Reestruturação de sala

Informações sobre conefecção de diagramas, normas e metodologias de projetos de redes.
erso08
Membro Júnior
Membro Júnior
Mensagens: 4
Registrado em: 26 Abr 2010, 15:18

Reestruturação de sala

Mensagem por erso08 » 26 Abr 2010, 15:24

Pessoal,

Acabo de assumir um laboratório onde trabalho e estamos sofrendo com muitos broadcasts na rede. Precisamos diminuir esses problemas e estou precisando de uma idéia. Temos vários laboratórios na escola e um link de internet para a escola inteira. Então, é o seguinte:

No meu lab eu tenho um switch central que recebe os cabos do link de internet e dos outros laboratórios e de cada sala do meu lab. Em cada sala do lab tem um switch.

O grande problema é que nada está segmentado e eu não posso alterar os ips das salas do meu lab, pois estão com regras no squid da escola, ao qual não tenho acesso.

Tenho um Switch L3 sobrando e estou pensando em utilizá-lo como um router enquanto crio vlans no meu atual switch central.

Alguém pode me dar uma idéia melhor?

Obrigado.

ronaldobf
Moderador
Moderador
Mensagens: 328
Registrado em: 28 Jan 2006, 03:34
Localização: Araras/Campinas - SP

Mensagem por ronaldobf » 01 Mai 2010, 10:48

Isso exige realmente uma reestruturação.

O ideal seria, realmente, segmentar sua rede em vlans e aplicar políticas.

Como workaround (gambiarra temporária):

Pode-se fazer um NAT/PAT (Conhecido também como NAT overload) para cada lab ou ambiente em questão, sendo assim, criando uma subnet/vlan para cada ambiente (segmentando a rede). No switch principal, você preservará os endereços da vlan atual, fazendo o NAT para as vlans dos outros ambientes.

Se existirem hosts específicos com regras específicas, como servidores, faça um NAT estático para cada host específico. NAT do IP da nova vlan X.X.X.X para IP original Y.Y.Y.Y no switch principal.

Dessa forma, do ponto de vista do switch core, ele ainda terá apenas a VLAN atual se comunicando com a internet/squid. Através do NAT/PAT, você se comunica com os outros ambientes, que estarão em subnets diferentes.


Se for switch cisco, você pode usar storm-control para limitar broadcasts num nível (%) desejado em relação ao link.

Storm-control:
http://www.cisco.com/en/US/docs/switche ... trafc.html


Pode-se utilizar private vlan, que utiliza uma única vlan e cria sub-domínios (vlans secundárias, dentro da mesma subnet), que podem ou não se comunicar entre si, dependendo se ela é comunity ou isolated vlan. Essa solução, geralmente é aplicada em provedores de internet. (Se você observar o IP e a máscara que o provedor forneceu a você, verá que a subnet permite mais hosts do que apenas o seu. Para manter a segurança, não permitindo que outros hosts se comuniquem uns com os outros, usam private-vlan (isolated vlan).

Para tanto, interfaces comuns a todos os hosts, como o gateway, você configura como promiscuous port.
Para equipamentos que precisam se comunicar entre si na mesma vlan, você cria vlan secundária chamada community vlan.
Por fim, para hosts que não necessitam se comunicar com ninguém, você configura isolated vlan.

Todos se comunicam com a promiscuous port.
Broadcast só é propagado para a promiscuous port (ai, configura-se storm control na promiscuous port).


Private-vlan:
http://www.cisco.com/en/US/docs/switche ... pvlan.html


Se seu switch não é Cisco, acredito que, sem alterar a subnet principal, só com NAT. Se seu switch for cisco, você tem pelo menos as 3 situações acima.


De qualquer maneira, o melhor a ser feito, é reconfigurar tudo, subnetar sua rede, já pensando no crescimento futuro (escalabilidade) e configurar roteamento apropriado.

Regards,
Ronaldo A. Bueno Filho

Responder