Creșterea companiei este un proces inevitabil, mai devreme sau mai târziu. Creșterea numărului de clienți, deschiderea de noi departamente, fuziuni, achiziții - toate acestea sporesc numărul de computere, imprimante și alte dispozitive din rețea.
Pentru segmentarea rețelei, se utilizează tehnologia VLAN, vom utiliza implementarea sa de 802.1Q, cunoscută sub numele de port VLAN. 802.1Q vă permite să distribuiți VLAN peste porturile comutatoarelor. Există și alte implementări VLAN pe care nu le vom acoperi. Rețineți că 802.1Q nu este acceptat de toate componentele hardware. Dar, de regulă, switch-urile inteligente pot face acest lucru.
Din punct de vedere tehnologic, protocolul 802.1Q introduce 4 octeți în cadrul Ethernet, dintre care 12 biți sunt ID-ul VLAN (VID). În consecință, numărul maxim de VLAN-uri în această tehnologie poate fi 4096.
Ce aveți nevoie înainte de segmentare:
În primul rând, este necesar să elaborăm principiul diviziunii rețelei. De regulă, planul de control și planul de date sunt alocate mai întâi. Gestionarea planul de control aloca trafic (servere consola de administrare hypervisor, managementul echipamentelor de rețea), plan de date - date de afaceri (PDR, 1C, SMB). Pentru a controla segmentul de acces plan ar trebui să fie doar un calculator administrator de sistem, respectiv, aceste mașini trebuie să fie, de asemenea, într-un segment separat. Și așa mai departe, în funcție de nivelurile de acces (inginerii nu au nevoie de acces la manualele mașinilor, etc.). Lăsați o marjă de 20% pentru posibila extindere sau schimbare a structurii de segmentare.
Am această structură:
În acest sens, câteva sfaturi din experiența personală:
Partea practică
Vom lucra cu echipamente MikroTik (RB951G-2HnD. Cu toate că toate dispozitivele sunt echipate cu un software, astfel încât toate cele de mai sus este valabil și pentru alte modele), și D-Link, un foarte omniprezent în sectorul SMB.
Deci, avem un router Mirotik, un switch D-Link DES-3200 și trei stații de lucru, care ar trebui să aparțină unor segmente diferite.
Pe router, trebuie să creați trei interfețe virtuale VLAN. Nume: vlan15 vlan17, VID 15-17:
interfață vlan adăugați nume = vlan15 vlan-id = 15 interfață = bridge-local
interfață vlan adăugați nume = vlan16 vlan-id = 16 interfață = pod-local
interfață vlan adăugați nume = vlan17 vlan-id = 17 interface = bridge-local
Apoi, trebuie să configurați serverul DHCP pe fiecare interfață, dar acest lucru depășește domeniul de aplicare al acestui articol.
Configurarea comutatorului.
Lăsați router-ul este conectat la portul de comutare 26, astfel încât acest port trebuie să vină tot trunchi VLANuri (etichetat în terminologia D-Link'a). De la router toate 3 VLAN'a am dat. Creați VLAN-ul dorit și creați un port cu accesoriul computerului dorit (unic pe o lungă distanță).
Înainte de asta, trebuie să ubart mereu cu acest port VLAN nativ (1), plasând portul în poziția Nu a fost membru în timpul editării VLAN 1. Comutare Unele modele pur și simplu nu dau portul neetichetate până când neetichetate dat orice alt VLAN.
Aceasta completează configurația unuia dintre segmente, restul fiind configurat în același mod. Avem 3 rețele într-un singur switch (de fapt, 4, pentru că există și un VLAN nativ). În termen de o rețea de trafic nu este restricționată (numai setările de punct final), precum și între rețelele de trafic trece prin router, pe care o puteți configura reguli pentru a filtra prioritizarea traficului, o varietate de setări de rețea pentru fiecare segment în DHCP-server, și așa mai departe.
Trimiteți-le prietenilor: