Вопрос по разделению VLAN?

Question

[Александр Рублев]

Здравствуйте. Вопрос новичка.
Хочу поизучать VLAN и заодно навести порядок в своей сети.
Накидал схему как я это понимаю:

Но у меня сразу возникает вопрос: Если я правильно понимаю то коммутация между VLAN будет происходить через роутер, это значит что канал которым он подключен и сам роутер будут перегруженны?
- Компьютеры будут общаться с NAS и серверами
- Сервер бекапов будет работать с машинами пользователей и с серверами
- Сервер терминалов тоже работает с NAS и с базами данных
- Сервер пропускной системы тоже работает с БД
- Просмотр записи камер с некоторых рабочих машин
Все эти пакеты между рахными VLAN будут проходить через роутер по 1 кабелю 1Гбит.
Подскажите что и как, и если не трудно подскажите логично ли я поделил свою сеть на VLAN.
Спасибо!

PS: Почему то я поленился дописать оборудование.
Роутет - Mikrotik 951g-2hnd
Верхний коммутатор - 3com 3cblsf50
Нижний коммутатор - Dlink dgs 1024d (его будем менять!!!)

Comments

[BjLomax]

А какая модель коммутататоров?

[Александр Рублев]

BjLomax,
Дописал в конце вопроса!

Answer 1

[Михаил Хорев]

Если не планируется покупка L3 коммутатора, то да, трафик между VLAN-ами пойдет через микротик.
Что бы минимизировать трафик между вланами, в отдельные вланы стоит выносить то, что не общается между собой.
Например СКУД и видеонаблюдение и телефония.
Телефония и пользователи иногда не общаются, но не во всех системах.
Соответственно, не стоит выносить терминалы и сервера в отдельный влан от пользователей.

Comments

[athacker]

Соответственно, не стоит выносить терминалы и сервера в отдельный влан от пользователей.

С точки зрения ИБ это очень вредная практика. Сервера и пользователи должны быть в разных вланах в обязательном порядке. И коммуникации должны быть максимально обрезаны между этими вланами. Т. е. только то, что требуется для работы пользователям, и ничего более.

[Михаил Хорев]

athacker, не могу не согласиться.
Вы без сомнения правы.
Но...
Вы говорите о больших сетях, а в этой сети возможно около 100 человек сидит и сетевая инфраструктура уже есть.

[Александр Рублев]

В этой сети всего 20пк и 6 терминалов. Структуры толком нет, все в одной подсети. Но хочется сделать один раз и хорошо! Ну и бюджетно при этом.

[athacker]

Михаил Хорев, вы правда думаете, что какой-нибудь WannaCry или Petya будет разбираться, 100 там пользователей в сети или 10000? :-) Сегментация сети с разграничением доступов -- простая и эффективная мера, позволяющая усложнить атаки и распространение заразы по сети.

[Михаил Хорев]

athacker, Конечно вы опять правы. Прикольно быть всегда правым?

Вектор атаки - компьютер пользователя. Далее - вся сеть.

У Вас в сети пользователи друг друга видят? Внутри одного пользовательского VLANа?
У нас - нет.
А данные пользователи хранят только на серверах или и на станциях тоже?
У нас - только на серверах. Данных на станциях нет.
А на файл-сервера патчи Микрософта пролиты? SMBv1 запрещен на административном уровне?
У нас - да.
Бэкапы?
У нас - да.

Сегментация - не панацея и спасает только в комплексе с остальными мерами.

Если ваши ответы хоть чуть-чуть отличаются - предлагаю закончить дискуссию.

[Михаил Хорев]

Александр Рублев, ну вот если рассматривать сеть на существующей инфраструктуре и учитывать экономическую целесообразность, то отдельные серверные VLANы нужно создавать при уверенности, что роутер вытянет нагрузку.

[Александр Рублев]

Михаил Хорев, Вот я и думаю купить L3 коммутатор в нижнюю часть к серверам.

[athacker]

Михаил Хорев, я вроде нигде не писал, что сегментация -- это единственная мера :-) Непонятно, зачем вы меня стали убеждать в том, что ИБ -- это комплекс мер.

Answer 2

[vreitech]

> канал которым он подключен и сам роутер будут перегруженны?
если суммарный трафик, покидающий все vlan'ы, будет превышать пропускную способность канала до роутера и/или производительность роутера - то будут.
это решается:
- приобретением l3-коммутатора;
- приобретением более мощного роутера;
- добавлением серверов, которые должны быть доступны для каких-либо vlan'ов, в эти vlan'ы.

Comments

[Александр Рублев]

L3 коммутатор хорошо бы. А возможен вариант добавления ещё одного роутер с другой стороны?
Ещё вопрос, коммутатор L3 быстрее роутера?

Answer 3

[athacker]

У вас основной трафик будет ходить между серверами, терминалами и сервером бэкапов. Всё остальное -- это копейки, по большому счёту. Ну, ещё 15 камер с хорошим качеством могут подгрузить. Ну хотя тоже, даже если там 2 мегабита на камеру, то в сумме получится 30 Мбит/сек. На гигабитном линке -- тоже не очень много.

Как вариант -- собрать на микротике LAG. Если на микроте 5 портов, то один порт отдаём в WAN, два порта -- LAG в сторону коммутатора 1, и оставшиеся два порта -- LAG в сторону коммутатора 2. Таким образом трафик каждого коммутатора будет падать на два порта микротика, и в сумме можно получить 2 гигабита. Ну т. е. понятно, что у вас любая коммуникация не может быть больше 1 гигабита, но суммарно можно прокачать и 2 (из разных вланов в разные вланы).

Comments

[Александр Рублев]

Спасибо. Мне казалось ещё может быть много трафика между пользователями и NAS. При передаче файлов. Камеры в теории не должны нагружать роутер так как я думаю сервер для них оставить в том же VLAN. Ваша идея хороша. Но у меня между зданиями 150 метров. Оптика не дешёвая, да и роутер её не вставить.

[athacker]

Александр Рублев, а оптика какая? Гигабит или 10-ка? Если 10-ка, то и проблем как бы нет, LAG можно построить только с того коммутатора, который ближе к роутеру. Ну или на крайний случай -- поставить ещё один микротик на вторую площадку (которая ниже по схеме), и он будет маршрутизировать трафик второй площадки. А по оптике пойдёт только то, что реально требует взаимодействия между площадками.

[Александр Рублев]

К сожалению оптика гигабит. Оборудование не новое 10ку не поддерживает.
Вот второй микротик на 2 площадке это идея, он не дорогой.

[Dmitry]

В моем офисе NASы используют серверы из одного vlan и пользователи из другого, L3 коммутатора нет, и чтобы минимизировать трафик через маршрутизатор, NASы подключены транками,

Answer 4

[AntHTML]

Схема абсолютно верная и рабочая.
в небольшой сети пропускной способности гигабита для нее хватит с запасом.
Основной загрузчик - как всегда - сервер бэкапов, соответственно нужно создать расписание бэкапов под моменты минимальной нагрузки сети.
Микрот с таким перевариванием вполне справится, т.к. через него будет бежать только межвланный траффик.
VLAN 17 лучше подключить напрямую к микротику иначе у вас Астериск бэкапится по пути L2.2-L2.1-RB-L2.1-L2.2.
Либо в идеале между L2.2 и VLAN17 поставить еще микрот и настроить его как резервный маршрутизатор, все что не имеет выхода в интернет гнать через него, в таком случае даже при обрыве оптики сетка не развалится, а первый микрот будет варить практически только WAN-траффик.
Ну или на WAN поставить керио, а на сервер бэкапа микрот.

Comments

[Александр Рублев]

Спасибо. Или если я все правильно понимаю, лучше поставить L3 коммутатор в нижнюю часть? (типо такого)

[AntHTML]

Александр Рублев, Да, у Вас основные сервера расположены в нижней группе, соответственно большинство межсетевого трафика будет крутиться там (возле серверов) и чем короче маршрут тем естественно меньше загруженность и выше пинг, в верхней группе у Вас серверов нет, только WAN с ним справится даже софтварный прокси умеющий во вланы.
Ну либо гнать WAN вланом по оптике до второго здания, т.к. чем ближе сервера и шлюзы к центральному узлу тем больше пропускная способность сети.