Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Требование сегментации VLAN, обход неблагоприятного плохого дизайна сети

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Теория
  4. Пример
  5. Применение

Вопрос или проблема

Пожалуйста, обратитесь к изображению.

Эта сеть была одним большим бардаком, работающим на native vlan 1, все устройства в LAN/сети находились в той же области широковещания. Теперь они хотят внедрить новую беспроводную сеть в складе с сегментированием VLAN. Я настроил ее правильно, однако, чем больше я разбираюсь в этой сети, тем хуже она выглядит.

Устройства, подключенные к новой WLAN, должны отправлять свой трафик через IPSEC-туннель на объект клиента. Пограничное устройство с нашей стороны — это sonicwall. Точки доступа и L3-коммутация на нашем складе — это все оборудование ubiquiti/Unifi. Поймите, что склад с нашей стороны расположен отдельно от корпоративного штаба/стойки, где находится пограничный маршрутизатор/sonicwall. Так что, хотя наш склад с оборудованием ubiquiti доволен и работает нормально, восходящий канал от него упирается в стену, и никто не знает, куда он идет, прежде чем попасть в серверную комнату в корпоративной штаб-квартире (неопределенное количество L2 “прыжков” или коммутируемых интерфейсов проходит между складом ubiquiti и x0 на sonicwall (единственный маршрутизируемый интерфейс)).

Я начал раскручивать и отслеживать соединения между sonicwall и складом, но это огромный беспорядок. Там 4+ коммутатора Cisco SMB L3, каждый интерфейс которых настроен как trunk с разрешенными VLAN (нет портов доступа). Единственный способ, которым это работало раньше, заключался в том, что все было на native vlan 1.

Я попытался добавить мой новый VLAN ко всем интерфейсам Cisco как еще один разрешенный VLAN (55, TAGGED), но я все еще не могу пинговать субинтерфейс с устройства, подключенного к оборудованию Ubiquiti на складе.

Какие-нибудь идеи? Оборудование ubiquiti должно уметь обрабатывать трафик на native vlan 1, но также предоставлять SSID для новой беспроводной сети с использованием vlan 55 и отдельной/новой сети (10.1.55.0/24).

Диаграмма:

введите описание изображения здесь

Ответ или решение

Теория

Разбиение сети на VLAN (Virtual Local Area Network) предоставляет гибкость и улучшенное управление трафиком путем логического разделения сети на изолированные сегменты. Это особенно важно для обеспечения безопасности, управления трафиком и увеличения производительности. Однако, чтобы такая сегментация работала эффективно, необходима грамотная настройка сети. В текущем сценарии сеть столкнулась с неудачными проектными решениями, где вся инфраструктура базировалась на единственной широковещательной домене – VLAN 1. Это драматически осложняет внедрение новых сетевых решений, в частности, на базе VLAN.

Пример

Ситуация подобна офису, где все сообщения отправляются в общую почту, и сотрудники сами разбирают, что из них относится к ним. Такой подход приводит к загромождению канала и снижению эффективности. VLAN позволяет "создать отдельные почтовые ящики" для каждой группы или отдела, что предполагает более ясное разделение и управление.

Применение

Для исправления текущей ситуации и настройки новой беспроводной сети на базе VLAN 55, необходимо предпринять следующие шаги:

  1. Технический аудит сети:

    • Детально проследить и задокументировать настоящее состояние сети, в том числе физические и логические подключения между узлами от склада до корпоративной штаб-квартиры. Это поможет идентифицировать возможные узкие места и конфигурационные ошибки.

  2. Оптимизация конфигурации коммутаторов:

    • Убедиться, что все L3 Cisco коммуникаторы корректно обработают трафик VLAN 55. Для этого необходимо проверить конфигурацию всех транковых портов и убедиться, что VLAN 55 добавлен как "тегированный" в список разрешенных VLAN.
    • Проверьте наличие на каждом коммутаторе декларации соответствующих маршрутов к сети (VLAN 55) на всех соответствующих интерфейсах.

  3. Настройка Ubiquiti оборудования:

    • В интерфейсе UniFi контроллера, определите SSID, который будет использовать VLAN 55, и убедитесь, что теги VLAN правильно установлены в настройках WLAN.
    • Подтвердите, что устройства Ubiquiti поддерживают работу одновременно на Native VLAN 1 и VLAN 55, и что маршруты открыты и корректны.

  4. Тестирование и отладка:

    • После всех конфигурационных изменений, проведите тестирование сети. Убедитесь, что возможно пинговать субинтерфейсы из устройств, подключенных через оборудование Ubiquiti.
    • Если пинг не работает, проверьте:
      • Правильность настройки IP на устройстве (IP-адрес из 10.1.55.0/24 для VLAN 55).
      • Недостающие маршруты или ACL (списки управления доступом), которые могут блокировать трафик.

  5. Установка IPsec VPN:

    • Убедитесь, что SonicWall настроен для маршрутизации трафика из VLAN 55 через IPsec туннель. Перепроверьте настройки политики VPN, чтобы они охватывали новый IP-пул.
    • Проверьте, что на стороне клиента установлен правильный IPsec туннель, соответствующий конфигурации SonicWall.

  6. Мониторинг и документация:

    • Включение мониторинга сети для отслеживания подозрительного или аномального трафика.
    • Документация всей новой конфигурации для упрощения дальнейшего технического обслуживания и развертывания сетевых компонентов.

Следуя данным рекомендациям, можно ожидать успешной интеграции VLAN 55 и бесперебойной работы новой сети. Несмотря на сложившуюся сеть, аккуратное планирование и грамотная настройка поможет устранить узкие места и существенно улучшить сетевое окружение.

networking sonicwall ubiquiti unifi vlan
Оцените материал
Добавить комментарий

Капча загружается...

© 2025 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности