Для работы досталась сеть 192.168.0.0/22, порядка 12 Hyper-V серверов( 50 вирутальных), около 40 IP телефонов, 20 IP камер, 150 компьютеров. Все это находится в одной сети, никак не разделено на VLAN. Имеем несколько Zyxel 2200-48 - 4 шт. Так же Mikrotik. Порядка 5-8 хабов на 16 портов. DHCP и DNS MS Windows.
Серверную комнату я перекоммутирвоать могу, а вот перетянуть провода по всему производству точно нет. Провода на камеры и телефоны с компьютерами не промаркированы. Отделить сервера от всей локальной сети(возможно даже разделить Hyper-V от Virtual Machine, Hyper-V Gateway?)
так же хотелось бы отделить трафик IP от компьютеров, и камеры конечно в отдельный VLAN. OSPF Zyxel не поддерживает.
Хотелось бы что-то сделать теггирование, чтобы кадр метился в зависимости от подсети на первом возможном управляемом коммутаторе. Так же блок чужих MAC адресов, хватает деятелей со своими девайсами.
Кароч Хаос и только, надо привести в порядок. Подскажите как можно обойтись без глобальной перетяжки линий, а сделать хотя "головную" часть нормальной.
Smithson: Конечная цель уйти от петли в дальнем цехе, и глючит вся сеть. Кто работает с камерами нечего им обозревать всю сеть. Оборудования много хочется broadcast уменьшить, чтобы по всей сети не спамило. Закрыть возможность любого сетевого взаимодействия серверов обслуживания, которые никак не связаны с работой каждого пользователя. Закрыть доступ с устройств которые не получили одобрение(MAC адрес), есть любители забраться в дальний угол воткнуть свой ноутбук и пользоваться просто интернетом. В общем вопрос запретов, секьюрности, уменьшение нагрузки на всю сеть.
Вы сами же ответили на свой вопрос - VLANы. Начните с обычной схемы сети: что сейчас и что хотите. И зачем глобальная перетяжка? Сделайте мониторинг сетевого оборудования.
Олег П: Какой VLAN выбрать? если я не знаю какие куда хвостики приходят к управляемым свитчам, допустим приходит 10 компьютеров,5 камер, и еще 10 компьютеров только 1 хвост а за ним хаб стоит на 16 портов.
Как и советуют выше начинаете составлять физическую схему сети, для этого отсматриваете таблицу mac адресов на коммутаторах, сопоставляете mac адреса с ip, для этого сканируете сеть чем-то вроде advanced ip scanner. Для полноты и красоты, порты подписываете. После составления физической схемы начинаете планировать логическую, придумываете адресацию сетей для разных vlan, сами вланы. Маршрутизацию м/у влнами, в принципе, можно возложить на микротик, т. к. зухель в нее не умеет. Для защиты от незваных гостей включите и настройте dhcp-snooping, port-security, ip source guard и потушите не используемые порты.
Схема сети рисуется. Маршрутизацию между VLAN возложу на коммутатор. Ранее строит только port based VLAN, в данном случае схема не прокатит, так как везде оборудование может быть подключено в разные порты(камеры, телефония и прочие). Хотелось бы что-то тегированное. Вот здесь небольшой провал в знаниях, куда копать?
Ну, что-то тегированное у вас это аплинки коммутаторов, порт к маршрутизатору и к виртуалкам. Другие порты тегированными не сделаете, по причине тупых свичей (не думаю, что у вас там хабы, которые транслируют все, во все порты), т. к. они отбросят тегированный фрейм как поврежденный, из-за метки vlan (хотя некторорые могут и пропустить, тут как повезет) , да и не все конечные устройства позволяют настроить vlan у себя на интерфейсе. Поэтому, если хотите все это причесать и действительно сегментировать сеть, то либо заменяйте тупые свичи, на что-то что сможет в vlan, либо группируйте и подключайте определенные устройства, в определенные свичи, типа камеры все в одном свиче, офисные компьютеры в другом, телефоны в третьем (имеются ввиду тупые свичи).
Еще добавлю свои 5 копеек:
1. схема сети
2. сегментирование сети тем или иным образом
3. и ни в коем случае не вешать маршрутизацию между сетями на микротик!
Последнее поясню: к примеру так получилось, что качается файл между маршрутизируемыми сетями, ну или на печать летит большой растр... маршрутизатору это надо будет переварить-маршрутизировать -> либо он будет загружен под завязку и говорить "эй, не так быстро" либо там надо будет ставить нечто быстрое и ценой с крыло от Боинга...
Гораздо эффективнее использовать так называемые L2+ коммутаторы, которые умеют простенько маршрутизировать пакеты со скоростью коммутации. Естественно там не наворотить сложных правил, но что-нибудь простое - вполне.
Ну а оставшиеся несколько процентов хитромудрого трафика - уже можно подумать на предмет маршрутизации микротиком.
p/s/ Ну и так, по жизни, если вытащить принтеры в отдельный сегмент, полностью изолировав от юзерской сети - загрузка и расколбас существенно снижаются (любят многие срать мультикастом). Соответственно юзеры видят притсервер(ы), а принтсервер(ы) - видят принтеры. Ну и телефоны - само-собой, тем более большинство их изначально ориентированы на подобное.
Тут да, согласен, купить L2+/L3 свич для уровня агрегации будет надежнее, но ведь денег могут и не дать. А если тик накатить на виртуальную машину и дать ему пару ядер, то он нормально перелопатит маршуртизацию vlan (если конечно не требовать от него всего и сразу, типа 350 правил огнестенки, 100500 очередей, 200 впн туннелей). Да, если там одноядерный, 600 МГц, то он сдохнет.
Тут да, согласен, купить L2+/L3 свич для уровня агрегации будет надежнее, но ведь денег могут и не дать
Нет денег - нет мультиков...
Да и в общем-то L2+ стоят не столь и сурово. А вот в эффекте - нагляднее всего посмотреть это например запустив iperf через роутер и через коммутатор
Схема сети рисуется. Маршрутизацию между VLAN возложу на коммутатор. Ранее строит только port based VLAN, в данном случае схема не прокатит, так как везде оборудование может быть подключено в разные порты(камеры, телефония и прочие). Хотелось бы что-то тегированное. Вот здесь небольшой провал в знаниях, куда копать?
Евгений Денисов: собственно тегированное - это скорее атрибут межкоммутаорно-маршрутизаторного, максимум - телефон, сквозь который подключен комп: большинство умеет брать для себя с одним тэгом, а компу отдавать то что с другим. То есть на порту для телефона+компа трафик будет тегированный - вваливаться 2 vlan (телефония + сеть компов), а телефон выступит в роли коммутатора, который разберет тегированный трафик и один из них (уже голый) отправит к себе в кишки, а другой - компу.
Думаю еще стоит посмотреть в сторону 802.1X - в идеале это будет как любое устройство втыкается в любой порт и в зависимости от доклада этого устройства о себе - порт включится в нужный влан. В итоге суем в порт 10 рабочий комп - он попадает в сегмент компов, принтер - в сегмент принтеров, чужой ноут - попадает в гостевую сеть с 64кбит/с интернетом -)
Евгений Денисов: собственно у меня площадки все были мелкие + по куче причин они все жили в своих доменах - в общем я к 802.1X примерялся, но так и не задействовал.
Евгений Денисов: по макам, у вас же есть маки компов и прочего оборудования кроме гостевых девайсов, по правилу если не из списка кидать в гостевую сеть
Сложный
