0
VLAN o Subnetting?

Solved 7 Respuestas 108 Views
Hola a todos, tengo una red con 110 PCs, 4 Servidores, unos 20 telefonos IP, más algunas notebooks y muchos celulares :S

 

La idea es cambiar esto y mejorarlo porque la subred es /24 y estoy pisando las 200 ips y no quiero que me llegue el día de que todo se muera.

 

En una primera instancia quiero sacar a los celulares de la red, para que no me hagan quilombo, es la primer idea, en los Wifi (3 con OpenWRT) voy a poner 2 ESSID, uno para la parte coorporativa y otro que haga NAT para ese trafico que no me interesa ni controlar, posiblemente con algun limite de velocidad tambien.

 

La duda que tengo es si es mejor usar subnets o hacer VLANs.

 

Lo bueno de las subnets es que entiendo el tema, lo malo es que no es muy profesional.

Lo bueno de las VLANs es que separo el trafico en otra capa, lo malo? es que me siento Jamaica jugando contra Argentina :S

 

Que me conviene más? como sería una buena forma de implementarlo? los usuarios del Wifi podrían ser parte de la VLAN?

 

Sigo leyendo sobre VLANs.

 

gamba47

7 Respuestas

1
Mejor respuesta
Subnetting poco profesional? al contrario, es LA forma de no desperdiciar direcciones IP y controla el volumen de maquinas en cada espacio de direcciones.

Como la mayoria indica aca 'la que va' es subnetting con vlans, lo que recomendaria es que:

1) Trates de separar los switches en acceso y agregacion, con los uplinks como corresponde, si no podes tener un backbone multigigabitt, no permitas que los switches negocien gigabit en el punto de acceso de las PCs, con eso vas a tener un mejor control del volumen de trafico.
2) Usa APs independientes para la red de 'invitados' y corporativa.
3) Ideal seria poder usar switches capa 3, para 'routear' las vlans, entre otros beneficios.
4) Telefonia asegurate de ponerlo en una vlan aparte para poder darle prioridad facilmente a ese trafico, por otro lado si son solo telefonos y no hay video, esos puntos de acceso los podes hacer negociar a 10mb, para audio no necesitas mas que eso.
6) POR EL AMOR DE DIOS USA SPANNING TREE, al menos en los switches de acceso, me lo podes agradecer dps.
7) Te dije que uses spanning tree ya?, bueno,  de verdad, usalo. Si los switches pueden tener acceso cualquiera, usalo  incluso en el nivel de agregacion, ahora si tenes medio controlado el acceso fisico a los switches podes usarlo solo en los de acceso.
8) Y como recomendacion final: usa spanning tree, posta...
respondido por qlixed (10,630 puntos) Jul 2, 2015
seleccionada por edux Ago 14, 2015
1Comentarios
comentado por Gamba47 (4,080 puntos) Jul 21, 2015
@qlixed, prometo usar STP!!! jajajaj

Estoy viendo como hago, ya me dio una mano d3mian con una intro en el IRC, pero no me pude sentar tranquilo sin que me suene el telefono 2 horas como para probar y hacer cagadas tranquilo....

Los telefonos no los voy a poder separar me parece, porque en algunos puestos (por no decir en todos) los mismos son usados como bridge para conectar la PC que comparte el usuario ahí, no me di cuenta de plantear esto al hablar del tema.
Se les ocurre que esto se puede solucionar sin cablear?

Saludos.
gamba47 - Emiliano.
1
Siempre es preferible separarlo fisicamente (respuesta obvia). Pero en mi caso donde no tengo infraestructura disponible uso 2 ESSID con VLAN, una para la corporativa y la otra para navegación de celulares o para algún cliente/visita.
respondido por zingaya (4,480 puntos) Jul 2, 2015
1
No se si no me queda claro a mi, pero si pones vlans necesitas subnets, o sea la ventaja de usar vlans es que podes mandar por el mismo medio fisico diferentes subnets (trunk), sin vlans necesitarias 1 cable por cada subnet. Lo principal de tu escenario es separar el trafico de los celulares, para eso yo no usaria vlans, pero necesitas otro AP. Para mi tu primer pregunta es como subnetear, o sea como agrupas a tus hosts de forma tal que el trafico que tengas que rutear entre subnets sea el minimo, o sea tenes que pensar si tenes un fileshare, una intranet, etc, porque si eso lo pones en otra subnet todo ese trafico tenes que rutearlo. Otro caso es el del VoIP, ese de cajon va a una vlan separada exclusiva. El tema de subnets podes pensarlo por sectores, si tuvieras 'Administracion' 'Ventas' 'Compras' 'Desarrollo' podes darle una subnet a cada uno si es que consolidan una cantidad de hosts que lo amerite.

Tambien tene en cuenta el estado de tu DHCP y si podes mejorarlo ya que estas tocando todo lo otro, agregando una zona de dns interna con reversos y esas cosas automagicas.
respondido por edux (12,550 puntos) Jul 2, 2015
1
Mira, lo que yo haria seria ambas, vlans con subneting

declarar 4 redes

192.168.10/24 --> vlan 10 para desktop / internos

192.168.20.0/24 -->vlan 20 WiFi

192.168.30.0/27 --> vlan 30 servers

obviamente depende los switch que tengas, si tenes varios administrables, joya, llevas las vlan 10 hasta la desktop, la vlan 20 hasta los AP-wifi, y con una ACL simple en el router tenes todo bonito, seguro y ordenado.
respondido por D3mian (540 puntos) Jul 2, 2015
1
Como va,

 Te diría que ambas. Separá en subredes y asociale una subred a cada VLAN, eso va a hacer que te sea más fácil de administrar al momento de armar las reglas de firewall. Porque sino vas a empezar "la VLAN 10 incluía las subredes a b... y también C?". Bah, por lo menos a mi me pasa eso.

Por otro lado, te recomendaría que hagas una VLAN y subred para el tráfico "que no tiene nada que ver con la parte corporativa". Esto es para aislarlo, y ante un ataque quede separado. Osea, simplemente dale internet y listo. No tienen que poder ver la red interna

Otra VLAN y subred para lo que es telefonía, te comento por que me parece. Si vos dejás el tráfico VoIP junto con el tráfico de red, si la red empieza a tener tráfico heavy la voz se te empieza a entrecortar y lamentablemente una cosa es que vos vengas bajando a 500K y tengas un corte de 5 segundos y sigas bajando; pero otra es que vangas hablando y tengas una interrupción en la voz. Osea, el tráfico VoIP, por el tipo de servicio, es un tráfico que tiene que ser fluído. El Asterisk (si es que usás uno) tendría que estar dentro de esta subred, porque si lo ponés en otra subred te suma latencia el paso de paquetes de una interfaz a otra.

Con respecto a la máscara... no te quedes en un /24, Agarrate una /23 o /22. Vas a tener subredes suficientes para armar y varios hosts con subred.
respondido por anónimo Jul 2, 2015
0
No me queda claro porque decis que subnettear es algo "poco profesional".

En definitiva, si lo que pensas es usar CIDR o clases puras, vas a necesitar las dos cosas. O, bien, comprar muchos switches.

Por otro lado, para evitar los celulares (o cualquier otra cosa que quieras evitar) tendrias que pensar en algun esquema de autenticacion para los usuarios que usen WiFi, ya que con un simple password nada los detiene a conectar sus telefonos. Podes usar certificados o algo tipo RADIUS (o su equivalente moderno ;-) ) quitandole la posibilidad de que tengan multiples logins. Un portal cautivo es algo mas simple, pero efectivo para la mayoria.

Yo separaria Desktops, Servers, VoIP y wifi corporativo mas una red de invitados + celulares, cada cual con su VLAN. Si subnettear algo como un 10/8 o usar multiples 192.168/16 depende de vos. Con un /24 creo q estas bien si separas cada una de las redes (te quedarian 140 IPs para los desktops). Si tu salida a Internet esta por debajo de 1GB hacer un trunk con todas las VLANs no estaría mal, despues podes limitar el bandwith por red/subred o protocolo (para lo cual seria fundamental tener los clientes separados en redes diferentes).
respondido por anónimo Jul 2, 2015
1
Vlan y subnet son diferentes capas osi uno es capa 2 y el otro 3

https://es.wikipedia.org/wiki/Modelo_OSI

si haces vlan tenes que hacer subnets diferentes

y si solo haces subnet en la misma vlan no minimizas el trafico

y si tenes problemas en la red de usuarios transferis el problema a la red de los server y telefónia IP
respondido por mrix (930 puntos) Jul 10, 2015
...