Практически любая сеть начинается с установки маршрутизатора, из которого начинают вырастать дополнительные сети для разных задач.
Правильное разделения сети на Vlan позволяет сэкономить время на поиск проблем в ней. Это не актуально для сетей масштаба домашняя или очень маленький офис. Но если ваша сеть может вырасти, или у вас планируются корпоративные стандартны, то нужно сразу закладывать план сети.
Данная статья считается полностью теоретической и не затрагивает сам процесс настройки.
Table of Contents
1. Деление IP адресов
1.1. Выбор маски
1.2. Выбор пула IP адресов
1.3. Нарезка сетей
1.3.1. Серверные сети
1.3.1.1. Сервера
1.3.1.2. DMZ
1.3.1.3. Управление виртуализацией
1.3.1.4. Управление серверами
1.3.2. Сетевое оборудование
1.3.2.1. Сетевое оборудование
1.3.2.2. ИБП
1.3.2.3. Точки доступа
1.3.2.4. Мосты
1.3.3. Контроллеры
1.3.3.1. Насосы
1.3.3.2. Счетчики
1.3.4. Системы безопасности
1.3.4.1. Видеонаблюдение
1.3.4.2. СКУД
1.3.4.3. Рабочие станции, телефоны, МФУ, Wi-Fi
1.3.4.4. ИТ отдел
1.3.4.4.1. Администраторы
1.3.4.5. Руководство
1.3.4.6. Бухгалтерия
1.3.4.7. Юристы
1.3.4.8. Экономисты
1.3.4.9. Продажники
1.3.4.10. Склад
1.3.4.11. Производство
1.3.4.12. Принтеры, сканеры, МФУ
2. Зачем делить на Vlan?
Деление IP адресов
Выбор маски
Стандартная маска сети /24, она же 255.2555.255.0, где 254 адреса, один из которых является шлюзом.
Сеть более 254 адресов использовать не рекомендуется, в ней начинает ходить большой широковещательный трафик. А более мелкую сеть /25 /26/ 27/ 28 /29 актуально использовать для конкретных задач, где не планируется рост хостов, например отдельные Vlan для контроллеров (СКУД и тд), которые не любят соседства.
Выбор пула IP адресов
Актуально закладывать от 16 сетей даже для малого офиса. 16 сетей /24 (255.255.255.0) маски это 1 сеть в /20 маской (255.255.240.0). Если нужно 32 сети /24, то маска будет /19, и так далее маска уменьшается на /1, количество сетей увеличивается в 2 раза. В данной статье будет пример с /19
Нарезка сетей
Для сети офиса со складом мы выбрали сеть 10.10.0.0/19, которую разделим на несколько /24 сетей, оставив запас
Серверные сети
Сервера
Для серверов выделяем самую первую, чтобы было проще запоминать — 10.10.0.0/24, которая будет работать на Vlan10-SRV
DMZ
DMZ необходим, когда есть сервера, которые имеют доступ к себе из вне. Например WEB, почтовый, файлообмен. Выделим — 10.10.1.0/24 на Vlan11-DMZ
Управление виртуализацией
Все сервера находятся на виртуальных машинах, и этим всем нужно управлять из отдельной сети. Для доступа в консоль VMware, Hyper-V, Proxmox выделим сеть — 10.10.2.0/24 на Vlan12-VM
Управление серверами
Bare Metal (какое модное слово) тоже нужно управлять с отдельной сети — это менеджмент IPMI, iLO, KVM. IMM. Выделим — 10.10.3.0/24 на Vlan13-IPMI
Сетевое оборудование
Сетевое оборудование
Управление всеми коммутаторами — 10.10.4.0/24 — Vlan14-NET
ИБП
Управление источниками бесперебойного питания — 10.10.5.0/24 — Vlan15-MGMT-UPS
Точки доступа
Управление точками доступа — 10.10.6.0/24 — Vlan16-AP
Мосты
Управление мостами — 10.10.7.0/24 — Vlan17-BRIDGE
Контроллеры
На предприятиях почти всегда есть специфичное оборудование, которое нужно держать в отдельной сети
Насосы
Управление насосами — 10.10.8.0/24 — Vlan18-Pump
Счетчики
Управление счетчиками — 10.10.9.0/24 — Vlan19-Counter
Производственное оборудование — 10.10.10.0/20 — Vlan20-EQ
Системы безопасности
Видеонаблюдение
IP Камеры и любые регистраторы — 10.10.21.0/24 — Vlan21-CCTV
СКУД
Контроллеры, датчики, считыватели, замки — 10.10.22.0/24 — Vlan22-SKUD
Рабочие станции, телефоны, МФУ, Wi-Fi
На каждую группу создается свой Vlan
ИТ отдел
Всегда выделяется в отдельную сеть, причем внутри может так же делиться от типов сотрудников
Администраторы
10.10.23.0/24 — Vlan23-IT-PC-Adm — Компьютеры администраторов
10.10.24.0/24 — Vlan24-IT-VoIP-Adm — Телефоны администраторов
Остальные (1Сники, аналитики и т.д.)
10.10.25.0/24 — Vlan25-IT-PC-Other — Компьютеры администраторов
10.10.26.0/24 — Vlan26-IT-VoIP-Other — Телефоны администраторов
Руководство
10.10.27.0/24 — Vlan27-PC-VIP
10.10.28.0/24 — Vlan28-VoIP-VIP
Бухгалтерия
10.10.29.0/24 — Vlan29-PC-Buh
10.10.30.0/24 — Vlan30-VoIP-Buh
Юристы
10.10.31.0/24 — Vlan31-PC-Law
10.10.32.0/24 — Vlan32-VoIP-Law
Экономисты
10.10.33.0/24 — Vlan33-PC-Fin
10.10.34.0/24 — Vlan34-VoIP-Fin
Продажники
10.10.35.0/24 — Vlan35-PC-Sale
10.10.36.0/24 — Vlan36-VoIP-Sale
Склад
10.10.37.0/24 — Vlan37-PC-Sklad
10.10.38.0/24 — Vlan38-VoIP-Sklad
Производство
10.10.39.0/24 — Vlan39-PC-Manuf
10.10.40.0/24 — Vlan40-VoIP-Manuf
Принтеры, сканеры, МФУ
10.10.41.0/24 — Vlan41-Print
Рабочий Wi-Fi EAP
10.10.42.0/24 — Vlan42-WiFi-Tech — Технический Wi-Fi с полным доступом
10.10.43.0/24 — Vlan43-WiFi-User — Пользовательский Wi-F0
Рабочий Wi-Fi PSK
10.10.44.0/24 — Vlan44-WiFi-PSK — Wi-Fi для устройств без поддержки EAP
Гостевой Wi-Fi
172.16.1.0/24 Vlan300-Guest — Отдельная не маршрутизируемая сеть
Складской Wi-Fi EAP
10.10.45.0/24 — Vlan44-WiFi-WMS — Wi-Fi для ТСД
10.10.46.0/24 — Vlan45-WiFi-Internet — Доступ в Интернет
Выделению в отдельную сеть подлежит каждый тип и группа устройств, например кассы и отделы.
Зачем делить на Vlan?
В первую очередь это снижение нагрузки на сеть и потом уже безопасность. Разделив сети, можно сделать ограничения доступов между ними, например сеть телефонов может общаться только с сервером телефонии, а в настройки телефонов можно попасть только из Vlan ИТ отдела.
СЕТЕВЫЕ УСЛУГИ
- Настройка
- Мониторинг
- Консультация
- Подбор оборудования
- Telegram: @Engineer_MikroTik
- Все услуги без предоплаты
- Работаю с юридическими и физическими лицами