Можно ли разделить порты коммутатора на разные подсети, не используя VLAN?

Question

Рустам

сети , zyxel , mikrotik

Можно ли разделить порты коммутатора на разные подсети, не используя VLAN?

У меня возникла дилемма по поводу того, как лучше организовать сеть. Для начала, у меня есть следующий вопрос. Я хотел бы использовать коммутатор, например, L2 или L3, и настроить его так, чтобы различным портам соответствовали разные подсети: "Порты 1-4 относятся к подсети 1.0, порты 5-6 — к подсети 2.0 и так далее", но при этом все порты находятся в VLAN1.

Я хочу разделить подсети, но не хочу усложнять себе задачу, поскольку бюджет ограничен. В связи с этим, я рассматриваю возможность покупки CCR2216-1G-12XS-2XQ, так как мне нужно будет много SFP-портов (по факту — 4-6). Другие модели MikroTik меня не устраивают из-за недостатка SFP-портов или отсутствия сопроцессора для коммутаторов и т.д.

Итак, на самом MikroTik я планирую задавать правила: "SFP1 — это подсеть 1.0, иди к этому коммутатору", "SFP2 — это подсеть 2.0, иди ко второму коммутатору" и так далее. Подходит ли такой подход?

Я собираюсь оставить все в VLAN1, чтобы разделить камеры, телефоны, компьютеры и бродкаст-трафик, без лишних заморочек с VLAN, так как я в основном занимаюсь инфраструктурой, а не сетевыми вопросами. Компьютеров у нас немного, подсети не особенно нужны, но хочется сделать всё более эстетичным.

P.S. На всякий случай, дополнительно рассматриваю Zywall FLEX 700h. Его цена сопоставима с Microtik, и вся наша инфраструктура построена на Zywall. Однако у него много медных портов, а мне нужна оптика и разделение подсетей. В этом случае мне придется либо настраивать VLAN, либо использовать множество медиаконвертеров и коммутаторов, что не очень удобно.

Жду ваших советов, критики или вопросов!

29 августа 2024 г. 5:14

Ответы на вопрос 2

Похожие вопросы

Answer 1

Ваш вопрос о разделении подсетей на портах коммутатора без использования VLAN действительно интересен, и давайте разберемся, как это можно сделать.

Если рассматривать классическую модель работы Ethernet, традиционно все устройства в одной и той же VLAN могут взаимодействовать друг с другом без ограничений. VLAN — это метод логического разделения сети, который позволяет изолировать трафик между различными группами устройств, даже если они физически находятся на одном коммутаторе. Если вы оставите все порты в одной VLAN (например, VLAN1), это значит, что устройства, подключенные к этим портам, будут в одной и той же сетевой области, что приведет к отсутствию изоляции между подсетями.

**Вот несколько ключевых моментов относительно вашего подхода:**

1. **Подсети и VLAN**: Если вы хотите разделить трафик между различными подсетями, но оставить все порты в одной VLAN, это не даст вам желаемой изоляции. Все устройства будут видеть друг друга, и их IP-адреса будут принадлежать одной и той же широковещательной сети.

2. **Проблемы с маршрутизацией**: Даже если у вас будет возможность настроить различные IP-адреса для каждого порта на уровне маршрутизатора, устройства в одной и той же VLAN не смогут взаимодействовать с различными подсетями без настройки маршрутизации. Например, если SFP1 настроен на подсеть 1.0, а SFP2 на подсеть 2.0, не получится изолировать их трафик, если они находятся в одной VLAN.

3. **Коммутаторы L2 и L3**: Если вы решите использовать коммутатор L3 (например, MikroTik CCR2216), он даст вам возможность настроить маршрутизацию между различными подсетями. Тем не менее, если все порты находятся в одной VLAN, это лишь усложнит требования к маршрутизации, так как весь трафик будет смешан.

4. **Рекомендация**: Чтобы достичь желаемого разделения подсетей, лучше использовать VLAN. Вы можете использовать базовую настройку VLAN в MikroTik, что не сильно усложнит ваш процесс. В случае, если VLAN все же вызывает неудобства, возможно, стоит рассмотреть конфигурацию нескольких коммутаторов, причем каждый будет обслуживать свою подсеть, но это потребует дополнительных затрат и оборудования.

5. **Ваши предложения по оборудованию**: Если вы планируете использовать MikroTik CCR2216, то настройка VLAN не должна быть проблемой, так как это оборудование поддерживает их из коробки. Zywall FLEX 700h, как вы отметили, может иметь меньше оптических портов, но стоит обратить внимание на его возможности маршрутизации и безопасности, если он лучше интегрируется в вашу инфраструктуру.

В заключение, использование VLAN в данной ситуации кажется более целесообразным решением для достижения целей, которые вы описали, и рекомендую рассмотреть возможность их настройки для лучшего управления трафиком и безопасности в вашей сети.

Answer 2

Смешались в кучу кони, люди... (почти Пушкин) 
 
 Чтобы не испытывать головной боли с VLAN , есть GVRP . 
 Чтобы не создавать себе проблем с маршрутизацией - есть OSPF (ну или EIGRP , если (.)(.) Сиськи Системз) 
 
 DHCP - делаем на всех коммутаторах Relay и подключаем Radius, в котором прописываем принадлежность к VLAN.... 
 Ну или совсем заморачиваемся с 802.1x на коммутаторах с гостевым VLAN и прочей белибердой, тоже через Radius. 
 
 Если нать поиграться в Cloud - добро пожаловать в VxLAN , в него теперь многие умеют :) 
 
 Далее, всякие IPSec - по вкусу.