Для корректной и надежной работы всей сетевой инфраструктуры компании, рекомендуется разделить сеть на несколько сегментов.
Сегментация поможет значительно уменьшить широковещательный трафик в сети, что значительно уменьшит нагрузку на коммутаторы и маршрутизатор. Мы рекомендуем разграничивать сеть на несколько VLAN для:
– Wi-Fi сети (с разделением на гостевой и служебный Wi-Fi);
– VoIP телефонии (Voice VLAN);
– серверов компании;
– сотрудников компании;
– служебный vlan (для коммутаторов, Wi-Fi точке доступа и другого сетевого оборудования).
Сегодня речь пойдёт о настройке нескольких подсетей в офисе на базе маршрутизатора Mikrotik RB960PGS.
Данная настройка не всегда нужна для малых офисов, но, если Вы планируете расширяться – данную статью стоит использовать как «правило хорошего тона».
Представим, что у нас уже имеется маршрутизатор RB960PGS, в который подключен коммутатор Cisco SB SG250-10P-K9-EU и несколько Wi-Fi точек доступа, подключенный в свитч. Нам необходимо сделать 4 сегмента сети: для пользователей, Wi-Fi клиентов, сервера 1C и служебный для оборудования.
На свитче необходимо настроить транковый порт в котором будет тегированный трафик из 1, 20, 30 и 40 VLAN. После данной настройки – подключаем коммутатор в любой LAN порт Микротик.
Далее подключаемся к маршрутизатору и заходим в раздел Interfaces для создания новых VLAN:
- Нажимаем «+» и выбираем «VLAN».
- В разделе «General», необходимо указать название vlan (лучше так и назвать: vlan 20 или vlan Wi-Fi).
- В поле «VLAN ID» прописываем номер влана.
- И с выпадающего списка «Interface» указываем «bridge».
Таким же образом необходимо создать и другие вланы (в нашем случае это 30 и 40).
После создания всех вланов, все порты маршрутизатора (кроме WAN порта) перейдут в режим trunk, останется только создать DHCP сервер для каждого VLAN и присвоить к нему соответствующий DHCP Pool:
Таким образом, мы сможем разграничить сеть на разные сегменты и подсети.
Без дополнительной настройки Firewall на Mikrotik, доступ в одну подсеть будет открыт из другой, что позволит провести тонкую настройку безопасности.
Пользователи Wi-Fi, которые будут подключены к точкам доступа будут получать IP адреса из одной сети, сервер 1C с другой.
Помимо данного разделения, мы можем настроить остальные порты на коммутаторе в третьем VLAN, что позволит подключать кабелем ПК устройства в 3м сегменте сети.
Такое разделение будет способствовать повышению безопасности сети, позволит разграничить доступы на маршрутизаторе в различные сегменты сети путем настройки FireWall, а также повысит производительность самой сети.
Специалисты компании «Амика» всегда готовы проконсультировать вас по сервисам, услугам и сетевому направлению. Что мы можем:
- Провести аудит существующей сети и, не предлагая лишнего, модернизировать ее;
- Построить беспроводную сеть, в том числе и специфическую – с высокой плотностью клиентов, для локации клиентов внутри помещения, распределённую беспроводную сеть (единая беспроводная сеть в филиалах), радиолинк на несколько километров;
- Построить WAN-сеть для объединения филиалов в единую сеть предприятия (Cisco DMVPN, Cisco IWAN, HP DVPN);
- Внедрить систему безопасности на базе видеонаблюдения, построить систему видеоаналитики, распознавания номеров, подсчет посетителей;
- Внедрить IP-телефонию, call-центр и систему экстренного оповещения;
- Внедрить видеоконференцсвязь и решения для веб-конференций (Сisco Telepresence, Cisco WebEx, Polycom);
- Внедрить специализированные решения – для монетизации Wi-Fi, для аналитики ПО работающего в сети и для централизованного управления сетью.
Бесплатную консультацию вы можете получить, обратившись к нам по телефону +38 044 355-07-70 или по адресу network@amica.ua.
