Есть ли смысл разделять принтеры, телефоны, компьютеры по отдельным VLAN'ам?

Question

[Кирилл]

Возникла необходимость разделить принтеры, IP-телефоны и рабочие станции в отдельные VLAN'ы.

Будет ли верна такая схема? На Mikrotik'е DHCP-сервер, раздающий IP-адреса 3 подсетям — 10.10.3.0 (принтеры), 10.10.2.0 (телефоны) и 10.10.1.0 (рабочие станции). DHCP-сервер будет раздавать IP-адрес всем устройствам исходя из VLAN, прописанного на устройстве.

Соответствие такое:
10.10.3.0 — VLAN 30 (принтеры)
10.10.2.0 — VLAN 20 (телефоны)
10.10.1.0 — VLAN 1 либо без VLAN ? (рабочие станции)

Правильна ли такая схема использования VLAN ?

А также:
1. Как сделать, чтобы рабочие станции видели сетевые принтеры? Принтеры же будут в другом VLAN. Потребуется ли тогда использовать сервер печати, который будет одновременно "смотреть" в VLAN 30 и VLAN 1 ?
2. Хотел бы, чтобы только я со своей машины мог заходить на web-морду телефонов и сетевых принтеров. Получается, что моя машина должна быть во всех VLAN'ах одновременно? Как это делается, если у меня Windows?

Заранее спасибо.

Comments

[Владимир Дубровин]

Что вы имеете ввиду под VLAN прописанным на устройстве? Т.е. вы будете конфигурировать номер VLAN на самом компьютере/принтере/телефоне?

[Кирилл]

Владимир Дубровин, нет, я имел в виду порт маршрутизатора, к которому будет подключаться устройство

[Станислав Бодро́в]

Кирилл, если у тебя есть маршрутизатор, зачем тебе VLAN?

Answer 1

[Sergey Ryzhkin]

Правила хорошего тона, говорят что надо. Схема правильная.
1. Это делается настройкой маршрутизации между Вланами на маршрутизаторе или L3 коммутаторе.
2. Нет. Вы просто открываете на нужном порту доступ к тем Вланам куда хотите ходить.

Читаем - Сети для самых маленьких. Причем с нулевой главы.

Answer 2

[res2001]

Отдельный VLAN для принтеров - это лишний гемор себе устраиваете. Вы их сначала загоните в отдельный ВЛАН (не понятно для чего), а потом будете искать возможность обходить ограничения ВЛАНа. "КПД этих двух действий - 0" :-)
Для телефонов отдельный ВЛАН вполне оправдан.
Если уж очень хочется расплодить ВЛАНы, заведите шлюз, который будет сидеть во всех ВЛАНах и через него сможете ходить с любого места в нужный ВЛАН, после настройки маршрутизации на раб. месте.

Comments

[Сергей]

Современный принтер или мфу удивительно тварьская тварь. Цикл жизни у этого говнюка около 5 - 10 лет! Из них он обновляется от силы год! А функционал иногда не меньше чем у микрокомпьютера. С возможностью взлома и дальнейшего места обитания на нем лет на 10. Есть желание запустить к себе в сеть какого-то китайца? Ну тогда можно и в общую сеть втыкать. А нормальные людивыносят их в отдельный сегмент сети и рубят в нем все лишние протоколы и порты.

[res2001]

Сергей, т.е. принтеры мы будем защищать усиленно, а китайцы пусть лазят по нашим компам в сети она то не защищена и все порты открыты наружу?

В принципе я не то что бы против отделения принтеров в свой ВЛАН, но считаю, что это совсем уж параноидальная практика и защиту сети стоит начинать не с этого. А этот вариант оставить на потом, которое может и не наступить если все остальное будет сделано правильно.

[Сергей]

res2001, принтеры не обновляются вообще. Их в отдельный влан. Где я писал что отстальное не надо защищать?)

Answer 3

[athacker]

Логика правильная. Номера вланов значения не имеют, но выделять однотипные устройства в отдельные сети -- это правильно и хорошо. Связность между вланами обеспечивается также, как и между отдельными физическими сетями -- с помощью маршрутизатора. Почитайте, что такое VLAN trunking, и ознакомьтесь, как это реализуется на микротиках, и настраивайте маршрутизацию на нём.

Сегментация сети -- это не просто правила хорошего тона, это необходимость, особенно в свете развития малвари/вирусов и прочих угроз ИБ. Принтеры/телефоны -- легко уязвимые устройства, поэтому их нужно изолировать. Плоская сеть, где все компы организации находятся в одном влане/сетевом сегменте приведёт к тому, что любой залётный NotPetya распространится по всей сети в считанные минуты. И будет как здесь. Или мамкины хакеры какие-нибудь начнут ковырять компы соседнего отдела по сети. Так что сгементация и настроенные правила хождения трафика между подсетями -- это must have в современных условиях.

Answer 4

[Родион Кудрявцев]

Телефоны в отдельный влан, принтеры и рабочие хомты в ожин влан (не разд. Их, смысла нет) влан1 - не используйте лучше. Админов - в отделбную сетку-влан и от нее доступ к mgmt-сети и ко всем data-сетям