VLAN между свичами
 

Никак не могу понять как работает VLAN сети, и еще не очень понимаю масштабируемость ЛВС.
Вот у нас имеется 2 свича, между ними я сделали агрегацию 1,2 порта подключил к другому и настроил по инструкции. свичи управляемые, D-LINK SMART (точный модель не помню, но если надо, пойду серверную узнаю)
Вопросов пока 2:
1. каким образом можно связывать в один VLAN , скажем 5 компов с первого и 3 компов со второго свича? ведь для этого надо что то общее, где будет видны все порты обеих свичей?
2. Если у нас over 2 этажей знание, серверный находится на первом, то как остальные этажи соединять по правилам? На каждом этаже ставить свич и по оптике соединять с серверным свичем?
Таких задач у меня не было, но мне хотелось бы знать как правильно надо делать. Я просто все прямыми UTP проводами тяну в серверную. А тут ловил себе на мысли, если этажей много и если растояние больше 100м, то что? под каждую линию ставить "повторитель" ?

Поток сознания.... Агрегировали для чего? Отказоустойчивости или повышения производительности?

Надо. Это штука называется vlan id. На обоих коммутаторах надо описать влан в котором ваши компы, далее в этот влан надо назначить порты.

Что бы не запутаться - лучше звездой, но можно и каскадами. Все зависит от места, времени, возможностей.
Кстати если длина линка менее 100 метров то оптику можно и не бросать, и использовать витую пару.

Это в принципе правильно.

Тогда берется обьем помещения, где длина линка более 100 метров, где-то вешается коммутационный ящик, кидается плечо из оптики, разваривается и используют либо sfp-модули в коммутаторы, либо медиаконвертеры. ИМХО второй метод предпочтительнее, бо иногда сфпишка под какой-то свитч стоит скотских денех... Ну а из шкафа уже тянутся кабеля куда надо. Только шкаф надо взять такой, что бы туда влезло нужное количество коммутаторов, патч-панелей и ИБП.

Сходите, гляньте. Может Вас жуткая боль по итогу ожидает ;)

Читать: http://xgu.ru/wiki/VLAN и https://habr.com/ru/post/319080/ имхо доходчиво описано

А лучше две. В смысле, две линии. О - Отказоустойчивость.

Не соглашусь, ибо медиаконвертер - мерзкая и ненадёжная штука с копеечным блоком питания. Обе железки так и норовят выйти из строя.

Само собой. Оптика обычно кидается четерыхволоконка, все разваривается либо в бокс, либо в патч-панель. Меди заводится как минимум 2.

Вы видимо невезучий, или покупаете откровенный шлак. Имеем штук 10 комплектов гигабиных Д- и ТП- линков (первые с сфпихами), которые стоят 5,4,3,2 года (закупались по мере надобности) и фурычат без перезагрузок.

И узнайте ради интереса сколько стоит пара гигабитных сфпих на Aruba 2530 и сравните ее со стоимостью пары тех же ТП-Линковских медиаконвертеров

В рамках вопроса топик-стартера - без разницы.

Нет - нужно просто согласованно настроить обе стороны.
"стэкировать" или "заводить" их в общий управляющий софт не нужно

для этого придуманы книги, практически все вендоры предлагают курсы по построению сетей, материалы к ним найти несложно - там как раз и пишут как правильно делать
надо понимать, что инструкция к трансформатору и учебник физики - дают довольно разные представления об электричестве
точно так же и в курсах вендоры описывают, что у них получилось сделать, а не теорию сетей в общем

запутаться?! - правда?!

Обычно явно выделяют коммутаторы доступа, куда втыкаются клиентские устройства. Размещают их локально. Ну а далее каскадами по необходимости.

это называется "ошибка выжившего"
всё оборудование покупается в надежде, что не будет глючить, выходить из строя и т.п. Но медиаконвертеры совершенно не поддаются мониторингу, хотя совсем пассивным оборудованием их не назовёшь.

Это оборудование разного уровня. Ваши медиаконвертеры TP-link попросту обесценивают вложения в Aruba
Ну и SFP на то и придуман, и стандартизирован, что модули могут быть от другого вендора.

MC заменить дёшево, если сдохнет. Вообще их обычно применяют при апгрейде на оптику, когда её некуда воткнуть, а менять всё нет бюджета, ну и в сетях где полежать несколько часов норм. Мониторить можно по IP: упал коннект - специально обученный человек бежит три дня передёрнуть питание или заменить девайс.

ну, 2 свича по 24 портов, почти забиты до отказа. посоветовали делать агрегацию, чтоб обмен между ними "удвоить", говоря коротко, для повышения производительности.
Вот СКРИН , там видны свичи и 2 линка, красного цвета, эта линии агрегации.
А каким образом это? ID 10 на первом свиче другой комп, а на втором это может оказаться совсем другой. Каким образом порты маркируются тогда? Я к тому, что имеем 2 свича 1-24 портов , вот если их где то виртуально соединить чтоб был просто 1-48 то мне было бы понятно, а так, получается 2 отдельных свича. (ну не берем кластеры, там для меня вообще все мутно)
Это DLINK DGS-1210-28

тут у меня все сложно. такая же хрень была, когда изучал VPN. пока на практике не видел, не делал, не понял суть )) хотя очень много читал, смотрел всякие "картинки, схемы". Тоже самое с VLAN. читаю много про него, но никак не пойму что к чему. А экспериментировать на рабочих свичах очково ))
это понятно, но работодатель на курсы не отправляет, самому не могу оплачивать дорогостоящие курсы, с зарплатой 25 тыс. рублей. В интернете много курсов есть, платных, но уже в свободном доступе, но там тоже не все ясно мне , какой курс мне надо? как бы в теории много чего знаю, на практике тоже основной часть знаю, но вот например VLAN и как делать сети "для больших" - пока сложно представить.
так, все же, каскад или звезда?


Что касается оптики - а почему не подключится трансивером? Это дорого или ненадежно? У нас на свичах есть SFP портов.

Тогда остается самообучение, форумы производителей и интернет.
1. http://xgu.ru/wiki/vlan/dlink
2. http://forum.dlink.ru/viewforum.php?f=2
3. Звоните в региональную ТП Д-Линка с конкретным вопросом.

http://www.dlink.ru/up/products/1/2224_o.html
Юзаем
Правда через медики, но довольны. Ах да, юзал их в dgs-1510-52L/ME (тот еще головняк был с теми коммутаторами)

James Marsh, самообразование это хорошо, знать бы еще по каких видеокурсам учить.

что юзаем-то? эти свичи? зачем они мне, я же написал какие у меня свичи. какая разница с нашими?

Я вообще то про трансивер спрашивал, почему не он, а медиаконвертор?

Вы даже не потрудились внимательно прочитать!
Какие, к лешему, свитчи?! Русским по белому написано: трансивер!

Angry Demon,
А это к чему?
http://www.dlink.ru/up/products/1/2224_o.html

и что? я не спрашивал какой трансивер нужен, а почему не трансивер, а медиаконвертер?
Вы тоже внимательно читайте исходные вопросы.

Я думаю это был ответ на

Типо тянуть оптику, вот тут список совместимых трансиверов

В Вашем случае - дешевле. Ибо пара медиков + пара сфп гигабитных дешевле просто пары сфп
Надежно: вопрос двоякий. У свитча с сфп-модулем в обобщенном случае 2 точки отказа: сфпшка и коммутатор. Если добавляем медик с сфпишкой, то тогда уже 3 точки отказа.
Плюс не забывайте, есть коммутаторы, где сфп-порт отдельный, т.е. в коммутаторе к примеру реально 28 портов. А есть коммутаторы, где так называемые комбо-порты. т.е. к примеру 26 портов (24 медь + 2 сфп), но (!) либо в 23/24 медь, либо 25/26 оптика, но не одновременно в 23 медь и в 25 оптику. Имейте в виду.

Обычно все делается 2 путями: проектно или историческими слоями.
Проектно: есть проект сети, там 500 линков в серверную медью, бо длина линка меньше 100 метров. И 100 линков в соседнем здании метров за 200. И там к примеру портов 100. Вешаем там ящик, линки в ящик и плечо из оптики в серверную в основном здании. Закупаем 16 48-портовых коммутаторов, 6 сфп, 600 патчкордов 0,5 метра и прочее. Делаем.
Историческими слоями: в позапрошлом году был один этаж и серверная в подвале - все медью в серверную. В прошлом году добавилось еще 2 этажа(чужих к примеру). Там были свои локальные ЛВС (хорошо, если в ящике сведенные). Ок, в 1й ящик из серверной кинули пару витых пар, бо меньше 100 метров, а до второго - 120 метров. Уговорили оптику кинуть и разварить. Готово. Потом давай сетевое покупать, а деньги на полдороге урезали. Ок, тогда достанем из загашника пару тупых коммутаторов, уговорим купить пару медиков соток, шоб хоть как-то работало. В Этом году купили нормальные коммутаторы/сфп модули (даже с запасом), все поменяли, все ок. Потом нарисовывается соседнее здание. НО! Сразу ничего не сделаешь, бо не придумали, шо там будет, но надо к примеру 2 камеры повесить к видеонаблюдению. СНова кидаем и варим оптику, снова медики из загашника, снова тупые свитчи из заначки.... И так по кругу. Бо вчера денег нет, но надо что бы работало. Сегодня есть финансирование, ты приводишь в порядок, то что было сделано из того, что было. Завтра ты лепишь, бо есть где, но никто не знает как и что будет....
В реальной жизни обычно на проект с годами наслаивается история и получается такой вот бутерброд с ЛВС.

Вооо нафлудил...

ладно, с оптикой хрен с ним.

У меня очень большой пробел по VLAN. Вот такой четкий и ясный вопрос:
Представим сеть, с контроллером домена и 5 отделами (менеджмент, бухгалтерия, операторы, ИТ, логистика). Я хочу по отделам делать VLAN, ну типа безопасность, все дела..
теперь куда и в какую VLAN пихнуть сервер DC ? неужели надо 5 сетевых карт ставить, чтоб все сети видели его?
Ну или отделу ИТ нужен доступ к всем VLAN_ам, для администрирования, обслуживания. Их куда ставить ?

VLAN и безопасность это разные вещи. Это не задача VLAN. С помощью VLAN ты объединяешь устройства в одном широковещательном домене. Или наоборот. когда тебе надо уменьшить широковещательный трафик то режешь на VLAN и уменьшаешь кол-во устройств в домене. Все зависит от задач. "Безопасность" в твоем понимании, на самом то деле это следствие. Для безопасноси нужен Firewall, но никак не VLAN.


На хабре есть цикл статей "Сети для самых маленьких" почитай.
Вот статья на хабре тут расписано про VLAN https://habr.com/ru/post/319080/ ( наглядный пример https://habrastorage.org/files/347/d...584637c9f8.gif На гифке, как побежит у тебя arp запрос в одном домене.)

Дальше. Если режешь на VLAN. Тогда вопрос у тебя везде будет DHCP сервер?? Будешь настраивать DHCP-relay или везде будет статика?
Также раз надо еще иметь доступ к общим ресурсам. то у тебя будет точно разделение по сетям. То есть : бухгалтерия - 192.168.0.0/24, менеджмент - 192.168.1.0/24, операторы 192.168.2.0/24 и т.д.)

Вообще, пока в сети количество хостов не достигает 254, имхо я бы не заморачивался дроблением на вланы. Если конечно нету непонятных ип-телефонов, ип-камер и прочего оборудования которое вносит сумятицу в общую сеть.
И то не всегда спасает... Вот к примеру есть классная турецкая система http://www.zkr.com.tr/en и коммутаторы http://pl.dahuasecurity.com/products...-250-7001.html, которые живут в отдельном влане со своим сервером, работают и в ус не дуют. Воткнуто это все в Aruba 2920 24 портовую гигабитную. Так вот, если это дахуа ребутнуть по питанию, то в 30% случаев половину портов 2920 рандомно штормит. И в половине вланов нарезанных на 2930, который типа корневой, часть хостов в сети, часть нет.... И так пока 2920 по питанию вытаскиванием кабеля питания не перезагрузишь. А потом все снова работает. :biggrin:

Цитата:

Цитата krec ладно, с оптикой хрен с ним. »

Да не хрен с оптикой. Оптика это хорошо. Вот к примеру: никогда не приходилось глюков по сети ловить, типа то работет, то нет, хотя по-людски вроде сделано? А потом оказывается, что пучок на 20 витых пар идет вдоль кабеля электрического на 380 вольт метров 20. :up :up :up Просто огонь!!! И повезло, что был бублик метровый где-то свернуть, что удалось разнести от кабеля электричества. Наводки давало. И мистика каждый день, такая, что волосы дыбом везде и не только. А оптика такому не подвержена. ВотЪ.

Изучайте, сслылки Вам привели. И не обижайтесь.
К примеру, мы долго сидели на межсетевых экранах D-Link DFL, которые лицензированные Clavister, но не суть. Так вот, каждый раз "курение" мануала у меня, при решении новой задачи, открывало новые детали, которые проглядел в прошлый раз. И так в течении 5(!) лет. Конечно, это говорит о моей невнимательности/незаинтересованности в целом, но недавеча мой коллега признался, что у него было аналогично. А экстраполируя, то мы все такие. =) Приношу свои извинения, если обидел.

Делите, только имейте в виду несколько вещей:
1. 2. 3. 4. Логическая схема сети у Вас какая будет:
4.1.
4.2.
4.3. Надо продумать и настроить где-то (л3 коммутатор или маршрутизатор, которые умеет вланы (у Вас маршрутизатор умеет вланы, кстати говоря?)) маршрутизацию и доступ между вланами.
Вопросов возникает много. Но главный всегда: Вы обеспеченны оборудованием, что бы нарезать сеть на вланы, смаршрутизировать трафик между вланами, в случае необходимости, и выыпустить вланы в интернет, опять же в случае необходимости?
Так как если у вас интернет раздает какой-то DIR-300 сто летней давности, и у Вас появилось 2 коммутатора Л2 и желание подробить сеть на вланы, то по итогу нифига не выйдет. ТОчнее выйдет, но только на какой-то процент, а полноценно - нет. =)
И ответы на Ваши вопросы:
В любой, который Вам удобно.
Нет, надо просто разрешить трафик между вланами, что бы кому надо видели ДК.


И, в конце ответ, на вопрос, который может возникнуть. Мы не в коем случае не отговариваем от экспериментов в порядке обучения. И, да, Вы наступите на все грабли, на которые до Вас наступали другие. Но такова наша природа: пока сами не наступим, то "кина не будет". =))
Вот блин, снова нафлудил......

Спасибо ребят за информацию. Но тем не менее, очень много вопросов еще по нему.
Вот скоро будем делать новый сеть, из 60 компьютеров, 30 телефонов (цифровой АТС, наверно он и есть VoIP) и 30 ip-камер. Я думаю тут надо будет уже VLAN_ами ограничить. Но отдельным компам (ИТ отдел, директор и склад) надо будет дать доступ на просмотр.

Неа. Это разные вещи. К примеру, Panasonic KX-TDA200 - это цифровая АТС, а , к примеру, Kerio Operator - IP-PBX.
Камеры однозначно в отдельный влан, ip-телефоны, по возможности, тоже.