Здравствуй, всезнающий All!
Вопрос может немножко не туда но интересно выслушать мнение Цисководов
В качестве развития сети в IT отделе конторы рассматриваем вопрос применения VLANов.
есть 3 отдела, 4 сервера - контроллер домена, на нем поднят DNS и DHCP. Еще есть прокси, почтовый сервак и сервер приложений. Везде - винда, кроме одного сервера с FreeBSD. Есть 4 управляемых свича. Подсеть везде одна.
Задача такая - хотим поднять 3 вилана чтоб разделить потоки инфы для каждого отдела но есть сомнения как тогда подружить сервера со всеми виланами, чтоб они были видны в каждом vlan'е и нормально функционировали?
Как установить поддержку vlan на сетевой интерфейс в Windows 2003 знаем, тестили, работает.
Для решения задачи планируется к покупке CISCO 2800. Если грамотно обоснуем - купим!
>Задача такая - хотим поднять 3 вилана чтоб разделить потоки инфы для
>каждого отдела но есть сомнения как тогда подружить сервера со всеми
>виланами, чтоб они были видны в каждом vlan'е и нормально функционировали?
>Можно использовать по три сетевых карты на каждом сервере - каждой карте по вилану.
>Как установить поддержку vlan на сетевой интерфейс в Windows 2003 знаем, тестили,
>работает.В этом случае данный сетевой интерфейс должен быть подключен к транковому порту на свиче.
Внимание! нативные виланы на обоих концах транкового канала должны совпадать.
Это как раз понятно, интересно другое - если будут 3 сетевых интерфейса - как тогда почту, dns и dhcp на 3 подсети делить чтоли? Не говоря уде про домен..
>Это как раз понятно, интересно другое - если будут 3 сетевых интерфейса
>- как тогда почту, dns и dhcp на 3 подсети
>делить чтоли? Не говоря уде про домен..а в чем сопсна проблема? можно делить, можно не делить, это как кому удобно. то что для каждого влана прийдется перенастраивать сервера?
а как процессы раскиданы на сервера? про домен - понятно.
>
>>Задача такая - хотим поднять 3 вилана чтоб разделить потоки инфы для
>>каждого отдела но есть сомнения как тогда подружить сервера со всеми
>>виланами, чтоб они были видны в каждом vlan'е и нормально функционировали?
>>
>
>Можно использовать по три сетевых карты на каждом сервере - каждой карте
>по вилану.первоначально так и думалось, но потом было найдено лучшее решение - компы вообще не трогать - просто настроить на циске виланы, смаршрутизировать и ограничивать доступ с помощью ACL
>[оверквотинг удален]
>- винда, кроме одного сервера с FreeBSD. Есть 4 управляемых свича.
>Подсеть везде одна.
>Задача такая - хотим поднять 3 вилана чтоб разделить потоки инфы для
>каждого отдела но есть сомнения как тогда подружить сервера со всеми
>виланами, чтоб они были видны в каждом vlan'е и нормально функционировали?
>
>Как установить поддержку vlan на сетевой интерфейс в Windows 2003 знаем, тестили,
>работает.
>Для решения задачи планируется к покупке CISCO 2800. Если грамотно обоснуем -
>купим!мне кажется слово /freebsd/ - это чтото, что мешает нормально мыслить и решать задачи.
Я Вам рекомендую купить всместо роутера - коммутатор L3 - включить роутинг между VLAN и все, сконфигурировать ACL/QoS и тд
на коммутаторах конфигурируется dhcp opt82 - все dhcp-зарпосы пересылаются на определенный dhcpА 3 или 4 сетевые платы - это здорово, их Вы лучше отправьте в фонд FreeBSD Donation.
>[оверквотинг удален]
>- винда, кроме одного сервера с FreeBSD. Есть 4 управляемых свича.
>Подсеть везде одна.
>Задача такая - хотим поднять 3 вилана чтоб разделить потоки инфы для
>каждого отдела но есть сомнения как тогда подружить сервера со всеми
>виланами, чтоб они были видны в каждом vlan'е и нормально функционировали?
>
>Как установить поддержку vlan на сетевой интерфейс в Windows 2003 знаем, тестили,
>работает.
>Для решения задачи планируется к покупке CISCO 2800. Если грамотно обоснуем -
>купим!Ну только не понимаю, зачем три разных интерфайса, если можно пророутить вланы и одна адресация будет видеть другую, а при желание даже можно акцес листами ограничить, чтоб клиенты одного влана в другом видели только сервера, но ни клиентов... На вланах включить ДХЦП хелперы и все будет ок!!!
>Ну только не понимаю, зачем три разных интерфайса, если можно пророутить
>вланы и одна адресация будет видеть другую, а при желание даже
>можно акцес листами ограничить, чтоб клиенты одного влана в другом видели
>только сервера, но ни клиентов... На вланах включить ДХЦП хелперы и
>все будет ок!!!Сегодня разобрались - три интерфейса не нужны, сделаем один интерфейс поняли как все настроить на нем - именно так как вы говорите, все виланы видят друг друга, кроме тех, на которых на маршрутизаторе акцесс лист доступ запрещает. Теперь вопрос свелся к тому какой маршрутизатор CISCO под такую задачку купить. Хотели 2800, т.к. некоторый маленький опыт работы именно с ним имелся. И хочется именно CISCO а не других производителей. Почему? Ну, денег скорей всего дадут на него, т.к. начальство любит известные бренды.
>[оверквотинг удален]
>>все будет ок!!!
>
>Сегодня разобрались - три интерфейса не нужны, сделаем один интерфейс поняли как
>все настроить на нем - именно так как вы говорите, все
>виланы видят друг друга, кроме тех, на которых на маршрутизаторе акцесс
>лист доступ запрещает. Теперь вопрос свелся к тому какой маршрутизатор CISCO
>под такую задачку купить. Хотели 2800, т.к. некоторый маленький опыт работы
>именно с ним имелся. И хочется именно CISCO а не других
>производителей. Почему? Ну, денег скорей всего дадут на него, т.к. начальство
>любит известные бренды.мое мнение
- VLAN's делать
- купить Cisco 28xx максимально толстую
- купить Catalyst 2960-24
>[оверквотинг удален]
>>лист доступ запрещает. Теперь вопрос свелся к тому какой маршрутизатор CISCO
>>под такую задачку купить. Хотели 2800, т.к. некоторый маленький опыт работы
>>именно с ним имелся. И хочется именно CISCO а не других
>>производителей. Почему? Ну, денег скорей всего дадут на него, т.к. начальство
>>любит известные бренды.
>
>мое мнение
>- VLAN's делать
>- купить Cisco 28xx максимально толстую
>- купить Catalyst 2960-24Зачем покупать роутер ISR только для маршрутизации между VLAN ?
Если Вы не понимаете зачем он Вам, а точнее не понимаете назначение устройства...
Как я уже сказал в Вашем случае идеальный вариант L3 switch например cat3750G/cat3560G
>[оверквотинг удален]
>>мое мнение
>>- VLAN's делать
>>- купить Cisco 28xx максимально толстую
>>- купить Catalyst 2960-24
>
>Зачем покупать роутер ISR только для маршрутизации между VLAN ?
>Если Вы не понимаете зачем он Вам, а точнее не понимаете назначение
>устройства...
>Как я уже сказал в Вашем случае идеальный вариант L3 switch например
>cat3750G/cat3560GCisco 2811 - 50.т.р.
Catalyst 2960-24 - 50 т.р.
Итого 100 т.р.WS-C3750G-24TS-S - 120 т.р.
Роутер не обязательно применять только для маршрутизации VLAN.
>[оверквотинг удален]
>>cat3750G/cat3560G
>
>Cisco 2811 - 50.т.р.
>Catalyst 2960-24 - 50 т.р.
>Итого 100 т.р.
>
>WS-C3750G-24TS-S - 120 т.р.
>
>Роутер не обязательно применять только для маршрутизации VLAN.
>можно купить 3560G цена около 70
Да, вот только у L3 свитча проивзодительность по маршрутизации на много выше чем у 2811,
представьте, что будет с 2811 если несколько серверов, подключенных на 1Гб/сек из разных VLAN начнут обмен ?! при 100mbps этот роутер уже не живет, а по сему для подобной альтернативы можно даже применить PC например на основе vyatta.
>[оверквотинг удален]
>>Роутер не обязательно применять только для маршрутизации VLAN.
>>
>
>можно купить 3560G цена около 70
>Да, вот только у L3 свитча проивзодительность по маршрутизации на много выше
>чем у 2811,
>представьте, что будет с 2811 если несколько серверов, подключенных на 1Гб/сек из
>разных VLAN начнут обмен ?! при 100mbps этот роутер уже не
>живет, а по сему для подобной альтернативы можно даже применить PC
>например на основе vyatta.Понятно что коммутация предпочтительнее маршрутизации. Но клиент не озвучил нагрузку на сеть.