|
Вопрос по VLAN
Вложений: 1
Добрый день!
Помогите советом. У нас на предприятии идет модернизация сети. 3 этажное здание Как это вижу я: На каждом этаже планируется поставить коммутаторы распределения(уровня 2+) к которым будут подключаться непосредственно пользователи т.е от коммутатора тянется одна точка-розетка. Все коммутаторы распределения подрубаются к коммутатору ядра, который будет располагаться на первом этаже в серверной, к нему планирую напрямую подключить серверы и модем. Нужно организовать Vlanы чтобы разделить пользователей между отделами. Примерную схему набросал. Коммутаторы zyxel: http://catalog.onliner.by/zyxel/es3148/ Вопросы: По какому решению делить лучше сеть на vlan - с VLAN на базе порта (Port-based), либо с VLAN на базе тега (802.1Q) ? Можно ли сеть расширять поделенную vlan обычными коммутаторами ? Как лучше соединить распределения с коммутатором ядра ? |
Цитата:
Цитата:
Цитата:
|
baph, у вас нормальная схема, вполне себе стандартная. Просто спокойно доведите ее до конца.
Если не секрет, зачем именно нужен vlan? |
Цитата:
C помощью VLAN на базе порта можно настраивать довольно сложные схемы "перекрывающихся" виртуальных сетей, однако у этого метода есть существенный недостаток: он не позволяет распространить VLAN на несколько коммутаторов. Для передачи информации о VLAN между коммутаторами используется тегирование кадров по стандарту 802.1Q. Цитата:
Цитата:
|
Цитата:
в общем аплинковые порты в транке с указаными вланами и всё будет хорошо. Цитата:
Есть дешёвки, которые срезают. P.S. зюксель - кака. |
Цитата:
вот ссылка : http://zyxel.by/kb/1439 |
baph, я понимаю, что специфика отделов. Мне не важно чем они занимаются и как -- не моего ума дело. Мне интересны их необходимость доступа к информации по карте сети.
Т.е. если их можно полностью замкнуть на этаже - это одно (кадровики имеют отдельный уровень безопасности), если они с кем то перекрываются (с бухгалтерией допустим) это другое. |
Цитата:
+ сервера чтобы были доступны разным группам. Могу накидать примерную схему Важно чтобы участники VLAN могли быть на разных коммутаторах. |
Цитата:
Цитата:
Цитата:
|
Подскажите
Как настроить для 2ух влан общий сервер чтобы 1ый влан и 2ой были доступны серверу а между собой нет. Коммутатор Zyxel ES-3148 |
два влана на сетевой карточке сервера.
|
Вложений: 1
cameron,
Подробнее можно? настраивать на сетевой карточке? а есть ли в зукслах порт, который может иметь членство в нескольких VLAN ? В Длинках есть ассиметричные что то подобное есть в зукслах? Вот схема как мне нужно Чтобы все видели проксю и DC и только влан 2 видел сервер 1С |
нужно, чтобы сетевая карта поддерживала протокол 802.1q (на шлюзе), затем настроить ПО для работы с этим протоколом ( http://xgu.ru/wiki/VLAN_%E2_Windows или http://xgu.ru/wiki/VLAN_%D0%B2_Linux) , далее включаете межVLANовую маршрутизацию и файрволом ставите ограничения.
Цитата:
|
Цитата:
на 3 серверах должны быть карты с поддержкой протокола 802.1q ? На коммутаторе и на карте порт настраивается как "tagged" ? |
baph, дело в том, что использование vlan подразумевает под собой использование отдельных подсетей. vlan является частью механизма безопасности в целой системе. если все компьютеры у вас находятся в домене то необходимо настраивать межvlanовую маршрутизацию (http://xgu.ru/wiki/VLAN) для того, чтобы пакеты могли 'ходить' из одной подсети в другую.
Цитата:
Цитата:
|
slava007, А без подсетей возможно? Если все компьютеры в одной сети
Цитата:
|
Цитата baph:
А без подсетей возможно? Если все компьютеры в одной сети » нет. 2 vlan - 2 сетевых интерфейса т.к. каждый интерфейс должен находится в своей подсети то реализовать вашу идею нельзя ( ну может с костылями это будет работать, но так никто не делает, по крайней мере на производстве). к тому-же без подсетей теряется смысл в vlan'ах. Цитата baph: можно подробнее? » ну это значит, что нужно настроить .1q на сетевой карте ( в ПО шлюза ), настроить маршрутизацию, настроить файрвол для ограничения доступа из одной подсети в другую. |
slava007, Хорошо. Есть ли тогда смысл во вланах если мне нужно разделить сеть на 2 группы которые бы не видели друг друга и у них был общий сервер. Как это реализовать?
|
Цитата:
Цитата:
Цитата:
|
Можешь по порядку рассказать а то я запутался.
Если сеть у меня 192.168.1.0 Есть(пока только один свитч) + сервер 1С сервер АD и сервер в роли прокси в инет Что где настроить Чтобы были 2 влан и они не видели друг дргуга Но чтобы у них был общий AD + Прокси И у одной из vlan был достпуен сервер 1С |
baph, какое ПО используется в качестве proxy? какая OS?
я бы для начала порекамендовал вам почитать про сетевую модель OSI, чтобы понять как взаимодействуют между собой сетевые уровни 2 и 3, чтобы понять что такое vlan и зачем он нужен. ПО можно настраивать по HOWTO |
UserGate win2003
|
|
А как же настроить маршрутизацию если у меня свичт 2уровня нужен маршрутизатор
|
Цитата:
|
Вложений: 1
slava007, Получается так?
|
Вложений: 1
вот так
|
AFAIK УГ не умеет ничего маршрутизировать.
там NAT то не во всех версиях есть. а при скрещивании RRAS'а с УГ возможны проблемы, по крайне мере при настройке RRAS'а мастером. |
cameron, вы про user gete? так чем тогда маршрутизировать?
|
про usergate, да.
я не очень понимаю что и зачем там вообще маршрутизировать, это для начала. ну а если уж очень хочется маршрутизовать - то почитать справку от вашего УГ, что бы понять какая у вас версия и умеет ли она маршрутизировать. |
cameron, я уже ничего не понимаю! один говорит надо другой не надо
|
не понимаете вы лишь потому, что совсем не читаете документацию, не знаете ровным счётом ничего из того что вам нужно сделать и страстно хотите что бы всё сделали за вас.
прочиайте линки которые вам давали в этой теме, там всё написано по-русски. после этого у вас отпадёт 70-80% вопросов и станет понятно что и как нужно делать. |
Как раз таки знаю то что мне нужно . Вроде я изначально описал то что не нужно. Всем спасибо. Тему можно закрывать
|
| Время: 23:51. |
Время: 23:51.
© OSzone.net 2001-