Практически любая сеть начинается с установки маршрутизатора, из которого начинают вырастать дополнительные сети для разных задач.
Профессиональная настройка MikroTik
Без предоплаты
Telegram: @Engineer_MikroTik
Правильное разделения сети на Vlan позволяет сэкономить время на поиск проблем в ней. Это не актуально для сетей масштаба домашняя или очень маленький офис. Но если ваша сеть может вырасти, или у вас планируются корпоративные стандартны, то нужно сразу закладывать план сети.
Данная сстатья считается полностью теоретической и не затрагивает сам процесс настройки.
Деление IP адресов
Выбор маски
Стандартная маска сети /24, она же 255.2555.255.0, где 254 адреса, один из которых является шлюзом.
Сеть более 254 адресов использовать не рекомендуется, в ней начинает ходить большой широковещательный трафик. А более мелкую сеть /25 /26/ 27/ 28 /29 актуально использовать для конкретных задач, где не планируется рост хостов, например отдельные Vlan для контроллеров (СКУД и тд), которые не любят соседства.
Выбор пула IP адресов
Актуально закладывать от 16 сетей даже для малого офиса. 16 сетей /24 (255.255.255.0) маски это 1 сеть в /20 маской (255.255.240.0). Если нужно 32 сети /24, то маска будет /19, и так далее маска уменьшается на /1, количество сетей увеличивается в 2 раза. В данной статье будет пример с /19
Нарезка сетей
Для сети офиса со складом мы выбрали сеть 10.10.0.0/19, которую разделим на несколько /24 сетей, оставив запас
Серверные сети
Сервера
Для серверов выделяем самую первую, чтобы было проще запоминать — 10.10.0.0/24, которая будет работать на Vlan10-SRV
DMZ
DMZ необходим, когда есть сервера, которые имеют доступ к себе из вне. Например WEB, почтовый, файлообмен. Выделим — 10.10.1.0/24 на Vlan11-DMZ
Управление виртуализацией
Все сервера находятся на виртуальных машинах, и этим всем нужно управлять из отдельной сети. Для доступа в консоль VMware, Hyper-V, Proxmox выделим сеть — 10.10.2.0/24 на Vlan12-VM
Управление серверами
Bare Metal (какое модное слово) тоже нужно управлять с отдельной сети — это менеджмент IPMI, iLO, KVM. IMM. Выделим — 10.10.3.0/24 на Vlan13-IPMI
Сетевое оборудование
Сетевое оборудование
Управление всеми коммутаторами — 10.10.4.0/24 — Vlan14-NET
ИБП
Управление источниками бесперебойного питания — 10.10.5.0/24 — Vlan15-MGMT-UPS
Точки доступа
Управление точками доступа — 10.10.6.0/24 — Vlan16-AP
Мосты
Управление мостами — 10.10.7.0/24 — Vlan17-BRIDGE
Контроллеры
На предприятиях почти всегда есть специфичное оборудование, которое нужно держать в отдельной сети
Насосы
Управление насосами — 10.10.8.0/24 — Vlan18-Pump
Счетчики
Управление счетчиками — 10.10.9.0/24 — Vlan19-Counter
Производственное оборудование — 10.10.10.0/20 — Vlan20-EQ
Системы безопасности
Видеонаблюдение
IP Камеры и любые регистраторы — 10.10.21.0/24 — Vlan21-CCTV
СКУД
Контроллеры, датчики, считыватели, замки — 10.10.22.0/24 — Vlan22-SKUD
Рабочие станции, телефоны, МФУ, Wi-Fi
На каждую группу создается свой Vlan
ИТ отдел
Всегда выделяется в отдельную сеть, причем внутри может так же делиться от типов сотрудников
Администраторы
10.10.23.0/24 — Vlan23-IT-PC-Adm — Компьютеры администраторов
10.10.24.0/24 — Vlan24-IT-VoIP-Adm — Телефоны администраторов
Остальные (1Сники, аналитики и т.д.)
10.10.25.0/24 — Vlan25-IT-PC-Other — Компьютеры администраторов
10.10.26.0/24 — Vlan26-IT-VoIP-Other — Телефоны администраторов
Руководство
10.10.27.0/24 — Vlan27-PC-VIP
10.10.28.0/24 — Vlan28-VoIP-VIP
Бухгалтерия
10.10.29.0/24 — Vlan29-PC-Buh
10.10.30.0/24 — Vlan30-VoIP-Buh
Юристы
10.10.31.0/24 — Vlan31-PC-Law
10.10.32.0/24 — Vlan32-VoIP-Law
Экономисты
10.10.33.0/24 — Vlan33-PC-Fin
10.10.34.0/24 — Vlan34-VoIP-Fin
Продажники
10.10.35.0/24 — Vlan35-PC-Sale
10.10.36.0/24 — Vlan36-VoIP-Sale
Склад
10.10.37.0/24 — Vlan37-PC-Sklad
10.10.38.0/24 — Vlan38-VoIP-Sklad
Производство
10.10.39.0/24 — Vlan39-PC-Manuf
10.10.40.0/24 — Vlan40-VoIP-Manuf
Принтеры, сканеры, МФУ
10.10.41.0/24 — Vlan41-Print
Рабочий Wi-Fi EAP
10.10.42.0/24 — Vlan42-WiFi-Tech — Технический Wi-Fi с полным доступом
10.10.43.0/24 — Vlan43-WiFi-User — Пользовательский Wi-F0
Рабочий Wi-Fi PSK
10.10.44.0/24 — Vlan44-WiFi-PSK — Wi-Fi для устройств без поддержки EAP
Гостевой Wi-Fi
172.16.1.0/24 Vlan300-Guest — Отдельная не маршрутизируемая сеть
Складской Wi-Fi EAP
10.10.45.0/24 — Vlan44-WiFi-WMS — Wi-Fi для ТСД
10.10.46.0/24 — Vlan45-WiFi-Internet — Доступ в Интернет
Выделению в отдельную сеть подлежит каждый тип и группа устройств, например кассы и отделы.
Зачем делить на Vlan?
В первую очередь это снижение нагрузки на сеть и потом уже безопасность. Разделив сети, можно сделать ограничения доступов между ними, например сеть телефонов может общаться только с сервером телефонии, а в настройки телефонов можно попасть только из Vlan ИТ отдела.