Для чего нужен VLAN
Недавно у меня возник вопрос как проектировать сеть. Почему делается разбиение сети именно так, а не иначе. Какие цели преследуются при разбиении сетей.
Статья исключительно моё мнение, которое может не совпадать с мнением профессиональных сетевиков, и может быть не совсем верна.
Сеть строится на основе vlan.
Задача: Создать сеть для дома.
Необходимые требования:
- Коммутатор 2 уровня сети
- Компьютеры с умением работы с vlan
Все ОС windows, кроме серверного исполнения не умеют работать с Trunk.
Сначала определяем какие сети не нужны для пересечения:
-
DMZ (внешняя сеть на сервере) (vlan 5) (192.168.1.0/24)
-
LAN (Внутренняя сеть на сервере) (vlan 100) (172.16.1.0/26)
-
Mgmt (сеть управления + сеть передачи служебной информации для серверов) (vlan 200) (172.16.1.64/26)
-
Сеть внутренняя недоверенная (wifi, printer, умные колонки, современные TV и другие недоверенные устройства) (vlan 300)(172.16.2.0/25)
-
Телефония (если есть) (172.16.2.128/25)
На каждую сеть создается свой пул ip-адресов.
Теперь можно приступать написанию схемы сети.
Примерная схема сети:
Теперь остановимся поподробнее на проектировании сети на гипервизорах:
При настройке делаем бриджи на всех сетевых картах.
Но только на 1 интерфейсе создаем ip адрес (тот интерфейс, который будет находиться в vlan 200 (mgmt vlan).
Соответственно при создании виртуальных машин на самих серверах создаем интерфейсы и на этих вм добавляем ip.
При работе между серверами для работы используется mgmt интерфейсы.
Доступ к серверам будет осуществляться только с компьютера jump-client.
Все остальные сервера будут размещаться в соответствующих сетях.
В результате создается меньше коллизий на сети и сеть становится более защищенной.
Я бы эту статью бы не написал, если бы были нормальные статьи про разделения сетей и для чего это надо.