Tīkla segmentācija bez VLAN: praktisks eksperiments mājas tīklā

Runājot par tīkla segmentāciju, parasti pirmais risinājums ir VLAN.
Taču praksē mājas vai nelielā laboratorijas vidē VLAN bieži nav pieejams:
nav atbilstoša slēdža, maršrutētājs neatbalsta 802.1Q vai konfigurācija ir nesamērīgi sarežģīta.

Šajā rakstā aprakstu praktisku pieeju, kā uzlabot tīkla kvalitāti un stabilitāti, neveidojot VLAN, bet tomēr panākot funkcionālu segmentāciju.

Sākuma situācija

Tīkls sākotnēji bija plakans:

  • viens maršrutētājs;
  • visi klienti vienā apakštīklā;
  • vadi un Wi-Fi kopā;
  • datori, telefoni, IoT, testēšanas ierīces, serveri.

Simptomi bija klasiski:

  • neregulāri aiztures pīķi;
  • Wi-Fi klientu ietekme uz LAN ierīcēm;
  • DNS laika nobīdes;
  • subjektīvi — “tīkls reizēm kļūst smagnējs”.

Mērķis

Bez VLAN un bez jauna profesionāla aprīkojuma:

  • izolēt trokšņainas un eksperimentālas ierīces;
  • aizsargāt galvenās ierīces (LAN datori, telefoni);
  • saglabāt vienkāršu topoloģiju;
  • iegūt izmērāmu kvalitātes uzlabojumu.

Pamatideja

Segmentācija nav obligāti VLAN.
Segmentācija ir kontrolēta satiksmes atdalīšana.

Izvēlētais princips:

Otrs maršrutētājs kā loģisks slānis starp ierīču grupām.

Realizācija

1. Divas loģiskas zonas

Zona A – pamata tīkls

  • LAN datori
  • galvenie mobilie telefoni
  • stabilitātei kritiskas ierīces

Zona B – sekundārā vide

  • Android ierīces testiem
  • serveri uz DietPi
  • kameras
  • eksperimenti
  • servisi ar augstu fona aktivitāti

2. Otra maršrutētāja izmantošana

Otrs maršrutētājs tika pieslēgts aiz galvenā:

  • atsevišķs IP apakštīkls;
  • NAT starp zonām;
  • savs DHCP;
  • savs Wi-Fi.

Rezultāts:

  • Zona B kļuva “pašpietiekama”;
  • fona satiksme vairs netraucēja Zonai A;
  • kļūdas un restarti neizplatījās visā tīklā.

3. Wi-Fi klientu nošķiršana

Būtisks novērojums:

Tieši Wi-Fi ierīces rada visvairāk neprognozējamas slodzes.

Pārvietojot tās uz sekundāro maršrutētāju:

  • LAN latentums kļuva stabilāks;
  • pazuda īslaicīgi DNS timeout;
  • samazinājās retranslācijas.

Kas netika darīts

  • Netika izmantots VLAN.
  • Netika ieviesti sarežģīti ugunsmūra noteikumi.
  • Netika mainīts galvenais slēdzis.

Tas bija apzināts dizaina lēmums.

Novērotais efekts

Pēc segmentācijas:

  • stabilāka reakcija LAN datoros;
  • mazāk “mikrolagu” video un audio straumēšanā;
  • Wi-Fi problēmas vairs neietekmē LAN;
  • kļūdas kļuva lokalizētas, nevis globālas.

Svarīgi:
uzlabojums bija jūtams pat bez precīziem mērījumiem.

Secinājumi

  1. VLAN nav vienīgais veids, kā segmentēt tīklu.
  2. Pat vienkārša topoloģijas maiņa var būtiski uzlabot kvalitāti.
  3. Mājas tīklā galvenais ienaidnieks bieži ir nekontrolēts Wi-Fi.
  4. Segmentācija ir domāšanas veids, ne tikai tehnoloģija.

Kam tas der

  • mājas laboratorijām;
  • pašmācības projektiem;
  • nelielām infrastruktūrām;
  • gadījumiem, kad “nav ideālā aprīkojuma”.

Leave a Reply