У меня есть Draytek Vigor 2820, который подключен к трем гигабитным коммутаторам Netgear Layer 2. В настоящее время сеть довольно простая, 192.168.1.0/24.
В одной сети у меня есть 7 серверов, около 50 компьютеров, 6 сетевых принтеров, 16 IP-телефонов и от 5 до 10 беспроводных ноутбуков, которые подключены через три точки беспроводного доступа.
Хотя у нас есть много доступных IP-адресов, я думаю, что это могло бы быть немного более эффективным с точки зрения идентификации устройства по его IP-адресу.
У нас также есть три филиала, которые подключаются через VPN-туннели.
Пока что у нас есть следующая структура IP:
Main Practice - 192.168.1.0/24
Branch 1. - 192.168.2.0/24
Branch 2. - 192.168.3.0/24
Branch 3. - 192.168.4.0/24
Мы называем их филиалами, но по большей части они являются постоянными надомными работниками. Установлено, что любому пользователю VPN без туннеля назначается IP-адрес больше 192.168.1.200/24.
Я бы хотел поставить все серверы на что-то вроде 10.1.1.0/24, точки беспроводного доступа на 10.1.2.0/24 и, возможно, принтеры на 10.1.3.0/24.
Я не думаю, что нашей сети нужны VLANS, но я думаю, что вышеупомянутая идея упростит ситуацию. Не говоря уже об увеличении количества доступных адресов хостов.
Можно ли с помощью одного маршрутизатора добавить статический маршрут в другую подсеть, используя тот же шлюз? У меня есть один DHCP-сервер, работающий в Windows 2008 R2, я полагаю, я могу добавить новую область для каждой из новых подсетей?
Есть ли у этого плана серьезные недостатки?
Есть ли у этого плана серьезные недостатки?
Да. Это излишне сложно. Вообще говоря, вы разделяете свои устройства на разные подсети, потому что у вас есть требования к фильтрации, ведению журнала или маршрутизации. Например: все ваши службы DMZ находятся в отдельной подсети, к которой ваши клиенты не могут получить прямой доступ.
Если вы не получите серьезных преимуществ от использования этой установки, которую я не вижу (что, безусловно, возможно), вы просто покупаете дополнительную сложность. Не поддавайтесь искушению быть слишком умным.
Хотя у нас есть много доступных IP-адресов, я думаю, что это могло бы быть немного более эффективным с точки зрения идентификации устройства по его IP-адресу.
На мой взгляд, если вы пытаетесь идентифицировать устройства по их IP-адресам, Ты делаешь это неправильно. Хотя звучит неплохо, когда ваши серверы находятся в этой IP-подсети, а принтеры - в одной, а рабочие станции - в другой, а беспроводные клиенты - в еще одной - довольно скоро вы обнаружите, что ваши таблицы маршрутизации усложняются ... быстро (и напрасно).
Уже есть настройка службы для идентификации устройств ... DNS! Зачем запоминать IP-адреса, если вы можете давать своим устройствам понятные для человека имена?
Я не думаю, что нашей сети нужны VLANS, но я думаю, что вышеупомянутая идея упростит ситуацию. Не говоря уже об увеличении количества доступных адресов хостов.
Думаю, вы правы, вам, наверное, не нужны VLAN. Однако, возможно, все же стоит разместить все ваши устройства VOIP в отдельной VLAN, если есть проблемы с производительностью.
Я предполагаю, что вы хотите добавить несколько подсетей в один физический сегмент? Хотя это возможно, вам потребуется определить «псевдоним IP» или «подинтерфейс» (в зависимости от точной терминологии, используемой вашей конкретной маркой маршрутизатора - я не знаком с этим), в основном назначая несколько IP-адресов на одном и том же физический интерфейс.
Одна из проблем с этим заключается в том, что весь ваш трафик из вашей локальной сети на сервер должен будет проходить через маршрутизатор, который, скорее всего, не сможет маршрутизировать на гигабитных скоростях, и даже если это возможно, все равно будет замедление. .
Я не слишком хорошо знаком с DHCP-сервером Windows, поэтому не знаю, будет ли он делать то, что вы хотите, - несколько подсетей в одном сегменте сети. Но у вас должен быть какой-то способ настроить DHCP-сервер для предоставления разных подсетей в зависимости от MAC-адреса компьютера, запрашивающего IP.
На самом деле нет никакого преимущества в безопасности, злоумышленник может просто создать псевдоним IP на ваших рабочих станциях для прямого доступа к локальной сети вашего сервера.
Я бы лично не стал реализовывать что-то подобное, потому что это сделало бы вашу сеть более сложной, а не менее. Я бы либо использовал несколько VLAN, либо просто поместил все в одну подсеть.