Планирование Vlan

Практически любая сеть начинается с установки маршрутизатора, из которого начинают вырастать дополнительные сети для разных задач.

Заказав настройку MikroTik, вы получите 100% проработанное решение от опытного сетевого инженера.

Правильное разделения сети на Vlan позволяет сэкономить время на поиск проблем в ней. Это не актуально для сетей масштаба домашняя или очень маленький офис. Но если ваша сеть может вырасти, или у вас планируются корпоративные стандартны, то нужно сразу закладывать план сети.

Данная сстатья считается полностью теоретической и не затрагивает сам процесс настройки.

Деление IP адресов

Выбор маски

Стандартная маска сети /24, она же 255.2555.255.0, где 254 адреса, один из которых является шлюзом.

Сеть более 254 адресов использовать не рекомендуется, в ней начинает ходить большой широковещательный трафик. А более мелкую сеть /25 /26/ 27/ 28 /29 актуально использовать для конкретных задач, где не планируется рост хостов, например отдельные Vlan для контроллеров (СКУД и тд), которые не любят соседства.

Выбор пула IP адресов

Актуально закладывать от 16 сетей даже для малого офиса. 16 сетей /24 (255.255.255.0) маски это 1 сеть в /20 маской (255.255.240.0). Если нужно 32 сети /24, то маска будет /19, и так далее маска уменьшается на /1, количество сетей увеличивается в 2 раза. В данной статье будет пример с /19

Нарезка сетей

Для сети офиса со складом мы выбрали сеть 10.10.0.0/19, которую разделим на несколько /24 сетей, оставив запас

Серверные сети

Сервера

Для серверов выделяем самую первую, чтобы было проще запоминать — 10.10.0.0/24, которая будет работать на Vlan10-SRV

DMZ

DMZ необходим, когда есть сервера, которые имеют доступ к себе из вне. Например WEB, почтовый, файлообмен. Выделим — 10.10.1.0/24 на Vlan11-DMZ

Управление виртуализацией

Все сервера находятся на виртуальных машинах, и этим всем нужно управлять из отдельной сети. Для доступа в консоль VMware, Hyper-V, Proxmox выделим сеть — 10.10.2.0/24 на Vlan12-VM

Управление серверами

Bare Metal (какое модное слово) тоже нужно управлять с отдельной сети — это менеджмент IPMI, iLO, KVM. IMM. Выделим — 10.10.3.0/24 на Vlan13-IPMI

Сетевое оборудование

Сетевое оборудование

Управление всеми коммутаторами — 10.10.4.0/24 — Vlan14-NET

ИБП

Управление источниками бесперебойного питания — 10.10.5.0/24 — Vlan15-MGMT-UPS

Точки доступа

Управление точками доступа — 10.10.6.0/24 — Vlan16-AP

Мосты

Управление мостами — 10.10.7.0/24 — Vlan17-BRIDGE

Контроллеры

На предприятиях почти всегда есть специфичное оборудование, которое нужно держать в отдельной сети

Насосы

Управление насосами — 10.10.8.0/24 — Vlan18-Pump

Счетчики

Управление счетчиками — 10.10.9.0/24 — Vlan19-Counter

Производственное оборудование — 10.10.10.0/20 — Vlan20-EQ

Системы безопасности

Видеонаблюдение

IP Камеры и любые регистраторы — 10.10.21.0/24 — Vlan21-CCTV

СКУД

Контроллеры, датчики, считыватели, замки — 10.10.22.0/24 — Vlan22-SKUD

Рабочие станции, телефоны, МФУ, Wi-Fi

На каждую группу создается свой Vlan

ИТ отдел

Всегда выделяется в отдельную сеть, причем внутри может так же делиться от типов сотрудников

Администраторы

10.10.23.0/24 — Vlan23-IT-PC-Adm — Компьютеры администраторов
10.10.24.0/24 — Vlan24-IT-VoIP-Adm — Телефоны администраторов

Остальные (1Сники, аналитики и т.д.)

10.10.25.0/24 — Vlan25-IT-PC-Other — Компьютеры администраторов
10.10.26.0/24 — Vlan26-IT-VoIP-Other — Телефоны администраторов

Руководство

10.10.27.0/24 — Vlan27-PC-VIP
10.10.28.0/24 — Vlan28-VoIP-VIP

Бухгалтерия

10.10.29.0/24 — Vlan29-PC-Buh
10.10.30.0/24 — Vlan30-VoIP-Buh

Юристы

10.10.31.0/24 — Vlan31-PC-Law
10.10.32.0/24 — Vlan32-VoIP-Law

Экономисты

10.10.33.0/24 — Vlan33-PC-Fin
10.10.34.0/24 — Vlan34-VoIP-Fin

Продажники

10.10.35.0/24 — Vlan35-PC-Sale
10.10.36.0/24 — Vlan36-VoIP-Sale

Склад

10.10.37.0/24 — Vlan37-PC-Sklad
10.10.38.0/24 — Vlan38-VoIP-Sklad

Производство

10.10.39.0/24 — Vlan39-PC-Manuf
10.10.40.0/24 — Vlan40-VoIP-Manuf

Принтеры, сканеры, МФУ

10.10.41.0/24 — Vlan41-Print

Рабочий Wi-Fi EAP

10.10.42.0/24 — Vlan42-WiFi-Tech — Технический Wi-Fi с полным доступом
10.10.43.0/24 — Vlan43-WiFi-User — Пользовательский Wi-F0

Рабочий Wi-Fi PSK
10.10.44.0/24 — Vlan44-WiFi-PSK — Wi-Fi для устройств без поддержки EAP

Гостевой Wi-Fi

172.16.1.0/24 Vlan300-Guest — Отдельная не маршрутизируемая сеть

Складской Wi-Fi EAP

10.10.45.0/24 — Vlan44-WiFi-WMS — Wi-Fi для ТСД
10.10.46.0/24 — Vlan45-WiFi-Internet — Доступ в Интернет

Выделению в отдельную сеть подлежит каждый тип и группа устройств, например кассы и отделы.

Зачем делить на Vlan?

В первую очередь это снижение нагрузки на сеть и потом уже безопасность. Разделив сети, можно сделать ограничения доступов между ними, например сеть телефонов может общаться только с сервером телефонии, а в настройки телефонов можно попасть только из Vlan ИТ отдела.