Правильно ли реализована изоляция подсетей?

Question

[Andrey Yagodka]

Добрый день, ситуация такая есть N количество VLAN у каждого своя выделенная сеть вида 192.168.X.X/24. Есть гостевая сеть и сеть управления, вопроса по изоляции гостевой сети нет, этот вопрос неоднократно обсуждался, однако как реализовать скажем такую схему на Mikrotik:
VLAN2 сеть 192.168.0.0/24 - Секретные PC )
VLAN3 сеть 192.168.1.0/24 - VOIP
VLAN4 сеть 192.168.2.0/24 - Сеть управления
VLAN101 сеть 192.168.3.0/24 - Локальная сеть предприятия
VLAN102 сеть 172.16.1.0/24 - Гостевая сеть полностью изолированная

Суть, гостевая понятно полностью живет сама по себе, из сети управления я должен видеть все сети включая секретные компы ), из локальной сети я должен видеть только VoIP, из секретной VoIP и Локальную сеть.

Comments

[Дмитрий Александров]

Насчет "сети управления", такие обычно изолируют полностью без входа\выхода в другие сети, селят в них все оборудование которое нужно конфигурировать, свитчи\маршрутизаторы\в серверах выделенный порт для удаленки.
Аналогично поступают с voip также целиком изолируя. Если же предполагается что какието клиенты будут сидеть на софтфонах с пк в локалке то для таких также изворачиваются использованием отдельного шлюза который сидит в локалке либо намертво прибивают IP тех у кого софтфоны.

А по схеме выше если так надо то можно сделать, Берете фаирвол в зубы и писать правила , они будут довольно похожими на "стандарт как в инет ходют", образно говоря:
из А в Б трафик ходит весь.
из Б в А только тот где есть конекшен.

Answer 1

[Николай]

Насоздавать пачку вланов по вашему списку, а правила хождения, описанные фами прописать в фаерволе? В чём вопрос/сложность-то?

Answer 2

[d-stream]

Сеть управления != Сеть VIP (админов, которые видят все)

А так - похоже на феншуй.

Ну и пара моментов:
1. видеть из vip сети другие сети - это не только пакет от vip к юзерским, но и обратно... со всеми вытекающими...
2. при заметном трафике между сетями - маршрутизация на микротике будет тяжеловатой и более красивым вариантом будет применение L3(L2+) коммутаторов которые маршрутизируют пакеты между сетями со скоростью коммутации

Comments

[Andrey Yagodka]

Касаемо 2 пункта, купили EdgeSwitsh 24 порта, склоняюсь теперь именно к вашей мысли, все равно есть не понятные моменты для меня ) Часть вопросов можно решить PRIVATE VLAN, "видеть из vip сети другие сети - это не только пакет от vip к юзерским, но и обратно... со всеми вытекающими..." как тогда управлять сетью )

[d-stream]

Andrey Yagodka, ну просто иметь это в виду и хоть нат взгромождать)

Answer 3

[Денис Ли]

Может поможет данная статья ?
https://www.technotrade.com.ua/Articles/vlan_traff...

Comments

[Andrey Yagodka]

В этой статье городят софтовые вланы микрот ляжет (

[prostomak]

Andrey Yagodka, не ляжет он от 5ти вланов xD

[Денис Ли]

Andrey Yagodka, Смотря какой микрот, ну вообще не должен лечь :D я солидарен с джентльменом выше