имеется "зоопарк" из оборудования:

здание 1 (центральное):
1. DGS-3426 - будет ядром (центральным, т.к. находится в основном здании и в него приходит вся оптика с соседних зданий),
2. DES-3552,
3. DES-3528,
4. DGS-3200-10,
5. DGS-1224T (планирую его убрать, если он не впишется или не поддерживает что-то из нужного мне функционала);

здание 2:
1. DGS-3420-52T,
2. DES-3528 (лежит в запасе),
3. DGS-1224T (лежит в запасе);

здание 3:
1. DES-3028,
2. DES-3528,
3. DES-3552,
4. DGS-3426,
5. DGS-1216T (заменю, если надо будет тоже),
6. DGS-3200-10,
7. DES-3226S (да, такие тоже есть , но их есть чем заменить, к примеру запасные DES-3528),
8. DES-3526DC.

количество их порядка 60-ти штук, AD DS от Microsoft, DHCP в компании нет и не планируется, с самого начала не заладилось с ним))) поэтому на всех клиентах статически прописаны ip, маску, шлюз(прокся), 2 DNS-сервера.

есть задача развести на VLAN'ы сетку, VLAN'нов планируется 3-5 (сейчас этот вопрос утрясается, но думается мне что их будет 5),
кабельная система на твердую четверку документирована, т.е. где-то меняли коммутаторы и могли не внести это в журнал - это не критично, т.к. еще раз пробегусь и сверю все.

хотелось бы реализовать: vlan'ы, автоматический проброс этих вланов на все комутаторы, а так же очень желаемс автоматиское создание вланов на всех комутаторах, если он создан был к примеру на ядре DGS-3426 (я так понимаю надо использовать GVRP) с автоматическим присоединением любого порта на любом коммутаторе в нужный нам вилан (я так понимаю, надо использовать 802.1X + RADIUS).
почему так? потому что хоть и редко, но юзера бывают меняются комнатами в своем здании и ходят со своими рабочими станциями, а каждый раз перепривязовать порты для машин не сильно хочется, тогда бы хватило я думаю и 802.1Q с транковыми портами.

почитал форум, инет, вроде все понятно, но есть вопросы:

1. т.к. виланов не много (около 5 штук всего будет) и все же пользователи меняются местами не часто, то может все же склониться к 802.1Q и транковым портам + статически привязать порты в вланам? - это я настрою легко, тут все понятно мне и вроде как все имеющиеся железки поддерживают транки и 802.1Q,
2. т.к. хочется красиво сделать без 802.1X, то все же: при использовании GVRP мне придется на каждом коммутаторе заводить влан и руками прописывать принадлежность портов к этому влану, если на этом коммутаторе он нужен? а если на другом нет компов, которые принадлежат к влану, то его там не заводить? - это практически обычный транки и 802.1Q выходит?
3. а если все делать очень красиво с 802.1X, то не могу настроить RADIUS и коммутатор - хочется чтобы коммутатор на основе скажем логин\пароля подключал порт в нужный мне vlan.

сейчас уточнил по функционалу данного железа:
DES-3226S, DGS-1224T, DGS-1216T - умеют 802.1Q, но не знают о GVRP (по крайней мере на сайте нет записи в разделе функционал), буду считать их и попробую поменять на DES-3528, которые в запасе лежат.


я так понимаю, что мне будет удобнее всего использовать GVRP, так как коммутаторов прилично + не в каждом надо прописывать все vlan'ы.

еще вопрос по доступу к ресурсам:
к примеру все vlan'ы должны видеть общий ресурс - proxy-сервер, мне будет правильнее выделить проксю в отльный vlan и уже использовать Асимметричные VLAN или Traffic Segmentation?
как правильнее с точки зрения логики сети?


простите за глупые вопросы, ранее с этим не сталкивался, сейчас читаю мануалы, но там без примеров к сожалению ;(

Тихий ужас.

по делу зашли или просто посочувствовать?

есть ряд причин почему DHCP у нас был погашен и основная причина - это отказ получать IP принтерами даже, если он арендован бессрочно, а принтеров у нас огромное множество и самое смешное - это то, что поддержка HP ничего не может на это ответить.

DHCP мы не любим, а вот 802.1x и GVRP любим, нечего в голове не перещелкивает от такого оборота? Если на ваших принтерах DHCP не можете поднять, то когда начнете на них 802.1x поднимать - снимите ролик, дома под пиво с орешками посмотрю в качестве развлекательного видео.

Реакция Gonarh скептическая вполне понятна, мне как админу провайдерской сети. 5 виланов - какой ужас, подумайте! У нас их под сотню и GVRP нет, т.к. хочется четко понимать как будет проходить потоки данных, а GVRP может внести удивление. Мало того Вы перечислили кучу оборудования L2, но как VLAN то между собой Вы их маршрутизировать собираетесь, на чем?! Или у Вас все виланы идеют общую адресацию, но тогда зачем они вообще нужны?

В общем в Вашем посту читается желание применить кучу технологий, лишь бы их применить, а не желание решить задачу. В общем в посту и задачи то нет, просто смотрите какой я крутой, как много у нас оборудования, как легко мы поменяем оборудование на другое если функционала не хватит. Отсюда и скепсис. Прикиньте, какой хаус начнется если вдруг ляжет ваш Radius сервер? А если связь с ним пропадет? И это вы еще настройку радиуса не начинали

Делайте все как можно проще, используя минимум технологий, и только тогда, когда это реально необходимо. И будет счастье.

Нет, первоначальный вариант ответа был более грубый и резкий. tracert всё расписал.


Это не причина, у принтеров отсутствует как класс основной источник глюков и проблем - человеческий фактор, следовательно им ip можно прибить гвоздями, выдернув из пула, либо вообще вынести в отдельный влан.

я не сказал о любви ни слова, внимательно прочитайте еще раз мой пост, я спросил, что правильнее будет использовать,
Вам показалось, что я оборудованием хвалюсь, хвалиться есть чем, но не коммутаторами D-Link - это уже точно, оборудование мне досталось в нагрузку, я его не выбирал,
последнее, что было куплено мной - это 3552, 3528, 3426, 3420-52T - брал из расчета необходимой максимальной производительности на портах L2, нагрузки на магистральные порты, далее переход на 10G будет на магистральных каналах,

DHCP в сети нет и пока не планируется, причину назвал, принтера некоторые не подхватывают ip зарезервированный за их mac'ом, сейчас сетка выросла до 600 машин почти и адресное таково: 192.168.0.0\255.255.240.0, есть маршрутизатор, который vlan'ы сможет маршрутизировать, загвоздка в том, что на маршрутизаторе порты 100, этого должно хватить для начала, дальше будем менять маршрутизатор.

задача: разнести 3 сетки ( 1 - сеть разработчиков отделена физически, но у них стоит острая необходимость использовать часть наших сервисов, 2 - общая сеть для администрации - отделить административную сетку от сети интернет, 3 - сеть интернет - компы с доступом в сеть не должны видеть друг друга, но должны видеть свой АД, WSUS, Касперского, прокси), так же есть желание вывести все принтера в отдельный vlan для порядка + есть еще одна сетка разработчиков, которые так же сейчас отделены физически, но им так же в скором времени потребуются сервисы из административной сети - итого 5 vlan'ов.

если следовать правилу: "чем проще, тем лучше", то vlan'ы прописываю на коммутаторах вручную + включаю транки на портах, отличие от GVRP в данном варианте для себя не вижу, поэтому и спрашиваю, что в моем варианте более логично будет и менее трудозатратнее,
с 802.1X будем думать пока, если возникнет острая необходимость, то мне понадобится DHCP в любом случае?

отнеситесь с пониманием к моим, возможно глупым, вопросам - никогда не сталкивался с этим, но возникла задача и ее надо решать

Моя имха: проще статикой прописать 5 вланов и поднять dhcp c opt82. Я не представляю себе ад беготни в случае если потребуется сменить массово адресаю по отделам.

Ну про маршрутизатор ни слова не было, а это важно. Если объединять там на нем еще и правила фаервола придется городить кто куда может ходить и так далее. Попробуйте подумать, может Вам функционала traffic сегментейшен хватит, он есть на любом d-link свитче. Сеть плоскую можно оставить в одной IP подсети, но разграничить получится жестко. Не так красиво, как с виланами, но может имеет смысл, в принципе если построите правильное дерево, в верхушке которого будет роутер с proxy arp, или с pvlan proxy arp, то весь трафик пойдет подконтрольно и только через роутер. PVLAN более красовое решение но на ряде ваших коммутаторов нет его поддержки.

traffic segmentation - просто и понятно, думал на счет нее в выходные, но наверное нет, потому что доступ из технологической сети будет по определенным портам жестко задан, т.к. уже были проблемы в виде шаловливых ручек, которым заняться нечем (эта часть сетки отделили в свое время не зря, люди от скуки подменяли ip\mac себе, ставили как на серваке, запускали шикоровещательные штормы - коммутуторы падали нафиг и пока найдешь виновника уже летит сверху в голову от начальства), так что строго по портам и жестко будет просматриваться роутером со встроеными модулями антивируса + IPS.

ip-адресацию менять пока не планируем, разделение по отделам нет, у всех маска 255.255.240.0,
порты задать пока жестко в коммутаторах + транки на аплинках включу (хотя не понимаю в чем разница транка и GVRP в моей ситуации - поясните пожалуйста, если не сложно),
все же решено вынести принтера и сервера, а так же управление коммутаторами в отдельные vlan'ы - думаю это будет правильно.

еще остался вопрос по зданиям: т.к. у нас зданий 5 (4 связаны с административным оптикой 1Гб) и сервера раскиданы по 3-м серверным, сделано это для уменьшения кол-ва трафика на магистральных портах, то в случае разруливания vlan'ов через роутер выйдет, что он на себя примет весь трафик со всех зданий и вланов? как на него сократить нагрузку? (порты там 100мбит, принтера и технологическую сетку прокачает, там нагрузка не большая, а вот файловый поток большой). выходом будет установка в 3 серверные коммутаторов 3-его уровня? или есть какая-то технология обхода этого узкого места?

добавил рисунки схематичные для общего понимания...

dhcp opt82 + dhcp snoop + address binding спасут отца русской демократии.

В чем разница между мухами и котлетами. В том что мухи это не котлеты. Gvrp - протокол для автоматического проброса вланов на цепочке коммутаторов, trunk - конфигурация порта для пропуска фреймов с определёнными метками вланов


Я бы даже сказал необходимо.


Нахрена, терминируйте вланы на 3426.

про dhcp opt82 + dhcp snoop + address binding согласен - решение самое верное и надежное, отработанное людьми, уже думаем на чем поднимать DHCP-Server, сетка у нас Майкрософт вся, может роутер подключить к этой задаче или пойти простым путем и использовать DHCP-роль сервера Win2008R2 - что посоветуете? из удобство реализации\надежность,
по поводу транков и gvrp спасибо за разъяснение!,
управляющий влан + сервера + принтера в разных вланах - будем реализовывать обязательно, спасибо за "пинок", сомнения отпали,

а вот по последнему не понял:
если Вы имеете ввиду под словами "терминируйте вланы на 3426" - маршрутизируйте вланы на 3426, то не понимаю как, он же L2+ и из L3 у него только заявлено: Статическая маршрутизация IP v.4/v.6: 128 маршрутов + Туннелирование IP v.6, про вланы ничего не сказано, если только использовать ассиметричные порты - во общем не понял я Вас.

ПС: забыл сказать, роутер у нас ZyWALL USG 300, уточнил информацию, все порты независимые 1Гбит подключение, бодрая штука достаточно

Думаю не прожует межклиентский траф.

Тут ничего не скажу, серверные винды знаю на уровне поднять самбу/фтп. Линуксы ближе.

Именно, л2+, помоему можно на нём попробовать:

и маршрутизация должна работать между этими вланами