подключена и их мечты разбиваются о скучные теоретические стены....
От вас сейчас требуется только одно. Просто понять, что CCR - это не коммутатор. А роутер. И следовательно бриджи на нем вам просто не нужны.
А потом вы будете жаловаться, что микротик не вывозит вашу сеть и все тормозит...
Руслан Федосеев, я и не претендую на 100% правильность. но знаешь мой вариант ГОРАААЗДо лучше чем когда в одном бродкасте и камеры и телефоны и компы и принтеры ... а потом?
ОЙ! А нам не хватает адресов! ОЙ а чой то сеть тормозит?
Поэтому я ЗА то чтоб разделять сеть, но делаю это по своему
Да чего вы к вланам прицепились??? Где я сказал, что вам нужны вланы???
Еще раз, медленно. Удаляете на микротике дефолтовый бридж. Нафиг.
Получаете 16 НЕЗАВИСИМЫХ ИНТЕРФЕЙСОВ.
На каждом интерфейсе прописываете необходимую вам сеть. Настраиваете свой любимый ipsec. А Дальше - роутинг и фаервол в зубы. Роутинг вам даже круттить особо не надо - на микроте сразу построится необходимая маршрутизация, чтобы между вланами ходить.
Дальше настраиваете NAT для клиентских сетей, фаерволом рубите лишнее, поднимаете DNS сервер для всех, и работаете...
Я же сказал - изучите сети, чтобы понимать что вам говорят, на одном языке разговаривать.
bassoon48, после хв оффлоада (разборка пакетов чипом интерфейса) идёт программный бридж, который обрабатывается цпу. Switch bridge обрабатывается чипом, но вы не можете их плодить бесконечно, он один. Ну или несколько, но на разные группы портов, что определяется разводкой платы, а не настройками.
Всё можно прикрутить потом, но это сопряжено с дополнительными трудностями и рисками, особенно если прикручивать "на живую" - пользователи могут внезапно остаться без сети. Проще, конечно, настраивать сразу.
bassoon48, нда... вы уже L3 связность строите. Нету тут вланов. Даже близко.
Вот постарайтесь все таки понять - в роутере - все порты отдельно. Я вам почему и говорю - удалите бридж и коммутатор перестанет быть коммутатором и станет роутером
И если на sfp1 у вас сеть 192.168.1.0/24, а на sfp2 - сеть 192.168.2.0/24 - это не значит. что они у вас все в одном влане. Нет там близко вланов. Широковещательные пакеты не будут ходить из одной сети в другую. Маки не будут видны между этим сетями.
вообще - СДСМ и учебники по сетям до понимания.
Или моя любимая поговорка - читаю документацию за вас. Дорого. 100% предоплата.
Руслан Федосеев, это кстати ещё раз подтверждает то что мой способ правильный.
Когда много подсетей, но все они "в одном vlan1" через маршрутизатор
Спасибо. Получается реально разница лишь в масштабируемости, "удобстве" (не всегда), и безопасности (которые можно решить колхозно либо не решать если ни нада)
Средний
