VLAN Routing

[blueben]

VLAN Routing

שלום לכולם! אני מנהל רשת קטנה בבית תוכנה חדש, כיום יש אצלנו סגמנט אחד שיושב על סוויץ' טיפש של 100mbit. יש לנו Active Directory Domain שרץ על שרת אחד, שיושב יחד עם 20 הקליינטים באותו סגמנט. בקרוב נצטרך להקים רשת למעבדת בדיקות. ברשת נצטרך להקים רשתות Active Directory בודדות ומנותקות מהרשת שלנו. איך ראוי לתכנן את הרשת החדשה? הייתי רוצה להקים סגמנט חדש ולהפריד אותו בעזרת VLAN מהסגמנט שלנו (כדי שה-DCs של הדומיינים הנפרדים לא יריבו ביניהם). יחד עם זאת, אני צריך תעבורה מסויימת בין שני הסגמנטים (להעתיק קבצים למשל) ושניהם גם צריכים להשתמש באותו חיבור אינטרנט. האם אפשר לעשות את זה בעזרת Managed Switch כזה או אחר? האם יש סוויצ'ים שנותנים יכולות Routing בין VLANs? לא הייתי רוצה להוציא יותר מכמה אלפי שקלים בודדים על כל השינוי, לכן אני רוצה להמנע מלקנות ראוטר של ממש. תודה, -בן

 

[H N 1]

דעתי

קודם כל - סוויץ איכותי שכבה 3 (עם יכולות VLAN ) לא יעלה פחות מראוטר. שתי אפשרויות שאני רואה : בנה את הרשת השניה כרשת עצמאית, שים ראוטר קטן שיחבר בין שתי הרשתות ושינתב גם את תעבורת האינטרנט דרך הרשת ה"ראשית". או לחלופין תחליף את הראוטר שביציאה לאינטרנט בראוטר עם 3 רגליים והוא יעשה לך את ההפרדה בין הסיגמנטים....

 

[antidot]

רואים שאתה לא איש של AD ../images/Emo3.gif

אין צורך בשום הפרדה. AD forests יכולים לחיות (וחיים) באושר על אותו סגמנט. הבעיה היחידה היא ששרת DHCP יחלק כתובות של DNS של AD הראשון, אבל זה פתיר ע"י הגדרת או stub zones עבור forest-ים נוספים או הגדרת conditional forwarding עבור ה zones של סביבת test. אם לא מדובר בצורך שנובע מאבטחת מידע, לא הייתי בכלל טורח לעשות הפרדה. אצלי למשל הtest forest רץ על אותם סגמנטים יחד עם production.

 

[blueben]

מיהו איש של AD

למה ישר להעליב?!? אנשי AD יש מכל מיני סוגים. ספציפית, אני איש שיפריד לחלוטין בין רשת ה-QA ורשת ה-Production. אפילו אם זה אפשרי טכנית, הייתי מונע את העירוב הזה כדי לנטרל את אלמנט החוסר ודאות. ומעבר לזה, אני לא איש של AD. אני איש שלי, של אמא שלי, וקצת של החברה שלי (כשהיא מתנהגת יפה). מחשב מסביבת ה-QA עלול תמיד להתנהג בצורה לא סטנדרטית וחצופה, לכן הרשתות האלה תמיד יהיו מופרדות (בסביבות שלי לפחות...). בכל אופן, נחמד לדעת שאפשר להריץ שני פורסטים על אותו סגמנט. תודה, -בן

 

[antidot]

QA ?

היית צריך להגיד קודם. שים אותם על רשת נפרדת פיסית !! אלה רק יודעים להרוס ! וברצינות: קח מחשב גרוטאה ומעלה, שים עליו לינוקס עם כמה כרטיסי רשת ==> קיבלת נתב. אני מבין שהצפי לתעבורה בין הסגמנטים לא צפוי להיות רציני, כך שייתכן ואין אפילו צורך בממשקי ג'יגה. נ.ב.: "לא איש של AD" הופנה לHN

 

[shaharc7]

שאלה לי אלייך...

מהי הגדרת stub zones ? ומהי הגדרת conditional forwarding עבור ה zones של סביבת test ? תודה רבה

 

[antidot]

------->

Start-->run dnsmgmt.msc Help-->Help Topics

 

[blueben]

ראוטר "פושט"

אוקיי, זה נראה ככיוון הקלאסי, אבל לא חשבתי שסוויץ' כזה יהיה יקר עד כדי כך. האם יש ראוטרים "קטנים"? ראוטר SOHO עם 3-4 רגליים? -בן

 

[H N 1]

למה SOHO ?

ראה את העצה של איש ה AD למעלה...

קח PC (אני לא מאמין בשימוש בגרוטאות), תתקין עליו שלושה כרטיסי רשת ומערכת הפעלה לינוקס מוקשחת והנה לך FW איכותי שיעשה גם ניתוב בין הרשתות....

 

[blueben]

איזה Distribution?

זה כיוון שהייתי שמח ללכת עליו, אבל אני לא סומך על חומרת PC (בייחוד משומשת... ספקי כח ישנים הם סכנה אמיתית) כמו שאני סומך על Embedded (ראוטרים, Appliances). וגם, במחיר של PC חדש (אין לי ספיירים או ישנים כרגע) אני כבר יכול לקנות ראוטר זול... לא? בכל אופן, באיזה Dist היית משתמש? בחנתי את m0n0wall והוא נראה מבטיח, יש לך ניסיון עם הפצה אחרת? (ipcop?) -בן

 

[antidot]

------>

נסה את Smoothwall או Astaro אבל אם כל מה שצריך זה ניתוב, כל הפצה תתאים. עוד אופציות כאן.

 

[ezaton]

אתה מחמם את ליבי ../images/Emo13.gif

הייתי אומר עכשיו "אוווו" כמו בסדרות טלוויזיה של אחר הצהריים, אבל אין לי כרגע למי לומר

 

[type_o]

802.1q

If you're buying a good switch, you can configure 802.1q on the ports you wish to share between vlans this way a port can exist in 2 vlans or more without the need of vlan routing notice that servers that are connected to these ports must have network cards that support this configuration

 

[blueben]

Overlapping VLAN Ports

Overlapping VLANs זה טריק נחמד, אבל אני צריך שכל התחנות בשני ה-VLANים יוכלו לדבר אלו עם אלו ב-TCP רגיל. ההפרדה שאני רוצה לעשות היא ל-Broadcasts בעיקר. מישהו מכיר דרך לעשות את זה? -בן