@Depresnak
Сисадмин

Как избежать широковещательного трафика в сети?

Здравствуйте имеется управляемый коммутатор 2 уровня и mikrotik в качестве шлюза. Нужно ограничить друг от друга сеть с пк и принтерами, сеть с камерами и сеть с телефонией. Телефоны ip-шные имеющие двойной порт (VLAN`ами разграничить уже не получится, так как пк и телефон воткнуты в 1 порт). Как избежать широковещательного трафика в данном случае и как правильнее разграничить сети?
  • Вопрос задан
  • 221 просмотр
Решения вопроса 1
1. На портах коммутатора с телефонами делаешь vlan компьютеров untagged, а vlan телефонов tagged.
2. Выставляешь нужный vlan в телефоне.
Profit
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
@d-stream
Готовые решения - не подаю, но...
Я бы начал с вопроса - а насколько велик этот широковещательный трафик, что с ним надо бороться? )

А так - да:
телефоны в отдельный vlan (как правило двухпортовые умеют разделять тегированный трафик на "для себя" и "для подключенного следом девайса")
принтеры в отдельный vlan (или даже vlan'ы) и доступ к ним только серверу печати, а пользовательским устройствам - доступ только к серверу печати.
Исключение - МФУ, которые используются как сканеры.
Ответ написан
С помощью активного коммутатора с поддержкой L3, если с бюджетом повезёт взять маршрутизатор, разнести всё по разным подсетям: телефония отдельно с её безобразием по UDP; наблюдение отдельно; бухгалтерия с её банклиентами и отчётностью отдельно (тут безопасность); можно разнести некоторые отделы по личному усмотрению. Помимо разограничения потоков сетевого трафика получаешь удобство в в локализации некоторых проблем и бонус в безопасности.
Разограничение по широковещательным доменам лучше делать по уму, разнеся домены по разным подсетям, а не VLAN-ам. Потому как VLAN (802.1q) не более чем костыль, работающий на канальном уровне
5a7b843fd279a784560439.png
С его заморочками tag и access.
Если будешь покупать маршрутизатор, бери лучше железный (хардовый), а не программный (софтовый) всякие Микротики и *-линки. Программные при нагрузках начинают хорошо сдавать. В качестве примера самая простая модель (без VPN, DMZ) модель Cisco-ASA 55** (** модель в зависимости от скорости и количества портов).
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через TM ID
Похожие вопросы