Как сегментировать сеть?

Question

[fdroid]

Здравствуйте. В организации локальная сеть сделана самым простым способом - простая одноранговая, около 50 компьютеров, часть подключена проводом, ноутбуки через Wi-Fi. В качестве DHCP-сервера работает обычный бытовой роутер, он же раздаёт интернет. Сеть связана простыми неуправляемыми свитчами, которые расположены в разных местах - где понадобилось расширить LAN туда и покупался самый дешевый свитч с нужным количеством портов. Плюс есть файловый типа сервер, сделанный из списанного системника. Требуется сегментировать сеть на подразделения и изолировать сегменты друг от друга. Я правильно понимаю, что это решается посредством VLAN и управляемого коммутатора? Вопрос в том, какое оборудование понадобится для решения задачи и на что лучше заменить имеющийся роутер? Нужно в т.ч. настроить балансировку нагрузки, т.е. у одного отдела должен быть железно гарантированные, скажем, 10Мбит для доступа в инет, у другого 5Мбит и т.д.

Answer 1

[Некто Белый]

Изолировать можно как вланами, так и маршрутизатором (pfsense, mikrotik rb951g) с несколькими портами. В первом случае может подойти cisco small business (p200, p220), или другие более бюджетные варианты с CoS.

Comments

[kolossradosskiy]

Изолировать можно как вланами, так и маршрутизатором

Некто Белый, как можно изолировать маршрутизатором с несколькими портами без виланов?

[Vladimir Zhurkin]

kolossradosskiy,

как можно изолировать маршрутизатором с несколькими портами без виланов?

А с чего вы решили, что по default они вообще будут связаны ?
В Mikrotik и linux вы используете bridge для их связности в один L2 уровень.
Есть другие способы ? (разве что proxy-arp, но это не о том)

Answer 2

[Юрий]

У нас реализовано через VLAN'ы
Головной - d-link DFL-260E (можно создавать до 8 vlan, на мой взгляд лучше взять zyxel zywall 110)
Управляемые свитчи - Cisco SF300 серия (48-потровый + 24-портовый), сейчас в продаже около 23тр - 24порта, 50тр - 48портов.
Настроил года 2 назад и забыл, пару раз перегружал файрвол, была необходимость. Все остальное пашет без проблем.

Answer 3

[athacker]

В идеале, вам нужно монтаж сети переделать, так как любительские свичи, валяющиеся где попало -- это постоянный источник головной боли. Завести коммутационный шкаф (если выделенного помещения по серверную нет) и протянуть от него по 2-4 провода до каждого рабочего места, всё обжать в розетки. Там, где 1-3 метра между рабочими местами -- тоже можно розетки воткнуть, так как 100% рано или поздно там образуется ещё одно рабочее место или сетевой принтер/сканер/МФУ. И все приходящие в коммутационный шкаф/стойку провода -- в патч-панель с последующим подключением в коммутаторы короткими патчкордами. Коммутаторы -- только управляемые, с вланами.

Изоляция -- только вланами. Делать это несколькими физическими портами маршрутизатора -- это трэш, так как такое решение плохо масштабируется. Закончатся порты на маршрутизаторе -- и что будете делать? Покупать ещё один? А если надо будет "вот этого и этого" сотрудников перевести в другой отдел, и как следствие -- пересадить в другую сеть? Будете перетягивать провода, так как коммутатор этой комнаты у вас в 15 влане, а новый отдел -- в 30-ом, но там нет свободных рабочих столов, поэтому пересадить сотрудников туда нельзя, а доступ в сеть нового отдела им нужен? А так -- переключил порты, к которым подключены розетки этих сотрудников, в нужный влан, настройки сети по DHCP они получили новые, и погнали.

Answer 4

[Vladimir Zhurkin]

sanrega

Требуется сегментировать сеть на подразделения и изолировать сегменты друг от друга. Я правильно понимаю, что это решается посредством VLAN и управляемого коммутатора? Вопрос в том, какое оборудование понадобится для решения задачи и на что лучше заменить имеющийся роутер? Нужно в т.ч. настроить балансировку нагрузки, т.е. у одного отдела должен быть железно гарантированные, скажем, 10Мбит для доступа в инет, у другого 5Мбит и т.д.

Вам нужен будет как коммутатор так и маршрутизатор.
Что бы ответить на вопрос с оборудованием, надо все же знать топологию. Но я думаю вам хватит нормального mikrotik 3011 . Далее, можно использовать и старое оборудование , которое есть - если оно не требует, передачу тех же vlan и разбиение условного одного отдела на несколько в приделах этажа/комнаты итд. (надеюсь что понятно сказал)

Выделенную скорость, можно настроить на Mikrotik , через QOS - правда эта отдельная тема, которая все же требует погружение и что-нибуть еще для тестов у себя.
Из коммутаторов можете брать CRS-326,не путайте с CSS-326. - это если вам надо будет где-то ставить. Только прошу, не делайте из него роутер.