Добрый день друзья!Пришёл в организацию, где сеть построена плоская, без VLAN'ов. ПК порядка 200, и ещё всякие сетевые устройства.
Сеть построена на управляемых L2 коммутаторах, но используются они просто как свичи. Центр сети - маршрутизатор микротик.
В сети несколько подсетей - организованых просто статическими адресами, с маршрутизатором сежду ними - вышеуказанным микротом.Собственно решил я реорганизовать это хозяйство и нарезать на VLAN'ы. И собственно весь вопрос в том, как бы это безболезненней сделать. Подскажите пожалуйста рабочую схему.
Пока придумал так: Начать с микрота, на нём поднять все VLAN'ы, но единственный порт в который входит вся остальная сеть - access'ом для одного из поднятых VLAN'ов. И на этом влане повесить текущий DHCP. Таким образом для сетки вроде как ничего не изменится.
Далее на коммутаторе с которого идёт этот один путь на микрот - этот порт и соответствующий порт микрота переделать в транк, а все остальные порты коммутатора в ACCESS для того же самого VLAN'а.
А уж потом порты в зависимости от оборудования за ними переводить в соответствующие VLAN'ы ACCESS'ы и транки. Рабочая ли схема? И как вы бы подошли?
> А уж потом порты в зависимости от оборудования за ними переводить в
> соответствующие VLAN'ы ACCESS'ы и транки. Рабочая ли схема? И как вы
> бы подошли?Я у себя дома недавно делал штук 5 виланов для умной нечисти и тоже на микротах (CRS свитчи, hexS - роутер) и тоже при наличии сети без виланов. В микротиках есть настройка пропускать пакеты без виланов или с неправильными виланами. Просто сделайте так и поэтапно настраивайте. Когда всё настроете и трафик через неправильные маршруты станет нулевым, установите на транках строгое выполнение настроек виланов.
> Я у себя дома недавно делал штук 5 виланов для умной нечисти
> и тоже на микротах (CRS свитчи, hexS - роутер) и тоже
> при наличии сети без виланов. В микротиках есть настройка пропускать пакеты
> без виланов или с неправильными виланами. Просто сделайте так и поэтапно
> настраивайте. Когда всё настроете и трафик через неправильные маршруты станет нулевым,
> установите на транках строгое выполнение настроек виланов.Спасибо за совет!
Примерно так и сделал. Т.е. все VLAN'ы описал на всех коммутаторах, в транках их оформил, но 1-ый тоже пока в них пропускается. И уже потихоньку порты на коммутаторах перевожу для соответствующих групп в Access.
Для начала бы я изучил вопросы что такое VLAN, как они реализуются... И после этого бы осознал что не бывает eth-сети без VLAN... :)
> Для начала бы я изучил вопросы что такое VLAN, как они реализуются...
> И после этого бы осознал что не бывает eth-сети без VLAN...
> :)Вы председатель в обществе зануд?:)
Да вы правы, но ваше замечание не поможет решить проблему
и вообще к ней не относится
>> Для начала бы я изучил вопросы что такое VLAN, как они реализуются...
> Да вы правы, но ваше замечание не поможет решить проблемуВообще-то - поможет. Скажу более - без моего совета проблема нерешаема.
Работает - не трогай.
> Работает - не трогай.Не тот случай. Неужели серьёзно уверены что 200+ ПК, видеонаблюдение, IP телефоны и парк серверов в плоской сети разграниченной лишь подсетями, перемещение между которыми легко производится просто прописыванием вручную соответствующих IP/МАСКИ- это то, что не надо трограть пока работает?
А когда случится "ПЕРЕСТАЛО РАБОТАТЬ", мне что предполагается делать? Увольняться? :)
> А уж потом порты в зависимости от оборудования за ними переводить в
> соответствующие VLAN'ы ACCESS'ы и транки. Рабочая ли схема? И как вы
> бы подошли?Данная схема рабочая, но начинать нужно с дизайна сети.Если на свитчах порты вперемешку заняты между пользователями и другими устройствами, то задача "выделить один VLAN на один свитч" не получится.
А для выделения N vlan на свитчах нужно иметь под боком готовую схему с распрделнием vlan.
Второй момент - VLAN 1. Его как привило выводят в VLAN управления свитчами и закрывают acl от остальных.
> Данная схема рабочая, но начинать нужно с дизайна сети.Если на свитчах порты
> вперемешку заняты между пользователями и другими устройствами, то задача "выделить
> один VLAN на один свитч" не получится.
> А для выделения N vlan на свитчах нужно иметь под
> боком готовую схему с распрделнием vlan.
> Второй момент - VLAN 1. Его как привило выводят в VLAN управления
> свитчами и закрывают acl от остальных.Да, что начинать надо с построения и документирования существующей схемы сети - это я понимаю. Чем до этой недели и занимался документацией L1. Сейчас собственно начал нарезать VLAN'ы и сразу L2/L3 документирую.
То что вперемешку и видеонаблюдение и телефоны и пользователи - это да. Есть проблема. В плане управляемого оборудования - есть ядро сети на L3 коммутаторах, на нём все VLAN'ы и межкоммутаторные транки прописал. Один отдел выделил в свой VLAN. Всё нормально.
А вот есть несколько кусков сети, откуда в управляемое ядро линк по оптике или меди приходит, но в самом этом куске уже все на неуправляемом оборудовании, и там как раз и видео и телефоны и пользователи. Так что сейчас эти куски также оборудую управляемыми железками и их причешу.
У меня такой вот вопрос: Насколько детально имеет смысл упарываться в разделении по VLAN'ам? Условно, надо ли отделять БУХОВ/МЕХАНИКОВ/МАНАГЕРОВ/ДИРЕКТОРОВ/АЙТИШНИКОВ? Ну Айтишников понятно надо для доступа к сетевому оборудованию, а вот стандартные офисные группы сотрудников стоит делить?
>[оверквотинг удален]
> отдел выделил в свой VLAN. Всё нормально.
> А вот есть несколько кусков сети, откуда в управляемое ядро линк по
> оптике или меди приходит, но в самом этом куске уже все
> на неуправляемом оборудовании, и там как раз и видео и телефоны
> и пользователи. Так что сейчас эти куски также оборудую управляемыми железками
> и их причешу.
> У меня такой вот вопрос: Насколько детально имеет смысл упарываться в разделении
> по VLAN'ам? Условно, надо ли отделять БУХОВ/МЕХАНИКОВ/МАНАГЕРОВ/ДИРЕКТОРОВ/АЙТИШНИКОВ?
> Ну Айтишников понятно надо для доступа к сетевому оборудованию, а вот
> стандартные офисные группы сотрудников стоит делить?Я думаю стоит.
отдельный влан для телефонии, отдельный для видео, отдельный для каждого отдела.
Чем более сегментированная ваша сеть будет - тем проще выявлять проблемы.
Если у вас несколько зданий в которых работают одинаковые отделы, вы можете выделить отдельный пул вланов для каждого. Но тут также не стоит переусердствовать с количеством иначе запутаетесь в итоге.
Ваша сеть должна быть понятной.
> Собственно решил я реорганизовать это хозяйство и нарезать на VLAN'ы.Для чего? Цель изменения какая?
> Пока придумал так: Начать с микрота, на нём поднять все VLAN'ы,
А начать нужно с реальных задач бизнеса и проблем организации.
> И как вы бы подошли?
Для начала, отключил бы вам доступ на консоли сетевого железа.
Вторым этапом отправил бы вас на курсы повышения квалификации (ну или как минимум купил бы доступ к какой-нибудь образовательной платформе).
Потому что вносить изменения в работающую сеть на основе советов с форума это приговор.
> Для чего? Цель изменения какая?Что значит цель какая? Построить правильно оформленную сеть. С чётким управлением чего и кому можно и нужно.
> А начать нужно с реальных задач бизнеса и проблем организации.
Защищённость сети - не задача бизнеса? Когда охранник приносит в свою камору роутер и просто с его помощью раздаёт себе на телефон интернет, хотя казалось бы ему туда заходит линк лишь только для видеонаблюдения. Чтобы пользователи не строили то, что им показалось необходимым, а пользовались только тем, что подразумевается компанией.
> Для начала, отключил бы вам доступ на консоли сетевого железа.
Любо дорого смотреть на таких вот высокомерных людей.
> Вторым этапом отправил бы вас на курсы повышения квалификации (ну или как
> минимум купил бы доступ к какой-нибудь образовательной платформе).Ну насчёт обучения - я завсегда за, так что как активная фаза причёсывания сети закончится, вполне себе может и воспользуюсь советом получить корочки.
> Потому что вносить изменения в работающую сеть на основе советов с форума
> это приговор.Вот так безапелляционно заявлять что-то граничащее с оскорблением собеседнику на основе лишь одного его сообщения на форуме с просьбой консультации - это как мне кажется гораздо более суровый приговор.
Я просто консультируюсь с профессионалами, чтобы свои мысли перед совершением ответственных шагов - сверить с людьми более грамотными. Для чего собственно технические форумы и предназначаются, а уж никак не для того чтобы тешить своё ЧСВ.
>> Для чего? Цель изменения какая?
> Что значит цель какая?
> Построить правильно оформленную сеть.
> С чётким управлением чего и кому можно и нужно.Вот с этого момента можно дальше не продолжать. "Правильно оформленная сеть" как вы выразились, это сферический конь в вакууме. Более того, я думаю вас наняли сеть обслуживать, а не строить.
>> А начать нужно с реальных задач бизнеса и проблем организации.
> Защищённость сети - не задача бизнеса? Когда охранник приносит в свою камору
> роутер и просто с его помощью раздаёт себе на телефон интернет,
> хотя казалось бы ему туда заходит линк лишь только для видеонаблюдения.
> Чтобы пользователи не строили то, что им показалось необходимым, а пользовались
> только тем, что подразумевается компанией.Ответьте себе на вопрос, как именно сегментация сети поможет решению кейса, что вы привели выше.
>> Для начала, отключил бы вам доступ на консоли сетевого железа.
> Любо дорого смотреть на таких вот высокомерных людей.Вы задали конкретный вопрос, я дал конкретный ответ.
Вам не нравиться ответ - так бывает.
>> Вторым этапом отправил бы вас на курсы повышения квалификации (ну или как
>> минимум купил бы доступ к какой-нибудь образовательной платформе).
> Ну насчёт обучения - я завсегда за, так что как активная фаза
> причёсывания сети закончится, вполне себе может и воспользуюсь советом получить корочки.Не стоит путать корочки и получение знаний. Ваша фраза в переводе на русский язык звучит примерно так: "Я сейчас быстренько сделаю операцию на мозге, а потом _может быть_ пойду поучусь в медицинский институт".
>> Потому что вносить изменения в работающую сеть на основе советов с форума
>> это приговор.
> Вот так безапелляционно заявлять что-то граничащее с оскорблением собеседнику на основе
> лишь одного его сообщения на форуме с просьбой консультации - это
> как мне кажется гораздо более суровый приговор.Если кажется, нужно креститься.
> Я просто консультируюсь с профессионалами, чтобы свои мысли перед совершением ответственных
> шагов - сверить с людьми более грамотными.Вы в другую сторону эту ситуацию разверните. Кто вам сказал что люди (включая меня), сидящие на это форуме, профессионалы ? Кто вам сказал что они "хотят как лучше"?
> Для чего собственно технические форумы и предназначаются,
> а уж никак не для того чтобы тешить своё ЧСВ.Каждый использует форум как ему нравиться, до момента пока соблюдает правила поведения.
Написание ответов на такого рода вопросы, берет очень много времени. Когда я пишу их, я очень надеюсь что прочитав это, хотя-бы один из 10 пионеров с горящими глазами задумается. Сядет за книжки (видео курсы) и разберется в базовых основах систем ДО того как начать вносить изменения.
> Более того, я думаю вас наняли сеть обслуживать, а не строить.Ах, вы думали? Вы, значит, иногда думаете? Вы мыслитель. Как ваша фамилия, мыслитель? Спиноза? Жан-Жак Руссо? Марк Аврелий?
Если что, это просто уместная в данном случае цитата из классики.> Ответьте себе на вопрос, как именно сегментация сети поможет решению кейса, что
> вы привели выше.Я сомневаюсь с этого момента уже в ваших способностях. VLAN сегменту для видеонаблюдения запрещён на роутере доступ в интернет? Не вариант?
> Вы задали конкретный вопрос, я дал конкретный ответ.
> Вам не нравиться ответ - так бывает.Мне вот тЬся в данном случае гораздо больше не нравится. Всё просто на самом деле, где собираетесь писать -тся или -ться, просто задайте вопрос: Что делатЬ? Значит -ться, Что делает? Значит -тся.
> Не стоит путать корочки и получение знаний. Ваша фраза в переводе на
> русский язык звучит примерно так: "Я сейчас быстренько сделаю операцию на
> мозге, а потом _может быть_ пойду поучусь в медицинский институт".Вы наверное и по СМС гадаете и судьбу предсказываете.
> Вы в другую сторону эту ситуацию разверните. Кто вам сказал что люди
> (включая меня), сидящие на это форуме, профессионалы ? Кто вам сказал
> что они "хотят как лучше"?Тут вы полностью правы. На основе беседы с вами, вас я в качестве профессионала не рассматриваю.
> Каждый использует форум как ему нравиться, до момента пока соблюдает правила поведения.
Да, а вот если б правила грамматики требовалось соблюдать, то вас бы точно с вашими режущими глаза -ться уже забанили везде.
> Написание ответов на такого рода вопросы, берет очень много времени. Когда я
> пишу их, я очень надеюсь что прочитав это, хотя-бы один из
> 10 пионеров с горящими глазами задумается. Сядет за книжки (видео курсы)
> и разберется в базовых основах систем ДО того как начать вносить
> изменения.Вы вообще ничего дельного кроме своих "фи" в этой ветке не написали. А вот своего эго тут навыставляли, как будто в одиночку вагоны разгружали. Как же это называется....? А! Газифицирование луж, в этом вы похоже профессионал!
> Да, а вот если б правила грамматики требовалось соблюдать, то вас бы
> точно с вашими режущими глаза -ться уже забанили везде.Это безусловно самое главное :)
По делу же сказать нечего :)
>> Да, а вот если б правила грамматики требовалось соблюдать, то вас бы
>> точно с вашими режущими глаза -ться уже забанили везде.
> Это безусловно самое главное :)
> По делу же сказать нечего :)А что плохого в отделении L2 уровней для видео, телефонии, управления и собственно корпоративной локалки, что используется в рабочих процессах?
По мне так правильная задумка, L2 отделён, L3 стерминирует на маршрутизаторе и там всё зарежет кому чего и куда можно и нельзя.
>[оверквотинг удален]
> Пока придумал так: Начать с микрота, на нём поднять все VLAN'ы, но
> единственный порт в который входит вся остальная сеть - access'ом для
> одного из поднятых VLAN'ов. И на этом влане повесить текущий DHCP.
> Таким образом для сетки вроде как ничего не изменится.
> Далее на коммутаторе с которого идёт этот один путь на микрот -
> этот порт и соответствующий порт микрота переделать в транк, а все
> остальные порты коммутатора в ACCESS для того же самого VLAN'а.
> А уж потом порты в зависимости от оборудования за ними переводить в
> соответствующие VLAN'ы ACCESS'ы и транки. Рабочая ли схема? И как вы
> бы подошли?Есть возможность составить текущую карту сети?
И карту какую ты желаешь видеть.
> Есть возможность составить текущую карту сети?
> И карту какую ты желаешь видеть.Прямо вот сегодня последний сегмент с серверами загнал в VLAN.
Карту сети составлял по ходу знакомства и реорганизации.
Сейчас есть исчерпывающая L1 схема сети, какие коммутаторы с какими связаны, и т.п. остальное управляемое оборудование.
Также полностью по ходу переформатирования сетки описывал всю L2 схему построения. Какие порты в коммутаторах ACCESS'ы, какие TRUNK'и. Всё чётенько и аккуратно оформлено.
Вот L3 выглядит довольно куцо, т.е. просто подсети в VLAN'ах и список адресов узловых сетевых устройств в сегментах.Итог этой ветки обсуждения: Проведена большая и нужная работа. В предприятии которая работает 24/7 в разных регионах страны, в течение месяца я реорганизовал сеть, оформил все коммутаторы, где надо докупили и заменили управляемыми старые неуправляемые. По одному нарезал сегменты, всё аккуратно запланировав, чтобы условно временные трудности в момент выделения сегмента были лишь у самого сегмента, до момента ipconfig /release, ipconfig /renew ну или там с вариациями.
По сегментам оформлена матрица доступа, т.е. кому с кем можно сообщаться.
По итогу - я доволен собой, в конторе довольны моими изначально заявленными целями и теперь их успешной реализацией, моё ЧСВ также очень довольно :)
Было:Всё просто и понятно, воткнул-работает. Сеть может обслуживать любой человек, способный вбить IP адрес в винде.
Проблемы с сетью редки и решаются за 5 минут в среднем - перезагрузкой подвисшего железа. Что может произойти с неуправляемым свичом? Да ничего. Сгорит разве что - раз в сто лет.Стало:
Чтобы обслуживать сеть, нужно читать документацию и быть специалистом с опытом настройки сетевого оборудования. Есть риск возникновения граблей с адресацией и маршрутизацией, не решаемых за рабочий день. Издержки при увольнении и найме новых сотрудников - требуется ознакомление с документацией и поддержание ее в актуальном состоянии.
Умные железки частенько тупят на уровне отдельных портов и проблемы сложно диагностируются. Еще он требуют обновления прошивок... Чтобы не путаться в конфигах, вам понадобится конфигохранилище... Монитоооринг...Работать вам теперь есть с чем, в общем.
> Было:
> Всё просто и понятно, воткнул-работает. Сеть может обслуживать любой человек, способный
> вбить IP адрес в винде.
> Проблемы с сетью редки и решаются за 5 минут в среднем -
> перезагрузкой подвисшего железа. Что может произойти с неуправляемым свичом? Да ничего.
> Сгорит разве что - раз в сто лет.Всё в целом описано правильно. Так оно и было. Только вот вы описали положительные моменты проистекающие из "просто и понятно". А ведь существуют и проблемные стороны такой "простоты и понятности":
- принципиальная невозможность отделить сервера от пользователей. Серверов физических около 15 штук, с виртуальными - штук 30. На каждом свои сервисы.
- принципиальная невозможность разграничить доступ к сервисам для отдельных типов пользователей. IPMI, SMB, 1C, SQL, AD - всё в одном чистом поле со всеми пользователями, которые делают на своих компах что захотят.
- принципиальная невозможность локализовать распространение всяких вредоносов сегментом начального заражения. Все в чистом поле, так что сгорел сарай - гори и хата. И я это не просто так говорю, меня туда когда устраивали, рассказали о нескольких произошедших вирусных атаках, когда всё накрылось вплоть до серверов. Гарантии 100% нет, но стремиться повышать защищённость - это важней чем иметь возможность рулить хозяйством без особого опыта.
- потенциальные широковещательные шторма убивающие всю сеть. Тут я с этим не столкнулся, а у сотрудников не спрашивал - были ли проблемы с широковещательным трафиком прежде, но на этапе моей трудовой карьеры, когда обслуживаемая мной организация разрослась, а сегментирования не было, и я отхватывал на протяжении недели то там, то тут отваливающуюся сеть из за широковещательного траффика - меня научило новому, и принесло понимание того что на определённом этапе роста сети, её необходимо разбивать на сегменты. Иначе отхватишь себе геморроя.
> Стало:
> Чтобы обслуживать сеть, нужно читать документацию и быть специалистом с опытом настройки
> сетевого оборудования. Есть риск возникновения граблей с адресацией и маршрутизацией,
> не решаемых за рабочий день. Издержки при увольнении и найме новых
> сотрудников - требуется ознакомление с документацией и поддержание ее в актуальном
> состоянии.
> Умные железки частенько тупят на уровне отдельных портов и проблемы сложно диагностируются.
> Еще он требуют обновления прошивок... Чтобы не путаться в конфигах, вам
> понадобится конфигохранилище... Монитоооринг...Тоже верно. Но документация сети должна быть вне зависимости от того насколько сложно она организована. А то ведь мы же знаем что основная проблема человека "не в том, что он смертен, а в том, что он внезапно смертен" (с) Булгаков.
И вот в случае когда сетка без "усложнений" и без "документации", а Аннушка уже пролила масло... И что придётся делать новому специалисту? IP адреса серверов? Роли? Пароли, явки? Реквизиты всяких точек доступа, роутера?
Документация нужна в любом случае, хоть простая сеть на 5 ПК, хоть на 500.Всех сотрудников по ходу реорганизации сети, я вводил в курс дела, они понимают что делалось и зачем, так что на крайняк подхватить на каком-то уровне поддержку всего, да к тому же с описанием всего этого, т.к. я это всё документировал - смогут. А ещё и сами профессионально в некотором смысле подросли, так что я можно сказать сподвиг их на некоторый шаг выше в профессии подняться, это дорогого стоит. А то ведь можно так и просидеть в простых комфортных условиях до 40+, а потом почуствовать что бегать по пользователям переустанавливать програмки да принтеры подключать - уже не охота, а на оторванную от пользователей должность управления серьёзной сетью - опыта нет, и мозги уже очень привыкли к "простому и понятному".
По поводу что управляемые железки требуют ухода и поддержки и пр. Тут у меня как раз та самая простота: Всё что от умных железок надо - это просто L2 нарезка. Ну ещё несколько ACL для изоляции отдельных сегментов. Никаких петель, мониторинг всего на zabbix заведён. На самом деле это не какой-то уровень жырного ынтырпрайза, а достаточный уровень для грамотного построения данной сети.
И железок не так много чтобы надо было вести конфигохранилище :) Но я об этом подумаю :)> Работать вам теперь есть с чем, в общем.
Тоже верно, но не с точки зрения что "проблем стало не меньше, просто они стали сложней", а с точки зрения "для управления этим хозяйством требуется специалист соответствующего уровня, с определённым уровнем оплаты".
Так что: "Работайте братья!" (с) Герой РФ
> Пока придумал так: Начать с микрота, на нём поднять все VLAN'ы, но
> единственный порт в который входит вся остальная сеть - access'ом для
> одного из поднятых VLAN'ов. И на этом влане повесить текущий DHCP.
> Таким образом для сетки вроде как ничего не изменится.
> Далее на коммутаторе с которого идёт этот один путь на микрот -
> этот порт и соответствующий порт микрота переделать в транк, а все
> остальные порты коммутатора в ACCESS для того же самого VLAN'а.
> А уж потом порты в зависимости от оборудования за ними переводить в
> соответствующие VLAN'ы ACCESS'ы и транки. Рабочая ли схема? И как вы
> бы подошли?По итогу проведённых мероприятий сам тут и отвечу на свой вопрос:
Лучше не загонять сперва всё в какой-то VLAN, более того, как кто-то тут уже озвучил - VLAN хоть какой-то всегда есть.Лучше для нарезки по сегментам:
1. Сперва на всех коммутаторах и маршрутизаторе создать предполагаемые к реализации VLAN'ы. (не назначая их пока портам)
2. Далее все межкоммутаторные линки оформить в транки. С разрешённым native vlan'ом. Чтобы всё не выделенное в VLAN продолжало работать как раньше.
3. Сформировав понимание того на каком коммутаторе какие конечные сегменты будут сидеть или через него проходить транзитом - ограничить все транки соответствующим набором VLAN'ов + native нетегированный.
4. На маршрутизаторе в простейшем случае когда сети надо выдавать интернет, завести таблицу с L3 подсетями активных VLAN'ов, т.е. тех в которые запущены пользователи. И им раздать интернет. Т.е. будет 2 правила NAT'a: Для всего что ломится через WAN интерфейс (это прежнее правило, для не выделенных в VLAN'ы) и для указанного списка подсетей NAT'им.
5. Выделяем один из VLAN сегментов:
- На маршрутизаторе для данного VLAN интерфейса поднимаем DHCP сервер с соответствующей подсетью. Если надо добавляем подсеть в список для NAT'а.
- Все порты куда входят пользователи сегмента переводим в ACCESS с данным VLAN'ом. И проходимся по пользователям
- У пользователей при необходимости обновляем dhcp лизы, или переводим со статики в dhcp и прочие мелкие неурядицы.
6. Когда сегмент выделен и все неурядицы связанные с ним решены - повторяем для следующего сегмента и т.п.