Страница 1 из 1
VLAN и обычные свичи
Добавлено: 14 янв 2017, 04:03
aliksend
Здравствуйте.
У меня немного ламерский вопрос.
Хочу заменить "входящий" роутер (в который "приходит интернет" и от него уже уходит клиентам).
Сейчас это работает на старом роутере от ASUS, хочу его поменять, приобрести роутер микротик.
Клиенты – компьютеры, подключенные по LAN, по WiFi и через свичи и старые роутеры, настроенные как свичи (даже есть один ADSL модем на 4 порта с WiFi, на котором выставлен IP, не конфликтующий с остальными в сети, и который отлично выполняет свою роль сейчас).
Есть желание разделить пользователей по правам (гости и несколько отделов), отдельно им резать скорость, доступ к определенным сайтам и друг к другу. Для этих целей хочу использовать VLAN-ы. Сделать чтобы гости не видели друг друга (изолированная сеть вроде называется) и клиентов из отделов.
Так вот вопрос в том, будет ли это возможно с обычными свичами?
Скажем, человек-гость подключен в один свич с человеком из какого-то отдела. У всех IP вида 192.168.1.x. Свич же может разрешить доступ одного клиента к другому, "не спрашивая у роутера", я правильно понимаю? Или даже обычные свичи "понимают" VLAN? Если нет, можно ли как-то устранить это? Например сделать 192.168.x.y сеть и маску 255.255.255.0 чтобы для обращения к другому x клиенты "стучались" к роутеру, но тогда получается и vlan-ы не нужны.
Спасибо
Re: VLAN и обычные свичи
Добавлено: 14 янв 2017, 09:55
DmNuts
Неуправляемые коммутаторы, конечно, VLAN не понимают, некоторые даже режут тегированный трафик.
Если хотите разграничить клиентов на L2, ставьте управляемые коммутаторы или делите физически (гостям - отдельный каскад коммутаторов, который терминируется на отдельном порту роутера).
Просто выдавая гостям другую подсеть, не удастся полностью их изолировать, L2 связь останется. Поменяв IP адрес вручную, пользователь получит несанкционированный доступ. Можно через DHCP жёстко присваивать конкретный IP конкретному MAC, но это обходится подменой MAC.
Re: VLAN и обычные свичи
Добавлено: 14 янв 2017, 13:28
aliksend
гостям - отдельный каскад коммутаторов, который терминируется на отдельном порту роутера
То есть для гостей придется кидать отдельные провода и ставить отдельные умные свичи, настроенные так, чтобы клиенты не видели друг друга?
Можно через DHCP жёстко присваивать конкретный IP конкретному MAC, но это обходится подменой MAC
Я так и планировал делать. С подменой MAC я думаю проблем не будет. В остальном же можно будет всё настроить, как я описывал?
То есть у меня есть только два варианта: физически разделять сеть (192.168.x.y/24), или делать VLAN-ами, но через "умные" коммутаторы?
Гостям думаю вполне хватит закрыть видимость устройств в локальной сети (не знаю как это объяснить, короче чтобы в винде в проводнике в разделе "Сеть" не отображались другие клиенты, на маке чтобы в Finder-е не было видно другие устройства и тд). Возможно ли это? Если можно, ссылочку
Re: VLAN и обычные свичи
Добавлено: 14 янв 2017, 13:54
KARaS'b
Если нарисуете полную и подробную карту сети, и выделите на ней сегменты, которые надо оградить друг от друга, то возможно что-то сможем подсказать, а пока, как вам уже сказали, на "тупых" свичах и при сложной и ветвящейся сети, у вас ничего не выйдет.
Re: VLAN и обычные свичи
Добавлено: 14 янв 2017, 13:56
DmNuts
aliksend писал(а):гостям - отдельный каскад коммутаторов, который терминируется на отдельном порту роутера
То есть для гостей придется кидать отдельные провода и ставить отдельные умные свичи, настроенные так, чтобы клиенты не видели друг друга?
В данном случае можно с тупыми коммутаторами. Но, если обычные клиенты и гости могут находиться рядом, понадобятся отдельные коммутаторы и магистральные линии для тех и других.
aliksend писал(а):Можно через DHCP жёстко присваивать конкретный IP конкретному MAC, но это обходится подменой MAC
Я так и планировал делать. С подменой MAC я думаю проблем не будет. В остальном же можно будет всё настроить, как я описывал?
То есть у меня есть только два варианта: физически разделять сеть (192.168.x.y/24), или делать VLAN-ами, но через "умные" коммутаторы?
Гостям думаю вполне хватит закрыть видимость устройств в локальной сети (не знаю как это объяснить, короче чтобы в винде в проводнике в разделе "Сеть" не отображались другие клиенты, на маке чтобы в Finder-е не было видно другие устройства и тд). Возможно ли это? Если можно, ссылочку
Придётся повторить предыдущий пост другими словами :)
Физическое разделение - это значит на уровне проводов и контактов (как раз первый вариант, когда у гостей отдельные коммутаторы).
Логическое разделение - VLAN'ами.
Если не делать первое или второе, а только выделить гостям другую подсеть, у них останется возможность сменить IP адрес вручную.
Re: VLAN и обычные свичи
Добавлено: 14 янв 2017, 14:10
aliksend
нарисуете полную и подробную карту сети, и выделите на ней сегменты, которые надо оградить друг от друга
Нарисовать могу, но разделить нужно не сегменты, а клиентов.
Гость может быть подключен к одной WiFi точке доступа, идти по зданию, подключится к другой и тд.
Отдел один может быть в разных частях здания, соответственно между компами можем быть несколько свичей. В то же время к одному свичу могут быть подключены люди из разных отделов и гости.
Физическое разделение - это значит на уровне проводов
Понял, извиняюсь (=
Если не делать первое или второе, а только выделить гостям другую подсеть, у них останется возможность сменить IP адрес вручную
А нельзя "закрепить" IP за MAC адресом (для подсети отделов) и, если IP не соответствует MAC-у, то не пускать?
Хотя, как я уже понимаю, "не пускать" получится в интернет, а вот локалка всё равно останется
Re: VLAN и обычные свичи
Добавлено: 14 янв 2017, 14:18
DmNuts
aliksend писал(а):А нельзя "закрепить" IP за MAC адресом (для подсети отделов) и, если IP не соответствует MAC-у, то не пускать?
Хотя, как я уже понимаю, "не пускать" получится в интернет, а вот локалка всё равно останется
Примерно правильно. "Не пускать" в локалку должен умный свитч, функция называется IP-MAC-Port Binding.
Re: VLAN и обычные свичи
Добавлено: 14 янв 2017, 14:45
aliksend
Спасибо
Для моего случая единственным решением, как я понимаю, будет разделение по подсетям. И стараться не думать что кто-то будет менять IP или MAC. И собирать деньги на умный свич (=
И ещё такой вопрос. В моём случае в качестве свичей используются роутеры, настроенные в режим свича (потому что нужны WiFi). Им нужно выставлять IP. Важно ли в какой подсети они будут находиться? Если роутер будет 192.168.0.x а клиенты будут и .1.x и .2.x и тд, будет ли всё это работать?
Как я понимаю, IP роутеру нужен чтобы иметь доступ на страничку его настроек. Если только для этого, то будет работать, а если нет, то как быть? Или решать проблемы по мере поступления?
Re: VLAN и обычные свичи
Добавлено: 14 янв 2017, 14:58
DmNuts
Если в самом деле роутеры работают как прозрачные Wi-Fi мосты, то проблем быть не должно. А то попадаются роутеры, которые Wi-Fi клиентам всегда подставляются шлюзом :(
Re: VLAN и обычные свичи
Добавлено: 15 янв 2017, 01:42
aliksend
Понял, спасибо