Добрый день!
Помогите советом.
У нас на предприятии идет модернизация сети.
3 этажное здание
Как это вижу я:
На каждом этаже планируется поставить коммутаторы распределения(уровня 2+) к которым будут подключаться непосредственно пользователи т.е от коммутатора тянется одна точка-розетка.
Все коммутаторы распределения подрубаются к коммутатору ядра, который будет располагаться на первом этаже в серверной, к нему планирую напрямую подключить серверы и модем.
Нужно организовать Vlanы чтобы разделить пользователей между отделами.
Примерную схему набросал.
Коммутаторы zyxel:
http://catalog.onliner.by/zyxel/es3148/


Вопросы:
По какому решению делить лучше сеть на vlan - с VLAN на базе порта (Port-based), либо с VLAN на базе тега (802.1Q) ?
Можно ли сеть расширять поделенную vlan обычными коммутаторами ?
Как лучше соединить распределения с коммутатором ядра ?

По какому решению делить лучше сеть на vlan - с VLAN на базе порта (Port-based), либо с VLAN на базе тега (802.1Q) ? »
как вам удобней, это же очевидно.
Можно ли сеть расширять поделенную vlan обычными коммутаторами ? »
можно, в большинстве случаев они поддерживаеют передачу влан тага.
Как лучше соединить распределения с коммутатором ядра ? »
проводом?

baph, у вас нормальная схема, вполне себе стандартная. Просто спокойно доведите ее до конца.
Если не секрет, зачем именно нужен vlan?

как вам удобней, это же очевидно. »
просто в инструкции zyxel на сайте написано :

C помощью VLAN на базе порта можно настраивать довольно сложные схемы "перекрывающихся" виртуальных сетей, однако у этого метода есть существенный недостаток: он не позволяет распространить VLAN на несколько коммутаторов. Для передачи информации о VLAN между коммутаторами используется тегирование кадров по стандарту 802.1Q.
можно, в большинстве случаев они поддерживаеют передачу влан тага. »
если правильно понял, то обычный коммутатор подключенный к определенному порту VLAN будет принадлежать весь к этому VLANу ?
Если не секрет, зачем именно нужен vlan? »
Нужно поделить отделы чтобы они не видели друг друга, специфика работы

C помощью VLAN на базе порта можно настраивать довольно сложные схемы "перекрывающихся" виртуальных сетей, однако у этого метода есть существенный недостаток: он не позволяет распространить VLAN на несколько коммутаторов. Для передачи информации о VLAN между коммутаторами используется тегирование кадров по стандарту 802.1Q. »
я не очень поняла что там нельзя куда распространить, потому что следующая фраза говорит обратное.
в общем аплинковые порты в транке с указаными вланами и всё будет хорошо.
если правильно понял, то обычный коммутатор подключенный к определенному порту VLAN будет принадлежать весь к этому VLANу ? »
да. если же порт куда он подключен транковый, а конечное оборудование (ПК, к примеру) передаёт влан-таг, то "обычный" коммутатор, в большинстве случаев, передаст этот влан-таг дальше.

Есть дешёвки, которые срезают.

P.S. зюксель - кака.

я не очень поняла что там нельзя куда распространить, потому что следующая фраза говорит обратное.
в общем аплинковые порты в транке с указаными вланами и всё будет хорошо. »
там просто сравнивается 2 метода на базе портов и на основе тегирования кадров по стандарту 802.1Q
вот ссылка :
http://zyxel.by/kb/1439

baph, я понимаю, что специфика отделов. Мне не важно чем они занимаются и как -- не моего ума дело. Мне интересны их необходимость доступа к информации по карте сети.
Т.е. если их можно полностью замкнуть на этаже - это одно (кадровики имеют отдельный уровень безопасности), если они с кем то перекрываются (с бухгалтерией допустим) это другое.

если они с кем то перекрываются (с бухгалтерией допустим) это другое. »Да, отделы будут пересекаться их нужно внести в одну группу vlan
+ сервера чтобы были доступны разным группам. Могу накидать примерную схему
Важно чтобы участники VLAN могли быть на разных коммутаторах.

если правильно понял, то обычный коммутатор подключенный к определенному порту VLAN будет принадлежать весь к этому VLANу ? »
т.к. port-based vlan не маркирует пакеты, то обычный коммутатор подключенный к порту vlan будет находится в этом vlan'еНужно поделить отделы чтобы они не видели друг друга, специфика работы »
vlan'ы нужны тогда, когда вы хотите разделить сеть на подсети, ну а нужны подсети или нет это вам решать.По какому решению делить лучше сеть на vlan - с VLAN на базе порта (Port-based), либо с VLAN на базе тега (802.1Q) ? » с протоколом .1q удобней сервер подключать т.к. не понадобиться лишние провода для vlan'ов. Вообще реализовать можно как угодно, просто обычно все используют .1q Настраивается также, но более масштабируемый.

Подскажите
Как настроить для 2ух влан общий сервер чтобы 1ый влан и 2ой были доступны серверу а между собой нет.
Коммутатор
Zyxel ES-3148

два влана на сетевой карточке сервера.

cameron,

Подробнее можно? настраивать на сетевой карточке? а есть ли в зукслах порт, который может иметь членство в нескольких VLAN ?

В Длинках есть ассиметричные что то подобное есть в зукслах?

Вот схема как мне нужно

Чтобы все видели проксю и DC и только влан 2 видел сервер 1С

нужно, чтобы сетевая карта поддерживала протокол 802.1q (на шлюзе), затем настроить ПО для работы с этим протоколом ( http://xgu.ru/wiki/VLAN_%E2_Windows или http://xgu.ru/wiki/VLAN_%D0%B2_Linux) , далее включаете межVLANовую маршрутизацию и файрволом ставите ограничения.Чтобы все видели проксю и DC и только влан 2 видел сервер 1С » если влан2 не в домене, тогда можно не включать межлановую маршрутизацию а просто поместить 1С сервер в отдельный влан.

если влан2 не в домене, тогда можно не включать межлановую маршрутизацию а просто поместить 1С сервер в отдельный влан. »
Все в домене. Немного не понял про маршрутизацию...у меня все компы в одной сети.
на 3 серверах должны быть карты с поддержкой протокола 802.1q ?

На коммутаторе и на карте порт настраивается как "tagged" ?

baph, дело в том, что использование vlan подразумевает под собой использование отдельных подсетей. vlan является частью механизма безопасности в целой системе. если все компьютеры у вас находятся в домене то необходимо настраивать межvlanовую маршрутизацию (http://xgu.ru/wiki/VLAN) для того, чтобы пакеты могли 'ходить' из одной подсети в другую.
на 3 серверах должны быть карты с поддержкой протокола 802.1q ? » достаточно настроить шлюз.
На коммутаторе и на карте порт настраивается как "tagged" ? » ну вообще термин 'tagget' относиться в основном к свичам. этот термин обозначает, что ethernet кадр выходя из tagget порта маркируется соотв. vlan'ом с помощью протокола 802.1q

slava007, А без подсетей возможно? Если все компьютеры в одной сети
достаточно настроить шлюз. »
можно подробнее?

Цитата baph:
А без подсетей возможно? Если все компьютеры в одной сети »
нет. 2 vlan - 2 сетевых интерфейса т.к. каждый интерфейс должен находится в своей подсети то реализовать вашу идею нельзя ( ну может с костылями это будет работать, но так никто не делает, по крайней мере на производстве).
к тому-же без подсетей теряется смысл в vlan'ах.
Цитата baph:
можно подробнее? »
ну это значит, что нужно настроить .1q на сетевой карте ( в ПО шлюза ), настроить маршрутизацию, настроить файрвол для ограничения доступа из одной подсети в другую.

slava007, Хорошо. Есть ли тогда смысл во вланах если мне нужно разделить сеть на 2 группы которые бы не видели друг друга и у них был общий сервер. Как это реализовать?

Есть ли тогда смысл во вланах если мне нужно разделить сеть на 2 группы которые бы не видели друг друга и у них был общий сервер »да
Как это реализовать? »нужно настроить .1q на сетевой карте ( в ПО шлюза ), настроить маршрутизацию, настроить файрвол для ограничения доступа из одной подсети в другую. »+ настроить vlan на свичах

Можешь по порядку рассказать а то я запутался.

Если сеть у меня 192.168.1.0

Есть(пока только один свитч) + сервер 1С сервер АD и сервер в роли прокси в инет

Что где настроить

Чтобы были 2 влан и они не видели друг дргуга

Но чтобы у них был общий AD + Прокси

И у одной из vlan был достпуен сервер 1С