Я помогаю другу управлять общим подключением к Интернету в многоквартирном доме на 80 квартир - 8 лестниц по 10 квартир в каждой. Сеть проложена с интернет-маршрутизатором на одном конце здания, подключенным к дешевому неуправляемому 16-портовому коммутатору на первой лестнице, где также подключены первые 10 квартир. Один порт подключен к другому дешёвому коммутатору на 16 портов на следующей лестнице, где эти 10 квартир соединены, и так далее. Что-то вроде гирляндной цепи переключателей, с 10 квартирами в качестве спиц на каждой «гирлянде». Здание имеет U-образную форму, размером примерно 50 х 50 метров, высотой 20 метров, поэтому от маршрутизатора до самой дальней квартиры, вероятно, около 200 метров, включая лестницы, ведущие вверх и вниз.
У нас есть немало проблем с людьми, которые неправильно подключают Wi-Fi-маршрутизаторы, создавая мошеннические DHCP-серверы, которые прерывают работу больших групп пользователей, и мы хотим решить эту проблему, сделав сеть умнее (вместо физического отключения двоичного поиска ).
С моими ограниченными навыками работы в сети я вижу два пути - отслеживание DHCP или разделение всей сети на отдельные VLANS для каждой квартиры. Отдельные VLANS предоставляют каждой квартире собственное частное подключение к маршрутизатору, в то время как отслеживание DHCP по-прежнему позволяет играть в локальной сети и обмениваться файлами.
Будет ли отслеживание DHCP работать с такой топологией сети, или это зависит от того, что сеть находится в правильной конфигурации «концентратор и луч»? Я не уверен, существуют ли разные уровни отслеживания DHCP - скажем, дорогие коммутаторы Cisco будут делать что угодно, а недорогие, такие как TP-Link, D-Link или Netgear, будут делать это только в определенных топологиях?
И будет ли достаточно базовой поддержки VLAN для этой топологии? Я предполагаю, что даже дешевые управляемые коммутаторы могут помечать трафик с каждого порта своим собственным тегом VLAN, но когда следующий коммутатор в гирляндной цепочке получает пакет на свой «нисходящий» порт, не будет ли он удалять или заменять тег VLAN своим собственным? транк-тег (или другое название для магистрального трафика).
Денег мало, и я не думаю, что мы можем позволить себе Cisco профессионального уровня (я проводил кампанию за это годами), поэтому мне бы хотелось получить совет о том, какое решение имеет лучшую поддержку на сетевом оборудовании низкого уровня и есть ли там какие конкретные модели рекомендуются? Например, недорогие коммутаторы HP или даже бюджетные бренды, такие как TP-Link, D-Link и т. Д.
Если я упустил из виду другой способ решения этой проблемы, то это из-за моего незнания. :)
Я думаю, вам следует пойти по маршруту с несколькими VLAN - и не только из-за проблемы с DHCP-сервером. На данный момент у вас есть одна большая плоская сеть, и хотя в некоторой степени следует ожидать, что пользователи будут заботиться о своей собственной безопасности, я лично считаю это довольно неприемлемым.
Единственные переключатели, которыми нужно управлять, - это ваши. Кроме того, вы даете каждой квартире один порт в определенной VLAN - все, что ниже по потоку, будет совершенно не знать о VLAN, и вы сможете нормально работать.
Что касается ваших коммутаторов - порты коммутатора-коммутатора необходимо настроить как магистральные порты, и вам необходимо будет соответствовать идентификаторам вашей VLAN. Другими словами, VLAN100 ДОЛЖЕН соответствовать VLAN100 везде в сети.
Помимо этого, вы можете настроить конфигурацию «Маршрутизатор на палке», при которой каждая VLAN (и связанный с ней пул IP-адресов *) настроена только для маршрутизации туда и обратно в Интернет, а НЕ в другие внутренние сети.
* Я не мог придумать, где еще это закрепить, но помните, что в идеале вы должны предоставить своим VLAN их собственный пул IP-адресов. Самый простой способ сделать это - оставить один из октетов таким же, как идентификатор VLAN, например
192.168.100.x - VLAN100
192.168.101.x - VLAN101
192.168.102.x - VLAN102
Как только все это будет сделано, вы действительно можете начать использовать такие вещи, как качество обслуживания, мониторинг трафика и т. Д., Если хотите!
Запрос "LAN Games" кажется мне относительно нишевым запросом, и уж точно не тот, о котором я бы подумал. Они все еще могут нормально играть через NAT, выходя в Интернет и обратно - не идеально, но ничем не отличается от каждой квартиры, имеющей собственное соединение, что является нормой здесь, в Великобритании. Однако в каждом конкретном случае вы можете добавить полную маршрутизацию между VLAN между квартирами, которые хотят совместно использовать свою сеть таким образом.
Фактически, вы МОЖЕТЕ добавить полную маршрутизацию между VLAN повсюду - это исправит ваши проблемы с DHCP, разрешит QoS, но, на мой взгляд, это все еще серьезная проблема безопасности.
Единственная вещь, которую я здесь не затронул, - это ваш DHCP - по-видимому, в настоящий момент у вас есть одна область действия для всех ваших клиентов. Если вы поместите их в отдельные сети, вам потребуется управлять отдельной областью для каждой VLAN. Это действительно зависит от устройства и инфраструктуры, поэтому я пока оставлю это.
В зависимости от вашего бюджета, по крайней мере, возьмите один управляемый коммутатор и поместите каждый этаж в VLAN.
Чтобы полностью решить вашу проблему безопасности и DHCP, если позволяет кабельная разводка, приобретите управляемый коммутатор с 24 портами на каждые два этажа. Если кабели не позволяют, использование коммутационных панелей для увеличения продолжительности работы, вероятно, будет дешевле, чем использование большего количества коммутаторов.
Вы можете сэкономить на оборудовании, воспользовавшись управляемыми коммутаторами 10/100, однако, в зависимости от поставщика, для настройки может потребоваться большой опыт (Cisco).
Как программист, занятый настройкой сети с более чем 1000 портов в 8-этажном офисном здании с оптоволоконным кабелем, я могу сказать, что графический интерфейс управляемых коммутаторов D-link в сочетании с руководством позволит вам делать все, что вам нужно. Я не говорю, что вам нужно использовать D-Link, я просто говорю, что не думаю, что вы будете разочарованы. Управляемые коммутаторы D-Link (уровень 2+) доступны по цене и могут запускать DHCP на коммутаторе (не рекомендую этого, но это вариант). У них есть более низкий уровень «умного» переключателя, который может делать все, что вам нужно.
Если вы делаете VLAN на этаж, должно быть достаточно / 23 (512 хостов) (увеличьте, если вы планируете когда-либо развернуть беспроводную связь). Если вы делаете VLAN для каждой квартиры, подойдет / 27 (30 хостов).
На мой взгляд, самый простой способ сделать DHCP для нескольких VLAN - это взять Raspberry PI и использовать ISC DHCP. Вы можете использовать любую маломощную машину с сетевым адаптером, поддерживающим VLAN. (Лично я бы взял EdgeMax роутер за 99 долларов и запустите на нем DHCP!)
Просто выберите диапазон IP-адресов / подсеть для каждой VLAN, ваша конфигурация DHCP ISC для VLAN может выглядеть примерно так:
subnet 10.4.0.0 netmask 255.255.192.0 {
interface net0;
option routers 10.4.0.20;
option subnet-mask 255.255.192.0;
pool {
range 10.4.1.1 10.4.63.254;
}
}
Вы можете придерживаться глобальных параметров за пределами каждой области, поэтому, по крайней мере, вы получите что-то вроде этого:
option domain-name "well-wired--apts.org";
option domain-name-servers 4.2.2.2, 8.8.8.8, 8.8.4.4;
default-lease-time 3600;
ddns-update-style none;
Если в каждой квартире есть несколько сетевых разъемов, настройте протокол связующего дерева, чтобы избежать петель. Это может замедлить работу, если вы не настроите его должным образом, в результате чего каждому порту потребуется 30 секунд или более, поэтому обязательно проверьте его. Есть опция, которую вы захотите включить, я думаю, Cisco называет ее PortFast.
Я не делал этого лично, но, очевидно, сервер Windows позволяет очень легко это настроить.
Также учтите:
Локальный кэширующий сервер пересылки DNS, формирование трафика и, возможно, QoS для VoIP улучшили бы общую скорость отклика (если ваше оборудование способно запускать указанные службы на линейной скорости).
Если вы планируете обновить камеры видеонаблюдения или развернуть беспроводную связь, возможно, стоит приобрести оборудование с поддержкой POE.
Поскольку многие дешевые беспроводные маршрутизаторы не работают как автономные точки доступа, лучшее, на что вы можете надеяться, это то, что арендаторы будут использовать двойной NAT. Если бы все подключили свой маршрутизатор к вашей сети через порт WAN / Internet, это повысило бы безопасность и устранило бы проблему DHCP. Хорошо напечатанная инструкция с распространенными марками маршрутизатора может сэкономить вам некоторое оборудование и избавить от проблем; однако полное соблюдение было бы затруднительным.
Используйте такой инструмент, как скамейка для имен чтобы найти самые быстрые DNS-серверы для вашего интернет-провайдера.
Удачи!
Если у вас есть приличный маршрутизатор, одно из возможных решений - настроить одну VLAN на квартиру и назначить каждой VLAN адрес / 30. Также создайте область DHCP для каждой VLAN, которая назначает только один IP-адрес.
Например:
Это решает проблему игр между квартирами, потому что маршрутизатор может маршрутизировать между квартирами. Это также решает проблему мошенничества с DHCP, поскольку трафик DHCP изолирован от VLAN этой квартиры, и они получают только один IP-адрес.
Я бы выбрал PPPOE и простой сервер, например ... mikrotik или любой другой, поддерживающий его. Казалось бы, это простой способ. Я уверен, что вы уже решили это, но для всех, кто столкнется с этой проблемой ... pppoe - самый быстрый ответ.