VLANy czy podsieci

remik307 · 10 Kwiecień 2020 16:07

Witam,
dostałem za zadanie przygotowanie zmian w sieci biura.
W biurze pracuje kilka zespołów (po około 10-15 osób w zespole). I teraz każdy z zespołów ma mieć swoją odseparowaną sieć (w której będą komputery, drukarki, serwer NAS).
Wszystkie zespoły/sieci mają dostęp do Internetu (jest jeden ISP). Między zespołami/sieciami ma być zablokowana komunikacja

Sprzęt nie jest jeszcze wybrany, ale pewnie będzie to Mikrotik oraz Netgear.
I teraz zastanawiam się nad rozwiązaniem - czy wykorzystać VLANy czy podsieci? Co będzie lepsze?

gall_anonim_lol · 10 Kwiecień 2020 16:44

Jedno i drugie. Jaki tam będzie router? Jest tam kontroler domeny windows?

remik307 · 10 Kwiecień 2020 17:42

Konkretnego modelu routera jeszcze nie ma, ale pewnie któryś Mikrotik CCR. Switch z kolei to pewnie będzie któryś z Netgear Smart.
Czyli nie zastanawiać się długo - czy VLANy czy podsieci - i tak będzie dobrze?

gall_anonim_lol · 10 Kwiecień 2020 17:53

zrob osobne vlany i osobne podsieci. Jedno i drugie naraz. Na routerze ustaw na jednym interfejsie port tagowany i ustaw routing tak jak tego potrzebujesz. Nie ma sensu robic osobnych podsieci w tym samym vlanie bo wystarczy recznie ustawic inna klase adresowa i juz.

Tego mikrotika bierzesz z konkretnego powodu? Jaka duza siec? Ile hostow? Dodatkowe uslugi routerze typu vpn, dhcp, dns i inne beda?

Na switchach planujesz dodatkowe rzeczy? Plywajace vlany, radius itp.?

remik307 · 10 Kwiecień 2020 18:32

Mikrotika biorę, bo kiedyś już ich używałem (to były jakieś z serii RB) i działały dobrze. Będzie około 60 hostów (w przyszłości pewnie trochę więcej). Jeżeli chodzi o dodatkowe usługi, to będzie dhcp, dns, pewnie dla części osób VPN, może QoS.

Jeżeli chodzi o switcha, to na ten moment nie planuję dodatkowych rzeczy.

CezarJuliusz · 10 Kwiecień 2020 19:37

VLAN - lepsza separacja.

gall_anonim_lol · 10 Kwiecień 2020 20:01

Switche z obsługą vlan oczywiście masz?

Te mikrotiki nie są złe ale może napisz jaki masz na to budżet? Jeśli czujesz się na siłach pomyśl nad linuksowym routerem. Mimo wszystko większą elastyczność zachowasz.

Krzysiek_PL2 · 11 Kwiecień 2020 12:16

A nie lepiej router i switch od Ubiquiti?

remik307 · 11 Kwiecień 2020 12:38

Switche z obsługą vlan oczywiście masz?

Tak, switche Netgear Smart obsługują VLANy

Te mikrotiki nie są złe ale może napisz jaki masz na to budżet? Jeśli czujesz się na siłach pomyśl nad linuksowym routerem.

Budżet nie jest jeszcze zatwierdzony, wszystko jest na etapie projektowania.
Jeżeli chodzi o linuksowy router, to rozumiem, że masz na myśli postawienie komputera?
Chyba jednak wolałbym jakieś gotowe rozwiązanie/urządzenie.

No dobra, a jeżeli chodzi o sam model routera, to tak jak wcześniej napisałem - Mikrotik. Hostów na początku będzie 60 (maksymalnie raczej nie będzie więcej niż 100).

Myślę o Mikrotik CCR, dokładnie CCR1009-7G-1C-1S+
https://www.morele.net/router-mikrotik-cloud-core-router-4658810/

Może jednak wystarczy RB3011UIAS-RM?
https://www.morele.net/router-mikrotik-rb3011uias-rm-l5-mt-rb3011uias-rm-1103167/

Pytanie czy ten RB da radę?

zaba44 · 11 Kwiecień 2020 13:23

Jak coś to RB4011. Cena praktycznie ta sama a wydajność wyraźnie większa. Do tego co planujesz teraz wystarczy.

gall_anonim_lol · 11 Kwiecień 2020 14:21

Każdy z routerów tutaj wymienionych się nada do Twoich celów. Z tego co napisałeś to ruchu dużego pomiędzy vlanami nie będzie, bo z gruntu ma być separacja pomiędzy nimi. Z wygody oprócz vlan’ow wygodnie będzie mieć dla każdego z nich osobna podsieć adresową. To definiuje zapewne kilka różnych instancji DHCP, dawno w mikrotikach nie grzebałem ale zakładam że to na pewno jest możliwe. Na pewno da się statyczne listy budować.

Nie wiem czy masz tam kontroler domeny windows (albo jakoś to przegapiłem) więc zapewne wystarczy Ci to co ma mikrotik w sobie (a propos DNS).

Gdy używałem kiedyś mikrotikow to pamiętam że tam były problem z openvpn związany z tym, nie działało to na hasłach a nie na kluczach i działało to tylko po TCP (po udp działa openvpn nieco szybciej). Też push dodatkowych rzeczy był jakiś dziwny w mikrotiku (DNS, brama oto) ale to może moje subiektywne zdanie. W sumie to ktoś inny musiałby to sprawdzić.

Ja osobiście poszedłbym w budżetowy serwer jako router, mam na głowie sieć podobnej wielkości jak ta o której piszesz. Tam na etapie projektowania pojawiły się dodatkowe wymagania:

biurowy serwer FTP/SFTP dostępny z zewnątrz, z panu dostępny po SMB
serwer DNS z filtrowaniem kontentu (używam tam nxfilter)
lokalne domeny
ostatnio nawet jakiś prosty site tam wrzucili (wewnątrzna aplikacja).

Jednak jak nie czujesz się na siłach w linuksie bierz mikrotika. Każdy z wymienionych będzie ok jeśli chodzi o wydajność.

roobal · 11 Kwiecień 2020 22:59

VLAN to osobne podsieci. Czy chcesz, czy nie i tak czekają Cię VLANy. Na routerze zrobisz tyle podsieci, ile masz fizycznych portów. Zaś każdy port z routera, trzeba spiąć z osobnym switchem lub wrzucić w osobny VLAN. Szkoda marnować porty na switchu. Tak więc wybór jest jasny, a raczej brak wyboru.

Na MT robisz LAG LACP. Na Netgear też (świętny wybór) i to jest Twój trunk. Jeśli sieć jest typu router on a stick, to VLANy separujesz na firewallu MT.

Przy tej liczbie hostów, którą podałeś, bież od razu CCR.

Dziwi mnie, że zastanawiasz się nad tak oczywistą sprawą.

roobal · 11 Kwiecień 2020 23:03

Nie, nie lepiej, to są zabawki. Żaden router i switch od ubi nie da takich możliwości konfiguracji jak MT i Netgear. Akurat MT też robi kiepskie switche. MT tylko routery, Ubi tylko AP.

poprostuuser · 12 Kwiecień 2020 12:34

Tak, to jest bardzo dobry pomysł - router + switch unifi - to wszystko, czego autorowi trzeba, ogarnie sobie w ubi i dodatkowo będzie miał jedną konsolę dla wszystkich urzadzeń sieciowych. Oczywiście można uderzać w MT i każde urządzenie konfigurować osobno, ale po co?
@roobal “Na routerze zrobisz tyle podsieci, ile masz fizycznych portów.” - ale, że nie mogę zrobić więcej vlanów, niż mam fizycznych portów w routerze? Od kiedy?

gall_anonim_lol · 12 Kwiecień 2020 12:38

Coś robal się rozpędziłeś i trochę pomieszałeś. Vlany i osobne podsieci adresowe to jednak osobna para kaloszy, nie mieszaj warstwy 2 z 3.

Maksymalna ilość vlan’ow to zawsze 4094 a nie tyle co portów.

Nie ma żadnych przeciwwskazań by ogarnąć to na jednym fizycznym interfejsie bo tu nie będzie wielkiego ruchu na routerze a porty na switchach się zaoszczędzi dzięki temu. Wbrew pozorom łatwiej się zarządza na portach tagowanych a nie accessach.

Ogólnie jak kolega zna mikrotika czy ubiquiti to niech weźmie pudełko. Jeśli nie to wbrew pozorom na zwykłym linuksie bywa to prostsze.

roobal · 13 Kwiecień 2020 10:39

Jeśli nie znasz MT, to po co się wypowiadasz? Switche Ubi to zabawki, co z tego że masz je w UCK jak to bieda? Routery to też jakieś nieporozumienie. Netgear ma swoją konsolę, może je podpiąć do niej tak samo jak robi się to z Meraki.

Ubi to kiepski pomysł jeśli chodzi o router i switch

Pomyśl zanim się wypowiesz. Jak chcesz fizycznie spiąć 20 podsieci, gdy masz, np. 10 portów.

Oczywiście, że osobna warstwa. W każdym razie nie widzę tu innego zastosowania, niż VLAN.

Chodzi o to, że każda podsieć to osobny interfejs (gdy nie ma VLANów). Jeśli masz 10 portów, to więcej podsieci nie zrobisz. VLANy są podinterfejsami i tu ograniczeniem może być tylko soft, np. max 200 VLANów.

Do jednego interfejsu na upartego można podpiąć kilka podsieci, ale kto tak robi? Po to są VLANy.

poprostuuser · 13 Kwiecień 2020 11:03

Bieda bo co? Czego Ci w nich w małej sieci brakuje? W sumie kiedys Cię już o to pytałem i nic sensownego nie napisałeś. Potraktujmy to, jako pytanie retoryczne
Nie lubisz, nie używaj, ale jak już kiedyś udowodniłeś - nie znasz kompletnie produktów ubi, za to lubisz MT - uwierz, nie każdy podejdzie do budowy sieci tak, jak Ty.

A w czym problem? Po co mieszasz fizyczne porty z VLAN? Załóżmy, że mam za tym routerem wirtualizację i dużo wirtualnych maszyn, każda z kilkoma kartami sieciowymi. Co to ma wspólnego z fizycznymi portami na routerze?
Poza tym, nawet bez wirtualizacji - załóżmy, że masz przełącznik 24-portowy (zarządzalny) dlaczego nie możesz na każdym porcie wyprowadzić osobnego VLAN, nawet, jak przełącznik jest spięty z routerem 1 portem?

gall_anonim_lol · 14 Kwiecień 2020 23:13

Robal, czytając Twoje wypociny stwierdzam że nie masz pojęcia o czym piszesz. Coś tam niby wiesz ale gubisz się w podstawach, serio. Mieszasz pojęcia zupełnie bez potrzeby. Weź kartkę i ołówek i rozrysuj to sobie. Przeczytaj też może wątek raz jeszcze od samego początku bo nie wiem o co bijesz pianę.

bachus · 15 Kwiecień 2020 03:18

A wyjaśnisz proszę tą część: “Nie ma sensu robic osobnych podsieci w tym samym vlanie bo wystarczy recznie ustawic inna klase adresowa i juz.”? Ja nie do końca rozumiem.

roobal · 17 Kwiecień 2020 00:05

Zarządzam różnymi srodowiskami i niektóre mają specyficzne wymagania, nawet te, które mają tylko 4 komputery. Mikrotik daje mi pełną swobodę w osiągnięciu celu. Jeśli chodzi o Ubi, nie lubię, gdy soft mnie ogranicza. Tu jest największy problem z tymi urzadzeniami.

Jak pisałem w niczym. Można, ale tak się nie robi, po to są VLANy, aby ich używać. Każdy zrobi jak uważa, tylko szkoda, że każdy “mądry” potem lata na fora i prosi o pomoc. Ty też chcesz udowodnić, że znasz się lepiej? Mnie Cisco uczyło, że dobrą praktyką są VLANy, to się sprawdza w malych i dużych sieciach i tego się trzymam. Ty sobie rób po swojemu.

Tak, ciekawe. Mówisz, że Cisco popełniło błąd wystawiając mi certyfikat? Masz jeszcze cos ciekawego do powiedzenia w tym temacie?

Tak na koniec szybkie pytanie. DHCP serwer, skąd host będzie wiedział, z której podsieci wziąć adres, gdy nie ma VLANów?

Gdzie te czasy, gdy na forum liczyła się pomoc innym, zamiast udowadniania sobie kto jest mądrzejszy, a kto głupszy.