Всем добро пожаловать.
В предыдущей статье (https://zen.yandex.ru/media/kbon/stroim-kompaniiu-s-nulia-vzgliad-so-storony-it-razmyshleniia-byvalogo-sisadmina-chast-1-nachalo-6274ae0229633c0a8a6b9430) мы разобрались во внутренней кухне нашего свежеприобретенного работодателя. Давайте теперь подумаем, каким же образом мы можем улучшить условия работы и повысить общую производительность труда.
Начнем с фундаментальных вещей. Для начала переделаем сеть. Строить сеть я предлагаю на оборудовании Mikrotik — это достаточно дешевый вариант, при этом обладающий внушительным функционалом и производительностью. Сразу отмечу - я намерено не использую all-in-one решения (а у данного производителя они тоже есть) в угоду дальнейшего масштабирования.
В качестве основного маршрутизатора (роутера) будет выступать MikroTik RouterBoard RB3011UiAS-RM. Текущая цена составляет 25000 руб. Достаточно бюджетное решение (естественно в рамках целого бизнеса). Первое время данное железо будет выступать, как и в качестве маршрутизатора, так и в качестве основного шлюза - файервола.
В качестве коммутатора (свича) у нас выступит MikroTik CRS326-24G-2S+RM. Текущая цена составляет 29000 руб. Тоже достаточно бюджетное решение, при это по качеству оно будет гораздо лучше текущих.
В качестве точки доступа у нас будет выступать MikroTik wsAP ac lite. Цена 10000 руб.
Итого - цена модернизации у нас составляет 64000 руб. Теперь осталось только поговорить с руководством и убедить их в необходимости данных финансовых вложений. Здесь необходимо включить логику, и постараться простыми словами объяснить зачем это нужно. Логика руководителя проста - "и так все замечательно работает". Но "работает" и "работает правильно" — это разные вещи. Давайте не будем зацикливаться на этом. Представим, что оборудование уже куплено, и теперь мы можем работать дальше.
Итак, теперь разберемся, как все нам правильно сконфигурировать.
Начнем с VLAN:
Мы имеем два типа клиентов - проводные и беспроводные. Выделим их в отдельные VLAN'ы. Также у нас в дальнейшем будут серверы, для них тоже необходим отдельный VLAN. И также желательно выделить отдельный VLAN под сетевые принтеры. Да, это не обязательно, но почему бы и нет? Как говорится - разделяй и властвуй.
Теперь DHCP:
В VLAN 1 выделяем диапазон 10.1 - 10.50 (имеется в виду 10.0.10.1 - 10.0.10.50) под статические адреса. На них будет висеть сетевое оборудование. Выдаем 10.1 роутеру, 10.2 отдаем свичу.
Принтеры будут получать IP по DHCP, которые мы будем делать статическими (опция make static в winbox), но мы все равно выделим диапазон 120.1 - 120.50 под сетевые устройства. 120.1 принадлежит роутеру.
В VLAN 110 выделяем диапазон 110.1 - 110.50 под статические адреса. 110.1 принадлежит роутеру, 110.2 - WIFI AP.
Основной маршрутизатор:
1. Порт 1 роутера отводим под WAN.
2. Основным VLAN 1 у нас будет сеть 10.0.10.0/24. На ней у нас будут сидеть основные клиенты. Это будет eth2 (порт №2).
3. Дополнительно выделим VLAN 100 c адресацией 10.0.100.0/24 под будущие сервера. Под него выделяем eth3.
4. Также выделяем VLAN 110 с адресацией 10.0.110.0/24 для WiFi клиентов.
5. Дополнительно выделяем VLAN 120 c адресацией 10.0.120.0/24 для сетевых принтеров.
Теперь приступаем к свитчу:
1. Связь между роутером и свитчем идет по портам eth2 -> eth1.
2. Порты eth2 - eth20 выделяем для проводных клиентов.
3. Порты eth21 - eth23 отдаем сетевым принтерам.
4. Порт eth24 отдаем точке доступа.
В итоге мы получаем следующую схему конфигурации. Записываем ее и сохраняем где-нибудь. В дальнейшем она будет редактироваться и дополняться, но это будет основополагающий документ, на базе которого будет строиться дальнейшая конфигурация сети.
1. Роутер:
Eth1 - WAN.
Eth2 - VLAN 1, VLAN 110, VLAN 120 Untagged.
Eth3 - VLAN 100 tagged.
Eth4-8 - VLAN 1 tagged.
2. Свитч:
Eth1 - VLAN 1, VLAN 110, VLAN 120 Untagged.
Eth2-20 - VLAN 1 tagged.
Eth21-23 - VLAN 120 tagged.
Eth24 - VLAN 110 tagged.
О тонкостях настройки VLAN на оборудовании Mikrotik я рассказывать не буду — это тема отдельных статей.
После всех манипуляций наша схема сети преображается в следующий вид:
Итак, с сетью разобрались. Все привели в порядок, теперь мы сможем заняться серверами. Этим мы и займемся в следующей статье.
Спасибо всем, кто прочел это трактат до конца.
