Добрый день, ребята!
Есть идеи, но решил посоветоваться и посмотреть, что сможете предложить Вы.
Оборудование: 1) Zywall 310 2) Свитчи 3) SIP телефоны 4) Сервер бух-ов 5) Общий обменник WD ShareSpace 6) Сервер программеров 7) Порядка 100 компов 8) Wi-Fi точки
Сейчас следующая картина:
Zywall -> свитчи -> и дальше хаотично на всю сеть
Хочу навести порядок и сделать правильную сегментацию сети. Что хочу сделать: 1) Сделать несколько подсетей
1 сеть - служ. оборудование, серваки и всё прочее
2 сеть - пользователи на проводе (со статическим внутренним IP) - далее урезать скорость по отделам
3 сеть - wi-fi и беспроводные пользователи
4 сеть - гостевая (для гостей, только Инет, без сетевых входов)
Первые 3 сетки соединить, чтобы можно было внутри оборудованию с пользователями взаимодействовать.
2) Порезать Zywall 310 - скорость на проводе (по отделам и на статику всех, чтобы смотреть трафик). 3) Зарезать все порты и открыть, только необходимые.
Правильное ли это решение? Если нет, подскажите. Если да, то какие ещё варианты можно рассмотреть?
И разгрузит ли это сетку?
Saboteur
@saboteur_kiev Куратор тега Компьютерные сети
software engineer
Порядка 100 компов? Всего лишь?
ВСЕ в одну сеть, никаких подсетей не нужно.
Резать скорость можно либо на конкретных портах (можно сделать список кто где, либо переключить пользователей в портах свичей, чтобы шли подряд по отделам, и было проще).
Либо ограничивать по IP адресам на маршрутизаторе. Всем раздать статические айпишники (просто в DHCP настраивается несколько пулов, прописывается резервация по мак-адресам, можно выделить отдельный пул для wifi и для гостевых пользователей, и зарезать им доступ к офису.
Вот единственное, где в принципе имело бы смысл сделать отдельную подсеть - для гостевых подключений, если им нужен ТОЛЬКО инет, и не нужны никакие ресурсы типа общих дисков, принтеров и т.д. Но опять же зависит от ваших требований и количестве клиентов.
Нормальное решение. Серваки, роутеры, свитчи, интерфейсы управления - выносить в отдельную подсеть, чтобы "чужие здесь не ходят". wifi, при причине его трудноконтролируемости - отдельно, гостевые входа - вообще отдельно ото всего.
Сетку правда это не факт что разгрузит, наоборот может сильнее подгрузить, но заметно усилит защищенность. Юзеру - юзерово, гостю - гостевое...
Ну, я бы начал с vlan-ов. По вилану: бухгалтерам, программерам, манагерам, оборудованию. Отдельно гостевой вилан для wifi. Все виланы сволятся в центральный коммутатор, там же и маршрутизуются. На коммутаторах настраивается gvrp и dhcp-snooping, политиками доступа на центральном - какой вилан куда ходит.
На вайфай точках поднимаются по две сети, гостевая и рабочая (можно еще и для программеров с бухгалтерами до кучи).
На роутере настраивается какому вилан какая полоса доступна, дополнительно можно выделить зону DMZ для доступаиз интернет.
