Как можно настроить управляющий vlan?

Question

[Артём]

Доброго времени суток.
В ближайшем будущем планирую собрать тестовый стенд, как на схеме ниже, и рассматриваю два варианта присоединения админского ПК к сети:
1) Присоединение ПК к коммутатору. В таком случае на коммутаторе собираюсь настроить порт антегом
2) Присоединение ПК к маршрутизатору. В таком случае на маршрутизаторе тоже нужно настраивать порт антегом, чтобы дальнейший трафик маркировался, и коммутаторы понимали, что к ним обращаются из management vlan?

Вариант 1

Вариант 2

В роли круга микротик 941, в роли квадратов D-Link DGS-1100-05, vlan 10 для бухгалтерии, vlan 20 для отдела кадров, влан управления 555.
И ещё вопрос: всё ли я учёл? Может что посоветуете?
Цель мероприятия - практическое знакомство с vlan'ами

Answer 1

[Константин Толмачев]

Давайте сперва разберемся с тем, то сразу бросается в глаза на вашей схеме, а именно не корректное распределение адресного пространства. Смотрите, вы указываете, что для всех vlan у вас используется одна подсеть, 192.168.1.1, и маска 24 охватывает 254 адреса, т.е. на уровне ip адресов у вас уже возникнет путаница, да и как вы потом фаерволл настраивать будете? Про dhcp я молчу. Есть хорошее правило, один vlan одна подсеть, у вас этого нет.

Далее, у вас не указаны промежуточные адреса между коммутирующими устройствами, под них тоже нужна своя подсеть, и о них не стоит забывать.

Если вы настраиваете dhcp, попробуйте на вашем оборудовании настроить dhcp relay

В вашей схеме есть только простые соединения, при возможности, рекомендую добавить гибридный вариант, т.е. когда у вас идет тегированный и нетегированный трафик по одному линку. Пример компьютер с IP телефоном. На телефон у нас идет тегированный и нетегированный, тегированный остается в телефоне, а дальше в компьютер идет нетегированный.

P.S. А вообще поищите лабораторки для студентов, там многие моменты рассматриваются

Comments

[Артём]

Спасибо за совет про влан на подсеть, а также про отдельную подсеть для управления коммутаторами.
С учётом вами сказанного и мной нагугленного переделаю буду придерживаться архитектуры роутер на палочке из этой статьи свой dhcp на влан

[Константин Толмачев]

Артём, я бы вам посоветовал обратить внимание на vlan bridge, а не на присвоение виртуальных интерфейсов на каждый порт. Поверьте, так разруливать будет намного проще. Тем более 300 серия именно в режиме бриджа будет выдавать максимум, это если вы захотите использовать оборудование посерьезнее со временем. Плюс рекомендую читать документацию оригинальную, на сайте микротика, а не статьи. Т.к. весьма часто материалы на таких сайтах устаревшие, и не применимы к текущей версии. Также из адекватных более менее источников, это записи MUM, и на русском языке материала там достаточно, а люди точно знают о чем говорят, + канал на youtube микротик тренинг.

Также изучите курс сети для самых маленьких. Когда вы поймете теорию в достаточном объеме у вас не будет большинства детских ошибок

[Артём]

Константин Толмачев, мог ли бы вы взглянуть на мой короткий дамп. дамп Меня интересует, есть ли метка влана на пакетах отправленных с хоста 192.168.55.47 в сторону 8.8.8.8? На мой взгляд её нет, но разделение сети на вланы и подсети на моём тестовом стенде работает.

[Константин Толмачев]

Артём, у меня сейчас на машине нет Вайршарка, чтобы просмотреть дамп, но вопрос, а он там должен быть?
Что такое Влан кадр это это идентификатор пакета, показывающий что нужно соотносить пакет с таким то виртуальным каналом в умных устройствах. И чаще всего заголовок в кадр ставит не клиентское оборудование, а коммутаторы, за исключением ситуации, когда у вас на машине несколько виртуальных сетевых карт, и на каждый идет свой влан по одному и тому же кабелю (ну или IP телефоны как пример, там тоже и тегированный и нетегированный трафик ходит) Т.е. сам микротик может добавлять заголовок влана к пакету, так и снимать его, и чаще всего именно он это и делает. Это через свитч чип можно дополнительно настроить.