растеж на компанията - процес неизбежно, рано или късно, идва за всички. Увеличаване на броя на клиентите, открити нови отдели, сливания, придобивания - всичко това увеличава броя на компютри, принтери и други устройства в мрежата.
сегментиране на мрежата с помощта на VLAN технология, ние ще използваме нейното изпълнение на 802.1Q, известен като порт базиран VLAN. 802.1Q VLAN ви позволява да разпределите пристанищата на ключа. Има и други реализации на VLAN, които няма да бъдат засегнати. Имайте предвид, че 802.1Q не подкрепят цялото оборудване. Но като правило, "умни" превключва го може.
Технологично 802.1Q протокол вмъква Етернет рамка е 4 байта, 12 бита от които са VLAN идентификатор (VID). Съответно, максималният брой VLAN в тази технология може да бъде 4,096.
Какво ви трябва, преди да извърши сегментиране:
Първата стъпка е да се работи на принципа на разделение на мрежата. Като правило, първият изолиран контрол равнина и равнина данни. Ръководството на контрол равнина разпределяте трафик (за управление на хипервайзор конзола сървъри, управление на мрежово оборудване), самолет данни - бизнес данни (ПРСР, 1C, SMB). За да контролирате самолета сегмент достъп трябва да бъде само на системния администратор компютри, съответно, тези машини трябва да бъдат в отделен сегмент. И така нататък, в зависимост от нивото на достъп (инженери не се нуждаят от достъп до ръководствата за машини и т.н.). Оставете резерв от 20% за възможно разширяване или промяна на структурата на сегментиране.
I е такава структура:
В тази връзка, някои съвети от личен опит:
Практическата част
Ние ще работим с Mikrotik оборудване (RB951G-2HnD. Въпреки, че всички устройства са оборудвани с софтуер, така че всички по-горе се отнася и за други модели) и D-Link, много повсеместно в сектора на малките и средни фирми.
Така че, ние имаме рутер Mirotik, превключете на D-Link DES-3200 и 3 работни станции, които трябва да принадлежат към различни сегменти.
На рутера, трябва да създадете три виртуални VLAN интерфейс. Име: vlan15 vlan17, VID 15-17:
интерфейс VLAN добавете име = vlan15 VLAN ID-= 15 интерфейс = мост местно
интерфейс VLAN добавете име = vlan16 VLAN ID-= 16 интерфейс = мост местно
интерфейс VLAN добавете име = vlan17 VLAN ID-= 17 интерфейс = мост местно
След това, DHCP сървър трябва да бъде конфигуриран всеки интерфейс, но това е извън обхвата на тази статия.
Когато поставите ключа.
Нека рутера е свързан към порта за ключ 26, така че това пристанище трябва да дойде всичко VLANs багажника (маркирани в терминологията D-Link'a). С всички 3 рутер VLAN'a ние платихме. Създаване на дясното VLAN и да направи пристанището с правилния компютър aktsesnym (немаркирана в dlinkovski).
Преди това трябва винаги да ubart с този порт родния VLAN (1), поставянето на пристанището в позиция Не държава, докато редактирате VLAN 1. Включете Някои модели просто не дават пристанището немаркирана докато немаркирана дава на всеки друг VLAN.
В тази обстановка на един от сегментите е завършена, а останалата част са конфигурирани точно същото. Имаме 3 мрежи в рамките на един прекъсвач (всъщност 4, защото има по-Native VLAN). В рамките на един мрежов трафик не е ограничен (само на крайни точки на настройките), както и между мрежите на трафик минава през рутера, които можете да зададете правила за филтриране на трафика на приоритети, различни мрежови настройки за всеки сегмент в своята DHCP сървър, и така нататък.
