VLAN - jak ugryźć w dużej sieci

Witam,
Może ktoś doradzi to i owo bo już włosy mi siwieją.
Pracuję w dużej firmie,może nie aż tak dużej,tyle że sieć jest dosyć mocno rozproszona,a co za tym idzie, chciałbym wkońcu przysiąść do VLAN-ów.
Samych kamer CCTV (IP) jest około dwustu,a to już robi niemały problem (obecnie jest to na osobnej wydzielonej sieci i ledwo co zipie),
Komputerów i drukarek będzie już około 70,a liczba cały czas rośnie.
VLAN-y w miare rozumiem i już stosowałem u siebie w domu,jednak w tak dużej topologii sieci, i nie do końca przemyślanej (poprzedni informatyk, rozwiązywał problemy braku gniazda sieciowego, 8portowym niezarządzalnym switchem…) nie wiem jak to ugryźć.
Już tłumaczę o co chodzi:
Podsieć 192.168.4.x - tutaj znajdują sie wszystkie komputery/drukarki/acces pointy/switche, ogółem cały sprzęt komputerowy.
Zakład składa się z dwoch budynków - chce by ten drugi budynek posiadał adresację 192.168.5.x (konkretnie to komputery)
Drukarki łącza się w więszkosci bezprzewodowo, do acces pointów firmy Ubiquiti.
Dla drukarek chciałbym osobną podsieć (np. 192.168.6.x)
Switche/acces pointy i tym podobne - tutaj chciałbym kolejny vlan.
O ile z podziałem na budynki nie mam problemu ,bo między budynkami mam światłowód który mogę wpiąc bezpośrednio do routera, o tyle problem zaczyna się chociazby z acces pointami,które są wpięte gdzieniegdzie w 8portowego niezarządzalnego switcha a razem z nim komputery. oczywiście po drodze też jest z 5 switchy niezarządzalnym do których jest wpięta drukarka i pecety,a gdzieniegdzie jeszcze unifi.
Jedyne co mi do głowy przychodzi,to wszystkie switche wymienić na zarządzalne,ale to tez z kolei kłopot,bo praktycznie musiałbym wymienić wszystkie niezarządzalne switche wywalić,i konfigurować.
czy istnieje jakiś prostszy sposób? widziałem ze kontroler unifi jak i sam sprzęt ma opcję vlanów,z kolei te AP-ki tez są własnie nieszczęśnie popodłączane i szczerze mówiąc nawet nie wiem jaka jest trasa kablowa od AP do switcha.A pewnie pomiędzy ze 3 przełączniki niezarządzalne.
Podsieć dla CCTV już sobie ogarnę,ale konfiguracja VLAN w tak wielkiej sieci zaczyna mnie przerażać.
Może macie jakieś pomysły? Może ktoś z was wdrażał vlan w zawiłej sieci (gdzie poprzedni informatyk też się średnio przykładał)
Z góry dzięki za pomoc.

Tak, urządzenia muszą wspierać VLANy. Kolejna sprawa, rozrysować to sobie powinieneś i czy na podsieć wystarczy Ci maska /24 (~250 hostów). CO do wydzielenia drukarek w inną podsieć - tu już wchodzi router. Drugi budynek - jakieś Windowsy masz? Domenę? Jakieś ‘sajty’ chcesz robić?

Osobny VLAN dla drukarek nie ma sensu. Jeśli wydzielasz VLANy działami, to drukarki są w tym VLAN.

VLAN pod CCTV, alarmy itp. to podstawa. Odciąży Ci to sieć pod warunkiem, że masz na urzadzeniach QoS. VLAN do zarządzania również.

Napisz co masz za sprzety. Router, switche.

Żeby pozbyć się switchy podbiorkowych, to albo ciągniesz okablowanie (zlecasz to komuś), albo tworzysz punkty dystrybucyjne.

Jeśli będziesz miał dobrze zaprojektowany core, sieć będzie skalowalna i stabilna.

Kamery IP czy analog?

A podsiec ta maska styknie. W drugim budynku pecety, drukarki, acces pointy - a w przewodach i topologii jeden makaron. AD będzie wdrażane około kwietnia.

@roobal czemu nie ma sensu? Zaśmiecają mi sieć, a na Unifi stworzyłbym osobny ssid dla drukarek.

Router - fortigate 60e, switche zarzadzalne to TP-linki, główny to tp-link t1600g-52ts, i w większości punktów taki model jest, ewentualnie mniejszy brat 24portowy.
Niestety podbiurkowe switche muszą zostać, bo nie mam możliwości przeciągnięcia przewodu - biura są w stanie wykończonym a przewody idą pod tynkiem.

Kamery IP.

Wykończysz się z tymi switchami, wygrzebałem takie cos z szuflady.To nie na te czasy:

Zarządzane switche i na sztywno wpisane IP, dopiero to ogarniesz

No niestety ale przy tak rozbudowanej sieci i takiej ilości danych (transferu) nie obejdzie się bez profesjonalnego sprzętu.
https://itencio.com/pl/switch-cisco-sg350-28.html?gclid=EAIaIQobChMIm6qO-8ek5wIVCKqaCh26TQhiEAkYASABEgI7J_D_BwE

https://itencio.com/pl/switch-cisco-sg550x-24-k9-eu.html?gclid=EAIaIQobChMIm6qO-8ek5wIVCKqaCh26TQhiEAkYAyABEgIjTvD_BwE

Bo vlan dla drukarek nie ma sensu. Po co mają dotykać fortiego? O ile forti ujdzie w tłoku (choć to firewall nie router), to tp linki z czasem wymienisz.

Pod kamery koniecznie osobny VLAN i QoS, żeby Ci switchy nie zajechały. Jeśli masz VoIP, też osobny VLAN. Reszta to podział na działy i zarządzanie. VLANy, które nie powinny ze sobą gadać, separujesz.

Polecam Netgeary z serii GS, a jak coś klasy enterprise, to w pełni zarzadzane sprawdzą się lepiej, niż Cisco.

Podobnie jak w Meraki, można nimi również zarządzać z portalu Netgeara.

Ja widzę to tak. Serwer sprzętowy w postaci komputera na Linuxie. Łącze światłowodowe wpięte w serwer i dalej switche z dużą ilością portów. Trzeba rozwiązać to tak żeby było mniej sprzętu fizycznego, ale więcej dostępnych portów. Na stanowiskach pracowników powinno być gniazdo sieci ethernet i gniazdo telefoniczne. Kamery wpiąć do oddzielnego serwera i tam puścić jakiś fragment łącza ze światłowodu. Jeżeli biuro jest rozległe problem będą stanowiły długie kable, które stosowane słabej jakości będą stanowiły pogorszenie jakości pracy sieci. Dużo switchy o małej liczbie portów to też przeszkoda bo spowalnia to pracę sieci i wydłuża trasy.

Ja to widzę standardowo:

  1. VLAN dla ciebie/innych adminów
  2. VLAN(y) dla pracowników (jak dzielić, zależy od kształtu firmy)
    2a. VLAN dla drukarek się może przydać, ale jeśli nie ma możliwości technicznych, to nie ma się tym co aż tak przejmować. Trzeba też pamiętać, że jeśli są to urządzenia wielofunkcyjne, to niektóre opcje skanowania “na komputer” wymagają, by komputer był w tej samej sieci, co urządzenie.
  3. VLAN dla kamer
  4. VoiP
  5. VLAN(y) dla serwerów. Tu można np. zabezpieczyć się przed ransomware i wydzielić serwery, na których musi być włączone SMB. Można wydzielić kontrolery domeny. Można robić cuda wianki…

Co do AP i kontrolera Unify, to nie miałem kontaktu, ale jeśli działa to jak w Cisco, to obsługa VLANów przez switche do których podpięte są AP nie będzie konieczna. Informacje o vlanie przekazywane są do kontrolera i dopiero kontroler routuje ruch po vlanach (tym samym musi być podpięty do trunka).

Czy forti utrzyma taki ruch? Można spróbować. Tanią alternatywą może być np. PFSense jako firewall wewnętrzny na jakimś kompie z większa ilością gniazd sieciowych lub jako maszyna wirtualna.

Uważasz że FG ma za mało mocy i nie da rady? TP-Linki przy tych 60pctach nie poradzą sobie? Wydaje mi się lekką przesada ładowanie kasy w Cisco, skoro tp-link jak mniemam ogarnie to z palcem w D.

Jak wygląda sprawa z Unifi? Wiesz może?
@vries pisze że kontroler sam wypycha vlany na urządzenia, i nie muszą mieć wklepanych vlan.

@vries myślę że forti sobie poradzi - aktualnie 2x tunel ipsec mnóstwo reguł, plus webfilter i parę innych i max zużycie 15%.

Czekaj, masz kawałek Unifi i dokładasz tplinki i FG? Po co?
Unifi jest tak zbudowane, że (przy tej wielkości sieci) wszystkim ogarniesz z poziomu właśnie unifi. Przełączniki zarządzalne (są nawet fajne 8 portowe zasilane przez PoE - załatwiasz tym część podbiurkową). VLAN dla drukarek ma ogromny sens z wielu powodów (o ile oczywiście zarządzasz drukiem centralnie). Forti zostaw na wejściu i niech pełni swoją rolę. Routing zostaw routerom :slight_smile:
Konfigurujesz vlany na konsoli unifi i przypinasz do odpowiednich portów w odpowiednich switchach (bo najłatwiej). Z czasem pewnie przejdziesz na 802.1X, ale nie robiłbym wszystkiego na raz.

Edit: https://demo.ui.com/manage/site/default

Oszalałeś? Mam wymieniać wszystkie przełączniki na Ubi Unifi? Zwariowałeś chyba… Mam obecną infrastrukturę i chce ja wykorzystać.
Na Unifi mam tylko cała sieć bezprzewodową (acces pointy) reszta w szkielecie tplink.
FG robi za utm i router (co w tym dziwnego?)

korni007, to tylko pomysł - nie znając realiów. Zrozumiałem, że musisz i tak te niezarządzalne powymieniać - więc proponowałem sukcesywną zmianę na unifi, żeby wszystko ogarniać z jednej konsoli. Zrozumiałem też (widać błędnie), że tplinki chcesz założyć a nie już masz (widać nie doczytałem).
TPlinka bym za karę nie polecił nawet wrogowi - patrząc, jak się zatykają u znajomych. Twój wybór :slight_smile:
Jakoś też jestem uprzedzony do używania firewalla jako routera (w sensie wystawiania na zewnątrz - bo w końcu router jest wystawiony jakby nie spojrzeć). To oczywiście zależy od wielkości tego FG, ale jakoś no… nie. Ale to też inne rozmiary sieci.
Odpisałem na Twoje pytanie, jak ja bym zrobił. Oczywiście to Twoja sieć i traktuj moją odpowiedź jako jeden z pomysłów. Tylko tyle.

A ja gdzieś napisałem że fortigate jest wystawiony na zewnątrz?
Zapychają się w jakim sensie? CPU nie wydala? Czy o co chodzi?

Przy naprawdę dużych sieciachvi obciążeniu, tak CPU nie wydala w TP Linkach. Do tego soft ma pełno bugów, o aktualizacjach można zapomnieć. Nawet jeśli napiszesz do supportuvibjest to krytyczne, to napiszą coś na kolanie co w połowie rozwiazuje lub tylko obchodzi problem. SNMP do dziś nie naprawili i nie naprawią.

Popatrz na takiego Netgear, oni robią sprzęty klasy enterprise, a te z półki SMB, są milion razy lepsze od TP Linków, Mikrotikow czy Ubi, jesli chodzi o switche.

Dlatego pisałem, że kiedyś i tak wymienisz te TP Linki.

Witam,

Pracuję przy takich sieciach korporacyjnych więc z mojego doświadczenia:

  1. Sprzęt im lepszy tym lepiej dla Ciebie - nie kupuj byle czego tplinki czy inne mydełkowe sprzęty - wiadomo wszystko zależy od kasy ja polecam Cisco, HP, Juniper, Ruckus (Cisco small business tez jest ok) na takim sprzęcie pracowałem i zdał egzamin. Netgear używałem tylko do prostych instalacji np: z IPTV nie radziły sobie kompletnie (ale było to z 8 lat temu)

  2. Vlany - jak to wygląda w dużych sieciach:
    a. Vlan MGMT - zarzadzanie switchami, routerami
    b. Vlan MGMT dla AP - osobna podsieci dla AP - Unifi używają vlan nie tagowanego do komunikacji.
    c. Serwery
    d. Drukarki
    e. CCTV
    f. Działy np księgowość, It itp każda osobny vlan.
    g. Voip
    h. Wifi - kazdy SSID osobny vlan

Jeżeli dobrze podzielisz siec potem będzie ci się łatwiej zarządzało - nie ważne ze sieć jest mniejsza pamiętaj robisz to po to żeby mieć spokój.
3. Router/firewall - akurat polecam FG bo są nie zawodne i w porównaniu do Junipera czy Cisco o wiele tańsze. Ale tutaj bardziej jest kwestia czego dokładnie potrzebujesz.

  1. Jeżeli chodzi o wymianę tych małych switchy to musisz to zrobić są to switche nie zarządzalne nie obsługujące choćby protokołu STP przez co narażony jesteś na problemy które mogą wywołać userzy.

  2. Przydałby się jakiś rysunek topologi wtedy można by było coś więcej doradzić. Czy dodać switcha czy lepiej w tym miejscu dociągnąć dodatkowe kable.

  3. Wifi unifi - osobiście chwale sobie ten sprzęt zamontowałem ich około 500 sztuk w różnych obiektach i nie miałem problemu z nimi nigdy.

  4. Pamiętaj że warto do sieci wprowadzić kilka mechanizmów zaczynając od STP, port security, dhcp-snooping czy nawet arp inspection kwestia co sprzęt będzie potrafił.

Możesz również pomyśleć o re fabrykowanym sprzęcie jest taka firma comel się nazywa znajdziesz w google można u nich kupić re fabrykowany sprzęt cisco, hp, juniper i dają gwarancję. Czasami z nich korzystam jak klient ma małą kasę a wymaga dobrego sprzętu. Warto przemyśleć.

1 polubienie

Chodzi Ci konkretnie o wymianę tych switchy które są na głównych punktach dystrybucji? Pewnie kiedyś je wymienię, i z tym nie będzie problemu. Z HP podpasował mi kiedyś model 2810-48G. Fajny sprzęt z ogromem możliwości. Pytanie czy obecnie nada się, czy może poszukać jakiegoś nowszego modelu z tej serii? Najlepiej poleasingowy

@roobal mi narazie (odpukać) wszystkie chodzą bez zająknięcia. Przez 3 lata na jakieś 20sztuk jeden tylko zawisnął, a tak to śmigają. A co z snmp jest popsute?

Hej,

Accessowe to teraz popularne HP Aruba 2540 na core 2930 (następca 2800) - Generalnie polecam iść w jednego vendora switchy wtedy jest święty spokój. Ja osobiście preferuje Catalysty cisco ale one są drogie.

Jeżeli chodzi o te małe switche to sprawdź czy nie lepiej je zamienić na jeden duzy switch i ułożyć nowe kable czasem to najlepsze rozwiązanie niż mieć dodatkowo np 10 urządzeń.

Jak podeślesz jakiś rysunek topologii to mogę się wypowiedzieć zawsze to dla Ciebie kolejny punkt widzenia.

A co z Unifi?w sensie kontroler sam wypycha na APki vlany? Czy muszę szukać gdzie są AP wpięte i tam na switchu przypisywać vlany?