Jaki switch vlan + router/firewall z vpn

Witam.

Mam mały problem bo potrzebuję zmodyfikować moją obecną sieć. Mam 4 lokalizacje. Jest poprowadzone okablowanie - dokładane kolejne kable w trakcie jak rozrastała się firma- każdy kolor to inny budynek/lokal . Bardzo bym prosił o pomoc w doborze sprzętu oraz jak najlepiej wszystko skonfigurować przy w miarę jak przyzwoitych kosztach inwestycji w sprzęt.

Dostawca internetu to Netia. Otrzymany modem został skonfigurowany ręcznie i pełni rolę firewalla - (zablokowane wszystkie porty w dwie strony i puszone tylko te na których mi zależy). Do modemu podpięty jest router cisco WRVS4400n - Zamiast tego rutera planuję kupić cisco firewall/vpn rv130 lub TL-ER6020/TL-R600VPN- albo podpięć jako dodatkowy po cisco WRVS4400n. We wszystkich lokalach są switche 16 portowe niezarządzalne. W każdym z lokali ma być AP dla klientów. Jak również jest po kilka komputerów, drukarki sieciowe i UPSy. Dodatkowo jest monitoring AHD lub IP oraz w każdym z lokali jest prosta automatyka domowa oparta na WiFi. Dodatkowo system alarmowy też zostanie podpięty pod LAN. Jako AP planuje kupić tp-link EAP115 oraz kontroler tp-link OC200.

no i teraz najważniejsze - jakie dobrać switch-e / jakie parametry/funkcje

Zależy mi, aby:

  1. klienci mieli dostęp do WiFi, ale, żeby nie widzieli urządzeń sieci.
  2. Pracownicy mają mieć dostęp do swoich drukarek i w zależności od lokalu/komputera do innych drukarek ale wszyscy muszą mieć dostęp do serwerów i internetu ;DDD
  3. monitoring, UPS i system alarmowy oraz wszystkie komputery i drukarki dostępne tylko dla 3 komputerów ADMIN
    Zastanawiałem się, aby zrobić na synology 2x DHCP i przypisać na stałe dla każdego sprzętu IP. Ale nie działa to dobrze. Z drugiej strony można wykorzystać jako drugi serwer dhcp router, ale to tylko częściowo ukryje/oddzieli drugą podsieć. Wpisując z palca IP innego sprzętu z innej podsieci będzie widoczny. Co do DHCP to zastanawiam się aby przenieść z synology na serwer windows albo planowany do zakupu RV130/TL-ER6020/TL-R600VPN

Zastanawiałem się nad zrobieniem VLAN(obecnie laik ze mnie w tym temacie), ale wszędzie w tutorialach czy opisach pokazane jest ze każda podsieć jest osobna i każdy ma dostęp do urządzeń w obrębie swojego VLAN-a, a nie mogę znaleźć informacji w kwestii komputera admina, który miał by dostęp do wszystkich urządzeń. Nie jestem specem w temacie VLAN, tak więc proszę o podpowiedź i informacje czym powinien kierować się w doborze switcha. Jeśli napisałem błędnie to proszę od razu nie krytykować ;D tylko wytłumaczyć łopatologicznie ;D.

Jeśli Ktoś ma sugestie lub widzi jakiś błąd w schemacie to bardzo proszę o uwagi - są cenne.

W szczegóły się nie wgryzę, tylko od razu o VLAN: jak chcesz to zrobić dobrze to dokładnie potrzebujesz VLANów. Każda sieć będzie działała dokłądnie jakby była na wydzielonej FIZYCZNIE podsieci, ale podłączone go gniazd urządzenia może "odtagować" i będą kompletnie nieświadome tych VLANów.
Natomiast komputer administracyjny podłączasz do wybranego gniazda - a na nim pozwalasz na ruch WSZYSTKICH VLANów i teraz masz dwie opcje:

  1. Zdejmujesz tagowanie na tym porcie i po prostu widzisz całą sieć (najprościej)
  2. Konfigurujesz sobie kartę sieciową tak, żeby pojawiły się np. jako oddzielne interfejsy sieciowe osobno dla każdego TAGa.
    Wady: 1 - ktoś się może wpiąć za siebie i ma dostęp do wszystkiego; 2 - wymaga więcej zabawy w konfiguracji systemu (nie wiem nawet, czy Windows to potrafi, ale Server na pewno potrafi).

Jest jeszcze jedna dodatkowa sprawa - ja całkiem oddzielam sieć administracyjną switchy i routerów od pozostałych elementów sieci: dzięki temu trudniej się wbić do switchy i im pozmieniać konfigurację.
To jednak wymaga zakupu switcha takiego (są minimalnie droższe zwykle), który pozwala na ustawienie sieci administracyjnej VLAN na id inny, niż 0. Bo niestety ID=0 jest jednocześnie domyślnym identyfikatorem sieci i bez tego każdy wpięty w nieskonfigurowany port od razu ma dostęp do sieci administracyjnej.

Dodatkowo widzę, że masz redundantne połączenia między sieciami (kółka w sieci) - musisz mieć do tego włączoną obsługę budowy drzewa rozpinającego (czy jak się to nazywa), inaczej grozi ci to packet stormem (większość switchy zarządzalnych ma to wbudowane, nie zawsze włączone).
Czy to na pewno potrzebne i celowe? To tylko nadmiarowość, czy masz w tym inny ukryty cel, że pakiet może iść z PEWEX do MARIOLKA bezpośrednio, albo przez KORALA i STEFANA?
Bo takiego kółka nie da się wykorzystać jak w TCP/IP z BGP do wybierania najkrótszej drogi, ani do łączenia w szerszy strumień (bonding), bo to tylko w dwóch równoległych kablach bezpośrednich.
Narysowałeś strzałki kierunkowe, ale ethernet jest zawsze dwukierunkowy, dlatego nie do końca rozumiem cel.

Mamy więc punkt do rozmowy dalej :slight_smile:

Dziękuję za odpowiedź.

Idąc po kolei to co do konfiguracji starał bym się robić konfigurację 2 (konfigurację karty sieciowej)

Przeglądałem ofertę TP-Link i patrząc na cenę mógłbym pokusić się na na zakup T2600G-18TS. Myślę, że będzie to dobre rozwiązanie. Włącznie z ustawieniem konfiguracji VLAN na inne ID niż 0.

Odnośnie nadmiarowości to kładąc jeden kabale 10-30m, nie jest to koszt. Początkowo miałem jeden przewód, który uległ awarii. Zamiast lokalizowanie miejsca uszkodzenia łatwiej i szybciej było położyć nowy. Dodatkowo zanim doczytałem i zastanowiłem od nośnie VLAN, kładąc podwojenie przewody, pomyślałem, aby w każdej lokalizacji zrobić 2 switcha i zrobić fizycznie 2 sieci.

Co do strzałek to tak wiem ;D że przepływ danych jest dwukierunkowy - program rysował strzałki jednokierunkowe ;DD.

Wygląda dobrze, popatrz jeszcze cenowo na alternatywy - Zyxel robi także niezłe switche w tej klasie cenowej. Popatrz na to czy są aktywnie chłodzone (nie wiem jakie masz warunki w szafie) i czy zasilacz jest wbudowany czy zewnętrzny, bo to może mieć znaczenie w twoim przypadku.

Włącznie z ustawieniem konfiguracji VLAN na inne ID niż 0.

Chodziło mi o VLAN administracyjny (zapewniający dostęp do UI/międzymordzia samego switcha przez SSH/HTTP) - tak tylko zaznaczam.

Co do podwójnych kabli - zwróciłem uwagę, zostaw je sobie po prostu na zapas, dobrze opisz. Nie komplikuj za bardzo, żeby przyszłości ułatwić sobie diagnostykę (np. zdalną).

Witam.

Zrobiłem rozeznanie i widzę że w tym przedziale cenowym jest zydel GS1920 -

Mam tylko pytanie. Czym różni się warstwa L2 od L2+. Zyxel w tej samej cenie oferuje switche L2. Natomiast tp-link L2+. Zaletą napewno switch-ów zyxel jest monitoring i konfiguracja w chmurze. Trochę drożej wychodzi CISCO SG250/SG350, gdzie w opisie widniej zarządzanie warstwą L2/L3. Wyczytałem również, że niektóre opisy są mylące gdyż L2+ zapisują jako L3 Basic.

Możesz powiedzieć mi jaka jest różnica między L2 a L2+ czy warto parę groszy dodać i wybrać L2+ czy podarować to sobie.

W wielkiej ogólności switch L3 pozwala na routowanie ruchu pomiędzy VLANami bez pośrednictwa routera głównego. Wątpię, żebyś tego użył w tak małej sieci - zwykle chodzi o odciążanie routera głównego.
L2+ to pewnie jakaś namiastka tego routingu, lub przycięta funkcjonalność pełnego routera.

Dziękuję za wszelkie informacje.

Ostatnie pytanie ;D.

Znalazłem w dość przystępnej cenie ofertę switch-y L3 - CISCO SF300 SF302 - pracujące na warstwie L3 - w cenie 200-400 PLN - używane. Czy w sieci powinien być tylko jeden switch L3 a pozostałe L2, czy mogą być wszystkie L3. Czy konfiguracja jest inna czy to bez znaczenia.

Jak poprawnie skonfigurujesz to możesz mieć dowolną mieszankę. W tak małej sieci routerów L3 po prostu nie potrzeba za wiele.