Как лучше и правильно организовать СКС?

Question

[Олег Шевченко]

Товарищи подскажите как правильно поступить, имеем здание 4 этажа в виде буквы П , на 3 этаже в одном крыле расположилась серверная, так же на 3 этаже в другом крыле висит шкаф на 12U , сделано для уменьшения длины проводов. все этажи в обеих крыльях просверлены отверстия на 80мм для провода. Теперь вопрос, все этажи должны иметь доступ в интернет через один маршрутизатор Mikrotik rb2011uias-2hnd и доступ к одной лишь папке (шара) как лучше сделать VLAN или же просто разные подсети и через файервол разрулить права доступа ?

Comments

[Дмитрий]

Казалось бы, причем здесь скс.
А если по делу, то не понятно чтоьвы вообще хотите получить. Почему влан, почему подсети, какая вообще цель?

Answer 1

[Валентин]

Захлебнется этот микротик на voip и mpeg. Ставьте l3 свичи для внутренней маршрутизации, микротик только для выхода пользователей в инет. Ну и это, камеры в отдельный влан, телефоны в другой, пользователей в третий. Если бюджет позволяет купит несколько l3 свичей, я бы в отдельный влан вынес серверную часть (контроллер видео, атс, наверняка есть внутренние серверы типа почты/dns/прокси/портала какого-нибудь)

Answer 2

[AntHTML]

Ну к проектированию сети с такими вопросами не подходят.
1. Всегда начинают с уровня L1: берут копию плана здания и на ней рисуют трассы utp, параллельно рассчитывая укладываемся ли мы в допустимые 100м и где нам удобно ставить кросовые шкафы и сколько можно сэкономить расположив/разбив кроссы в других местах.
2. В шкафы ставите L2 свитчи требуемой емкости, бесперебойники, Voip-шлюзы, poe-инжекторы и тд.
3. Собираете все шкафы и серверную в кольцо или звезду (что у вас там по плану больше подойдет и необходимо)
4. В серверную ставите желательно пару L3 для агрегации и резервирования. Можно даже малопортовый или вообще софтовый вынеся серваки на отдельный свич доступа
5. Разбиваете все по VLANам - камеры отдельно, voip отдельно, wlan, компы опять же согласно задач/безопасности
6. Собственно мутите на L2-3 и DHCP маршрутизацию, управление и защиты всего это барахла

Answer 3

[Константин Степанов]

Сколько пользователей сети будет? Будет-ли в этой сети видеонаблюдение гулять?

Comments

[Олег Шевченко]

пользователей 150, 16 ip камер FHD, 35ip телефонов

[Константин Степанов]

Олег Шевченко: тогда в разные vlan камеры, sip и пользователей. Можно еще непересекающиеся отделы тоже в vlans запихать

[Олег Шевченко]

Константин Степанов: тоже склонялся к этому варианту, но думаю спрошу как правильнее

[Константин Степанов]

Олег Шевченко: Как уже говорили ранее, VLAN работают гораздо шустрее подсетей, а при таком количестве пользователей либо подсети, либо VLAN. Плюс, если еще захотите нормальный доступ извне организовать, то понадобится OpenVPN сервер на микротике поднимать, а это дополнительная нагрузка на железку.

[athacker]

Константин Степанов: "VLAN работают гораздо шустрее подсетей" -- это пять :-) А во вланах -- не те же самые подсети будут, чисто случайно? Или вы знаете какой-то магический способ общения устройств в разных вланах без использования IP-маршрутизации? :-)

[Константин Степанов]

athacker: Жаль что не 6, я так старался.

Можно сделать разные подсети. Шлюзу настроить несколько ip и пусть каждый через него из своей подсети ломится в сеть.

[athacker]

Константин Степанов: Только не "можно сделать разные подсети". А "ПРИДЁТСЯ делать разные подсети". Потому что В ЛЮБОМ СЛУЧАЕ придётся настраивать IP-маршрутизацию. Ну и если есть возможность посадить трафик в разные VLAN-ы, то глупо оставлять разные IP-подсети в одном L2-сегменте. Но, подчёркиваю, IP-маршрутизация нужна будет В ЛЮБОМ случае.

[Константин Степанов]

athacker: Почему глупо в одном сегменте разные подсети? Я просто никиких особых рекомендаций не встречал.

[athacker]

Константин Степанов: Потому что тогда практически теряется смысл делать разные IP-подсети. Любой может выставить себе IP-адрес из чужой подсети, и получить к ней доступ. То есть, от безысходности так сделать можно, конечно. Но фэншуй требует, чтобы отдельная IP-подсеть была в отдельном L2-сегменте.

Answer 4

[CityCat4]

А размер здания-то каков? А то может микротик захлебнется и лучше модель помощнее заложить.

Comments

[Олег Шевченко]

размер средний,150, 16 ip камер FHD, 35ip телефонов. Организация бюджетная, микротик уже присутствует. сейчас обслуживает 60 компов, балансировка файрвол, загрузка 11 %

[Олег Шевченко]

сеть пока что только на 3 этаже, наа остальных на каждый кабинет адсл модем =))) чуть по чуть выбиваю деньги что бы все переделать ...

[CityCat4]

Олег Шевченко: OMG. Я думал, DSL-модемы остались только в страшных админских сказках...

[АртемЪ]

CityCat4: А зря.
Во многих местах это единственный адекватный способ доступа к интернету.
Глобально все уже давно на оптику поменяли, а вот разветвленную абонентскую сеть в каждом населенном пункте перевести на оптику - дело далеко не быстрое.

[Олег Шевченко]

CityCat4: ну в здании есть оптика уже от двух провайдеров, так что все налаживается... вот и хочется все в порядок привести