dscp и acl?
dscp, ага
alex
Andrei
Еще теоритический вопрос. Верно я понимаю.
Вланы нужны:
1. Разграничить сеть.
2. Оптимизировать. Разделить на L3 свитче подсети, телефоны допустим отдельно от основной сети. Таким образом снижается нагрузка на роутер. Клиент получая адрес dhcp обращается теперь с запросом на бродкаст не на роутер, а на свитч.
3. ACL для разграничений.
Владимир
почти
Andrei
Поправьте)
Владимир
я пропустил, у тебя л3 свич есть?
Владимир
можно все вланы отправлять на маршрутизатор и там в каждом влане свой дхцп
Владимир
можно с опциями запрашивать настройки
Микола
Еще теоритический вопрос. Верно я понимаю.
Вланы нужны:
1. Разграничить сеть.
2. Оптимизировать. Разделить на L3 свитче подсети, телефоны допустим отдельно от основной сети. Таким образом снижается нагрузка на роутер. Клиент получая адрес dhcp обращается теперь с запросом на бродкаст не на роутер, а на свитч.
3. ACL для разграничений.
2. Если в сети больше одного роутера (например для компов один, а для телефонов другой) или сервера, то чтоб каждый клиент в сети общался со своим сервером. В любом случае зависит от техзадачи и/или от того, как настроено
Andrei
А разве технически верно разделять сети ставя несколько роутеров? Я думал один роутер, а дальше управляемые свитчи.
Владимир, у меня l2. Я опыта набираюсь. Только учусь. А как это вланы отправлять на маршрутизатор? Имеется ввиду типа как в микротике, на каждый порт свой влан и дальше на свитч?
Микола
Опять же, всё зависит от задачи.
Andrei
Я просто работал в маленьких офисах. Мне интересно как организовывать большие сети.
Andrei
Хороший тон это же разделять по вланам принтеры, телефоны, сервера?
Микола
"А как это вланы отправлять на маршрутизатор? Имеется ввиду типа как в микротике, на каждый порт свой влан и дальше на свитч?"
Маршрутизатор это тот же коммутатор, на его порту тоже можно сделать TRUNK/TAG
Владимир
да.
Владимир
на хороший маршрутизатор можно на одном физическом порту принимать все вланы которые захочется
Микола
Хороший тон это же разделять по вланам принтеры, телефоны, сервера?
Хороший тон это уметь получать профит от разделения. Если есть гостевой вайфай и в этой же подсети стоит принтер, то любой с улицы сможет сделать 2к отпечатков с надписью ЙА БОМАЖКО
Для этого и ставится принтер в отдельный от гостевого WIFI влане, а на роутере/маршрутизаторе запрещается "общаться" клиентам гостевого вайфая с подсетью принтеров
Владимир
и выдавать адреса, и роутить их
alex
сеть управления в отдельный vlan запихать - это хорошая практика
Микола
но не всегда
Пример
Абонент с какого-то дома звонит. У него тупит инет. Оператор проверяет пинг на коммутатор в его доме -- всё ок. Но инет тупит
А оказывается его сосед со сдуревшим роутером отправляет 100мбит мультикаста, который бегает только в клиентском влане в пределах коммутатора (ну, в пределах дома например). А пинг на коммутатор снаружи отличный, ведь он в отдельном влане..
alex
клиентский порт тоже проверяется. и пинг до клиента.
Микола
но это нужно дождаться события, звонит абонент
А в случае управления в том же влане -- можно знать о проблемах еще до того, как позвонил абонент.
Andrei
А бродкаст, это конечный адрес подсети, к которому обращаются устройства за получением айпи адреса. А мультикаст?
alex
я бы не хотел узнавать о клиентских проблемах по тому что у меня свитч выпал из управления
Микола
Andrei
)
alex
А бродкаст, это конечный адрес подсети, к которому обращаются устройства за получением айпи адреса. А мультикаст?
бродкаст - это широковещательный запрос. мультикаст - широковещательная рассылка
Сергей
Если поставить принтеры в отдельный влан то весь трафик на них пойдёт через маршрутизатор. Зачем? Лучше пусть каждый принтер будет в той сети из которой на него больше всего печатают. Просто бывает что приходится печатать растры, а это ОЧЕНЬ много данных.
Микола
и так чтоб вообще взорвать мозг, в ipv6 есть еще anycast
Микола
Если поставить принтеры в отдельный влан то весь трафик на них пойдёт через маршрутизатор. Зачем? Лучше пусть каждый принтер будет в той сети из которой на него больше всего печатают. Просто бывает что приходится печатать растры, а это ОЧЕНЬ много данных.
всё равно растры это меньше чем 5 минут просмотра ролика на ютубе в фуллХД
alex
Если поставить принтеры в отдельный влан то весь трафик на них пойдёт через маршрутизатор. Зачем? Лучше пусть каждый принтер будет в той сети из которой на него больше всего печатают. Просто бывает что приходится печатать растры, а это ОЧЕНЬ много данных.
можно отделы распиливать на виланы, чтобы народ на чужие принтеры не вываливал свои многотомные книжки
Сергей
Sergey
но не всегда
Пример
Абонент с какого-то дома звонит. У него тупит инет. Оператор проверяет пинг на коммутатор в его доме -- всё ок. Но инет тупит
А оказывается его сосед со сдуревшим роутером отправляет 100мбит мультикаста, который бегает только в клиентском влане в пределах коммутатора (ну, в пределах дома например). А пинг на коммутатор снаружи отличный, ведь он в отдельном влане..
А вот для таких вещей есть SLA, у нас например есть бесплатный SLA сервер и мы можем в наши устройства встраивать SLA клиент, если грамотно организовать мониторинг, то такие неприятности будут решаться до звонка абонента.
Andrei
бродкаст - это широковещательный запрос. мультикаст - широковещательная рассылка
Можете объяснить это?
Михаил
можно отделы распиливать на виланы, чтобы народ на чужие принтеры не вываливал свои многотомные книжки
А еще есть сегментация трафика.
Andrei
Если поставить принтеры в отдельный влан то весь трафик на них пойдёт через маршрутизатор. Зачем? Лучше пусть каждый принтер будет в той сети из которой на него больше всего печатают. Просто бывает что приходится печатать растры, а это ОЧЕНЬ много данных.
Имеется ввиду если влан на роутере? А не на свитче. Или как?
Микола
Имеется в виду влан. Если есть влан, он обязательно должен закончиться роутером. В обычной, простой сети, один влан и одна подсеть. Если нужно несколько подсетей и так, чтоб они не пересекались -- приходит на помощь влан
Микола
https://habr.com/post/134892/
Сергей
Да, на хабре отличный цикл статей по сетям
Sergey
Да, на хабре отличный цикл статей по сетям
ну изначально это не хабровские, но цикл отличный, да
alex
Можете объяснить это?
не совсем верно сформулировал. бродкаст - широковещательная рассылка для служебных нужд. мультикаст - для вещания потоков видео, например
Andrei
Но разве все в конечном счете не приходит на роутер? Вот есть сеть. Я сделал на свитче l3 другую подсеть и подключил бухгалтерию. Мне то в роутере или в свитче все равно нужно прописать маршрутизацию к основной сети, чтоб бухгалтерия получила доступ к принтерам или серверам?
alex
Но разве все в конечном счете не приходит на роутер? Вот есть сеть. Я сделал на свитче l3 другую подсеть и подключил бухгалтерию. Мне то в роутере или в свитче все равно нужно прописать маршрутизацию к основной сети, чтоб бухгалтерия получила доступ к принтерам или серверам?
если принтеры и серверы в одной подсети с ними, то не надо
Микола
Но разве все в конечном счете не приходит на роутер? Вот есть сеть. Я сделал на свитче l3 другую подсеть и подключил бухгалтерию. Мне то в роутере или в свитче все равно нужно прописать маршрутизацию к основной сети, чтоб бухгалтерия получила доступ к принтерам или серверам?
да, но трафик при этом может ходить не весь. Например бухгалтеру А давать доступ к принтерам, а второму -- нет. Разграничение идет по айпи-адресу
Andrei
Но как они будут с ними в одной подсети? Я же сделал другую подсеть на свитче, чтоб бухгалтерия не имели ни к кому доступа или наоборот.
Микола
Если принтер с компом бухгалтера в одной подсети, то так разграничить будет сложнее -- только если средствами самого принтера
Микола
А если трафик будет ходить через роутер, то фаерволом разграничивается хождение пакетов
Andrei
Можно полный пример, как бы выглядела структура сети с разлелением основной сети и принтеров?
Микола
смотри ссылку, читай, вникай
Сергей
Свитч л3 и роутер - в данном применении одно и то же. Прописывать нужно там маршрутизацию что у вас шлюзами указано
Andrei
Хорошо. Я пока так понимаю. Верно или нет?
Роутер(192.168.1.1)
Сеть 192.168.1.0/24
Поставил свитч Л3.
Сделал там сеть 192.168.2.0/24
Подключил к ней принтеры.
Роутер, первая моя подсеть не знает о маршруте ко второй подсети, прописал, соединился.
Теперь принтеры получают dhcp из свитча. Я оптимизировал или нет?
Все равно маршрутизация будет через роутер?
alex
между 192.168.1.0/24 и 192.168.2.0/24 пакеты будут ходить через роутер
Andrei
Значит толку, что я сделал нет?
Микола
да, оптимизировал. Теперь смотри в АЦЛ твоего Л3 коммутатора, как запретить хождение 192.168.1.106 (например бухгалтер, которая ребенку рефераты в школу печатает) к принтеру 192.168.2.112
Микола
АЦЛ это упоминаемый выше фаервол для ограничения хождения трафика
alex
всё зависит от задачи. одни и те же действия в одном случае могут считаться оптимизацией, а в другом - вредительством
Сергей
Прям на свитче лучше создать интерфейсы с вланами и он будет маршрутизировать, так быстрей и маки не теряются
Сергей
Правила тож прям на нём можно прописать
alex
если нужны мудрёные acl, то свитч может их не уметь
Сергей
Это да.
Andrei
между 192.168.1.0/24 и 192.168.2.0/24 пакеты будут ходить через роутер
Это плохо или хорошо или как то иначе надо делать?
Сергей
Это дополнительная нагрузка на роутер. Плохо ли это - решать вам
alex
Это плохо или хорошо или как то иначе надо делать?
всяко может быть. от задач надо плясать, а не от принципиальной возможности что-то куда-то вынести.
Andrei
Кароче, если даже 100 юзеров, не обязательно всё и вся разнраничивать по вланам, да? Структура сети должна быть максимально простой? Это вроде даже рекомендации майкрософта.
alex
те же acl свитч может делать, но проц у него обычно слабее чем у роутера и на больших нагрузках возможны неприятные сюрпризы. с другой стороны роутеру не шибко надо таскать внутрисетевой трафик, его задача обеспечить связь между сетью и внешним миром
alex
"даже 100 юзеров" =)
Andrei
Я больше 30 юзеров не трогал 😁
Sergey
не забываем если Все L3 VLAN терминируются на одном порте роутера, то это может стать bottle nec....
Сергей
Есть варианты разграничения и кроме вланов
Andrei
В общем самые главные задачи влана, разделить допустим сеть, гостевой фиви и оптимизировать сеть ?
alex
ну так-то даже десяток юзеров может устроить апокалипсис в отдельно взятой сети
Andrei
Это как например?)
Sergey
ну так-то даже десяток юзеров может устроить апокалипсис в отдельно взятой сети
особенно если у юзверей админские права... то там не только апокалипсис может быть..
alex
например, скачать файлик "бритые_киски_.ехе" и завалить вирусным трафиком всех вокруг
Andrei
Не, ну это понятно. Имелось ввиду производительности локальной сети)
Andrei
А как диагностировать сеть, чтоб понять, что мне нужны вланы для оптимизации? Скорость проверять между машинами?
alex
да масса вариантов
Sergey
Не, ну это понятно. Имелось ввиду производительности локальной сети)
Ну некоторые берут и просто кабелем соедениют 2 eth розетки напрямую... мало кто включет обнаружение петли..
Микола
А как диагностировать сеть, чтоб понять, что мне нужны вланы для оптимизации? Скорость проверять между машинами?
Не с той стороны подходить к вопросу.
Микола
Нужно решать проблему, а не создавать её
alex
вланы - один из инструментов