https://www.opennet.ru/openforum/vsluhforumID6/2567.html Добрый день друзья!<br><br>Пришёл в организацию, где сеть построена плоская, без VLAN'ов. ПК порядка 200, и ещё всякие сетевые устройства.<br>Сеть построена на управляемых L2 коммутаторах, но используются они просто как свичи. Центр сети - маршрутизатор микротик.<br>В сети несколько подсетей - организованых просто статическими адресами, с маршрутизатором сежду ними - вышеуказанным микротом.<br><br>Собственно решил я реорганизовать это хозяйство и нарезать на VLAN'ы. И собственно весь вопрос в том, как бы это безболезненней сделать. Подскажите пожалуйста рабочую схему.<br><br>Пока придумал так: Начать с микрота, на нём поднять все VLAN'ы, но единственный порт в который входит вся остальная сеть - access'ом для одного из поднятых VLAN'ов. И на этом влане повесить текущий DHCP. Таким образом для сетки вроде как ничего не изменится.<br><br>Далее на коммутаторе с которого идёт этот один путь на микрот - этот порт и соответствующий порт микрота переделать в транк, а все остальные порты коммутатора в ACCESS для того же самого VLAN'а. https://www.opennet.ru/openforum/vsluhforumID6/2567.html#22 Thu, 08 Jul 2021 11:46:39 GMT &gt;&gt; Для начала бы я изучил вопросы что такое VLAN, как они реализуются...<br>&gt; Да вы правы, но ваше замечание не поможет решить проблему <br><br>Вообще-то - поможет. Скажу более - без моего совета проблема нерешаема.<br> https://www.opennet.ru/openforum/vsluhforumID6/2567.html#20 Wed, 07 Jul 2021 04:48:45 GMT &gt; Было: <br>&gt; Всё просто и понятно, воткнул-работает. Сеть может обслуживать любой человек, способный <br>&gt; вбить IP адрес в винде.<br>&gt; Проблемы с сетью редки и решаются за 5 минут в среднем - <br>&gt; перезагрузкой подвисшего железа. Что может произойти с неуправляемым свичом? Да ничего. <br>&gt; Сгорит разве что - раз в сто лет.<br><br>Всё в целом описано правильно. Так оно и было. Только вот вы описали положительные моменты проистекающие из "просто и понятно". А ведь существуют и проблемные стороны такой "простоты и понятности":<br><br>- принципиальная невозможность отделить сервера от пользователей. Серверов физических около 15 штук, с виртуальными - штук 30. На каждом свои сервисы.<br><br>- принципиальная невозможность разграничить доступ к сервисам для отдельных типов пользователей. IPMI, SMB, 1C, SQL, AD - всё в одном чистом поле со всеми пользователями, которые делают на своих компах что захотят. <br><br>- принципиальная невозможность локализовать распространение всяких вредоносов сегментом начального заражения. Все в чистом поле, т https://www.opennet.ru/openforum/vsluhforumID6/2567.html#19 Tue, 06 Jul 2021 13:05:57 GMT Было: <br><br>Всё просто и понятно, воткнул-работает. Сеть может обслуживать любой человек, способный вбить IP адрес в винде. <br>Проблемы с сетью редки и решаются за 5 минут в среднем - перезагрузкой подвисшего железа. Что может произойти с неуправляемым свичом? Да ничего. Сгорит разве что - раз в сто лет.<br><br>Стало: <br><br>Чтобы обслуживать сеть, нужно читать документацию и быть специалистом с опытом настройки сетевого оборудования. Есть риск возникновения граблей с адресацией и маршрутизацией, не решаемых за рабочий день. Издержки при увольнении и найме новых сотрудников - требуется ознакомление с документацией и поддержание ее в актуальном состоянии.<br>Умные железки частенько тупят на уровне отдельных портов и проблемы сложно диагностируются. Еще он требуют обновления прошивок... Чтобы не путаться в конфигах, вам понадобится конфигохранилище... Монитоооринг...<br><br>Работать вам теперь есть с чем, в общем.<br> https://www.opennet.ru/openforum/vsluhforumID6/2567.html#18 Tue, 06 Jul 2021 10:30:05 GMT &gt;[оверквотинг удален]<br>&gt; отдел выделил в свой VLAN. Всё нормально.<br>&gt; А вот есть несколько кусков сети, откуда в управляемое ядро линк по <br>&gt; оптике или меди приходит, но в самом этом куске уже все <br>&gt; на неуправляемом оборудовании, и там как раз и видео и телефоны <br>&gt; и пользователи. Так что сейчас эти куски также оборудую управляемыми железками <br>&gt; и их причешу.<br>&gt; У меня такой вот вопрос: Насколько детально имеет смысл упарываться в разделении <br>&gt; по VLAN'ам? Условно, надо ли отделять БУХОВ/МЕХАНИКОВ/МАНАГЕРОВ/ДИРЕКТОРОВ/АЙТИШНИКОВ? <br>&gt; Ну Айтишников понятно надо для доступа к сетевому оборудованию, а вот <br>&gt; стандартные офисные группы сотрудников стоит делить?<br><br>Я думаю стоит.<br>отдельный влан для телефонии, отдельный для видео, отдельный для каждого отдела.<br>Чем более сегментированная ваша сеть будет - тем проще выявлять проблемы.<br>Если у вас несколько зданий в которых работают одинаковые отделы, вы можете выделить отдельный пул вланов для каждого. Но тут также не стоит переусердствовать с количеством https://www.opennet.ru/openforum/vsluhforumID6/2567.html#17 Tue, 06 Jul 2021 10:23:53 GMT &gt; Для начала бы я изучил вопросы что такое VLAN, как они реализуются... <br>&gt; И после этого бы осознал что не бывает eth-сети без VLAN... <br>&gt; :) <br><br>Вы председатель в обществе зануд?:)<br>Да вы правы, но ваше замечание не поможет решить проблему<br>и вообще к ней не относится<br> https://www.opennet.ru/openforum/vsluhforumID6/2567.html#16 Mon, 28 Jun 2021 06:38:42 GMT &gt; Пока придумал так: Начать с микрота, на нём поднять все VLAN'ы, но <br>&gt; единственный порт в который входит вся остальная сеть - access'ом для <br>&gt; одного из поднятых VLAN'ов. И на этом влане повесить текущий DHCP. <br>&gt; Таким образом для сетки вроде как ничего не изменится.<br>&gt; Далее на коммутаторе с которого идёт этот один путь на микрот - <br>&gt; этот порт и соответствующий порт микрота переделать в транк, а все <br>&gt; остальные порты коммутатора в ACCESS для того же самого VLAN'а.<br>&gt; А уж потом порты в зависимости от оборудования за ними переводить в <br>&gt; соответствующие VLAN'ы ACCESS'ы и транки. Рабочая ли схема? И как вы <br>&gt; бы подошли?<br><br>По итогу проведённых мероприятий сам тут и отвечу на свой вопрос: <br>Лучше не загонять сперва всё в какой-то VLAN, более того, как кто-то тут уже озвучил - VLAN хоть какой-то всегда есть. <br><br>Лучше для нарезки по сегментам:<br>1. Сперва на всех коммутаторах и маршрутизаторе создать предполагаемые к реализации VLAN'ы. (не назначая их пока портам)<br>2. Далее все межкоммутаторные линки о https://www.opennet.ru/openforum/vsluhforumID6/2567.html#15 Mon, 28 Jun 2021 06:13:59 GMT &gt; Есть возможность составить текущую карту сети?<br>&gt; И карту какую ты желаешь видеть.<br><br>Прямо вот сегодня последний сегмент с серверами загнал в VLAN.<br>Карту сети составлял по ходу знакомства и реорганизации. <br>Сейчас есть исчерпывающая L1 схема сети, какие коммутаторы с какими связаны, и т.п. остальное управляемое оборудование.<br>Также полностью по ходу переформатирования сетки описывал всю L2 схему построения. Какие порты в коммутаторах ACCESS'ы, какие TRUNK'и. Всё чётенько и аккуратно оформлено.<br>Вот L3 выглядит довольно куцо, т.е. просто подсети в VLAN'ах и список адресов узловых сетевых устройств в сегментах.<br><br>Итог этой ветки обсуждения: Проведена большая и нужная работа. В предприятии которая работает 24/7 в разных регионах страны, в течение месяца я реорганизовал сеть, оформил все коммутаторы, где надо докупили и заменили управляемыми старые неуправляемые. По одному нарезал сегменты, всё аккуратно запланировав, чтобы условно временные трудности в момент выделения сегмента были лишь у самого сегмента, д https://www.opennet.ru/openforum/vsluhforumID6/2567.html#14 Sun, 27 Jun 2021 16:55:18 GMT &gt;[оверквотинг удален]<br>&gt; Пока придумал так: Начать с микрота, на нём поднять все VLAN'ы, но <br>&gt; единственный порт в который входит вся остальная сеть - access'ом для <br>&gt; одного из поднятых VLAN'ов. И на этом влане повесить текущий DHCP. <br>&gt; Таким образом для сетки вроде как ничего не изменится.<br>&gt; Далее на коммутаторе с которого идёт этот один путь на микрот - <br>&gt; этот порт и соответствующий порт микрота переделать в транк, а все <br>&gt; остальные порты коммутатора в ACCESS для того же самого VLAN'а.<br>&gt; А уж потом порты в зависимости от оборудования за ними переводить в <br>&gt; соответствующие VLAN'ы ACCESS'ы и транки. Рабочая ли схема? И как вы <br>&gt; бы подошли?<br><br>Есть возможность составить текущую карту сети? <br>И карту какую ты желаешь видеть.<br> https://www.opennet.ru/openforum/vsluhforumID6/2567.html#13 Fri, 25 Jun 2021 02:58:37 GMT &gt;&gt; Да, а вот если б правила грамматики требовалось соблюдать, то вас бы <br>&gt;&gt; точно с вашими режущими глаза -ться уже забанили везде.<br>&gt; Это безусловно самое главное :) <br>&gt; По делу же сказать нечего :) <br><br>А что плохого в отделении L2 уровней для видео, телефонии, управления и собственно корпоративной локалки, что используется в рабочих процессах?<br>По мне так правильная задумка, L2 отделён, L3 стерминирует на маршрутизаторе и там всё зарежет кому чего и куда можно и нельзя.<br>