Сети для самых маленьких. Часть нулевая. Планирование

  • Tutorial


Это первая статья из серии «Сети для самых маленьких». Мы с товарищем thegluck долго думали с чего начать: маршрутизация, VLAN'ы, настройка оборудования.
В итоге решили начать с вещи фундаментальной и, можно сказать, самой важной: планирование. Поскольку цикл рассчитан на совсем новичков, то и пройдём весь путь от начала до конца.

Предполагается, что вы, как минимум читали о эталонной модели OSI (то же на англ.), о стеке протоколов TCP/IP (англ.), знаете о типах существующих VLAN’ов (эту статью я настоятельно рекомендую к прочтению), о наиболее популярном сейчас port-based VLAN и о IP адресах (более подробно). Мы понимаем, что для новичков «OSI» и «TCP/IP» — это страшные слова. Но не переживайте, не для того, чтобы запугать вас, мы их используем. Это то, с чем вам придётся встречаться каждый день, поэтому в течение этого цикла мы постараемся раскрыть их смысл и отношение к реальности.

Схема сети

Начнём с постановки задачи. Есть некая фирма, занимающаяся, допустим, производством лифтов, идущих только вверх, и потому называется ООО «Лифт ми ап». Расположены они в старом здании на Арбате, и сгнившие провода, воткнутые в пожжёные и прожжёные коммутаторы времён 10Base-T не ожидают подключения новых серверов по гигабитным карточкам. Итак у них катастрофическая потребность в сетевой инфраструктуре и денег куры не клюют, что даёт вам возможность безграничного выбора. Это чудесный сон любого инженера. А вы вчера выдержали собеседование и в сложной борьбе по праву получили должность сетевого администратора. И теперь вы в ней первый и единственный в своём роде. Поздравляем! Что дальше?

Следует несколько конкретизировать ситуацию.
  1. В данный момент у компании есть два офиса: 200 квадратов на Арбате под рабочие места и серверную. Там представлены несколько провайдеров. Другой на Рублёвке.
  2. Есть четыре группы пользователей: бухгалтерия (Б), финансово-экономический отдел (ФЭО), производственно-технический отдел (ПТО), другие пользователи (Д). А так же есть сервера (С), которые вынесены в отдельную группу. Все группы разграничены и не имеют прямого доступа друг к другу.
  3. Пользователи групп С, Б и ФЭО будут только в офисе на Арбате, ПТО и Д будут в обоих офисах.

Прикинув количество пользователей, необходимые интерфейсы, каналы связи, вы готовите схему сети и IP-план.
При проектировании сети следует стараться придерживаться иерархической модели сети, которая имеет много достоинств по сравнению с “плоской сетью”:

  • упрощается понимание организации сети
  • модель подразумевает модульность, что означает простоту наращивания мощностей именно там, где необходимо
  • легче найти и изолировать проблему
  • повышенная отказоустойчивость засчет дублирования устройств и/или соединений
  • распределение функций по обеспечению работоспособности сети по различным устройствам.


Согласно этой модели, сеть разбивается на три логических уровня: ядро сети (Core layer: высокопроизводительные устройства, главное назначение — быстрый транспорт), уровень распространения (Distribution layer: обеспечивает применение политик безопасности, QoS, агрегацию и маршрутизацию в VLAN, определяет широковещательные домены), и уровень доступа (Access-layer: как правило, L2 свичи, назначение: подключение конечных устройств, маркирование трафика для QoS, защита от колец в сети (STP) и широковещательных штормов, обеспечение питания для PoE устройств).

В таких масштабах, как наш, роль каждого устройства размывается, однако логически разделить сеть можно.
Составим приблизительную схему:

Схема сети

На представленной схеме ядром (Core) будет маршрутизатор 2811, коммутатор 2960 отнесём к уровню распространения (Distribution), поскольку на нём агрегируются все VLAN в общий транк. Коммутаторы 2950 будут устройствами доступа (Access). К ним будут подключаться конечные пользователи, офисная техника, сервера.

Именовать устройства будем следующим образом: сокращённое название города (msk) — географическое расположение (улица, здание) (arbat) — роль устройства в сети + порядковый номер.
Соответственно их ролям и месту расположения выбираем hostname:
Маршрутизатор 2811: msk-arbat-gw1 (gw=GateWay=шлюз)
Коммутатор 2960: msk-arbat-dsw1 (dsw=Distribution switch)
Коммутаторы 2950: msk-arbat-aswN, msk-rubl-asw1 (asw=Access switch)

Документация сети


Вся сеть должна быть строго документирована: от принципиальной схемы, до имени интерфейса.
Прежде, чем приступить к настройке, я бы хотел привести список необходимых документов и действий:
Схемы сети L1, L2, L3 в соответствии с уровнями модели OSI (Физический, канальный, сетевой)
План IP-адресации = IP-план.
Список VLAN
Подписи (description) интерфейсов
• Список устройств (для каждого следует указать: модель железки, установленная версия IOS, объем RAM\NVRAM, список интерфейсов)
• Метки на кабелях (откуда и куда идёт), в том числе на кабелях питания и заземления и устройствах
• Единый регламент, определяющий все вышеприведённые параметры и другие.

Жирным выделено то, за чем мы будем следить в рамках программы-симулятора. Разумеется, все изменения сети нужно вносить в документацию и конфигурацию, чтобы они были в актуальном состоянии.

Говоря о метках/наклейках на кабели, мы имеем ввиду это:

Метки на кабелях
На этой фотографии отлично видно, что промаркирован каждый кабель, значение каждого автомата на щитке в стойке, а также каждое устройство.

Метки на кабелях

Подготовим нужные нам документы:

Список VLAN


№ VLAN VLAN name Примечание
1 default Не используется
2 Management Для управления устройствами
3 Servers Для серверной фермы
4-100   Зарезервировано
101 PTO Для пользователей ПТО
102 FEO Для пользователей ФЭО
103 Accounting Для пользователей Бухгалтерии
104 Other Для других пользователей


Каждая группа будет выделена в отдельный влан. Таким образом мы ограничим широковещательные домены. Также введём специальный VLAN для управления устройствами.
Номера VLAN c 4 по 100 зарезервированы для будущих нужд.

IP-план


IP-адрес
Примечание
VLAN
172.16.0.0/16
   
172.16.0.0/24
Серверная ферма
3
172.16.0.1 Шлюз  
172.16.0.2 Web  
172.16.0.3 File  
172.16.0.4 Mail  
172.16.0.5 — 172.16.0.254 Зарезервировано  
172.16.1.0/24
Управление
2
172.16.1.1 Шлюз  
172.16.1.2 msk-arbat-dswl  
172.16.1.3 msk-arbat-aswl  
172.16.1.4 msk-arbat-asw2  
172.16.1.5 msk-arbat-asw3  
172.16.1.6 msk-rubl-aswl  
172.16.1.6 — 172.16.1.254 Зарезервировано  
172.16.2.0/24
Сеть Point-to-Point
 
172.16.2.1 Шлюз  
172.16.2.2 — 172.16.2.254 Зарезервировано  
172.16.3.0/24
ПТО
101
172.16.3.1 Шлюз  
172.16.3.2 — 172.16.3.254 Пул для пользователей  
172.16.4.0/24
ФЭО
102
172.16.4.1 Шлюз  
172.16.4.2 — 172.16.4.254 Пул для пользователей  
172.16.5.0/24
Бухгалтерия
103
172.16.5.1 Шлюз  
172.16.5.2 — 172.16.5.254 Пул для пользователей  
172.16.6.0/24
Другие пользователи
104
172.16.6.1 Шлюз  
172.16.6.2 — 172.16.6.254 Пул для пользователей  


Выделение подсетей в общем-то произвольное, соответствующее только числу узлов в этой локальной сети с учётом возможного роста. В данном примере все подсети имеют стандартную маску /24 (/24=255.255.255.0) — зачастую такие и используются в локальных сетях, но далеко не всегда. Советуем почитать о классах сетей. В дальнейшем мы обратимся и к бесклассовой адресации (cisco). Мы понимаем, что ссылки на технические статьи в википедии — это моветон, однако они дают хорошее определение, а мы попробуем в свою очередь перенести это на картину реального мира.
Под сетью Point-to-Point подразумеваем подключение одного маршрутизатора к другому в режиме точка-точка. Обычно берутся адреса с маской 30 (возвращаясь к теме бесклассовых сетей), то есть содержащие два адреса узла. Позже станет понятно, о чём идёт речь.

План подключения оборудования по портам


Разумеется, сейчас есть коммутаторы с кучей портов 1Gb Ethernet, есть коммутаторы с 10G, на продвинутых операторских железках, стоящих немалые тысячи долларов есть 40Gb, в разработке находится 100Gb (а по слухам уже даже есть такие платы, вышедшие в промышленное производство). Соответственно, вы можете выбирать в реальном мире коммутаторы и маршрутизаторы согласно вашим потребностям, не забывая про бюджет. В частности гигабитный свич сейчас можно купить незадорого (20-30 тысяч) и это с запасом на будущее (если вы не провайдер, конечно). Маршрутизатор с гигабитными портами стоит уже ощутимо дороже, чем со 100Mbps портами, однако оно того стоит, потому что FE-модели (100Mbps FastEthernet), устарели и их пропускная способность очень невысока.
Но в программах эмуляторах/симуляторах, которые мы будем использовать, к сожалению, есть только простенькие модели оборудования, поэтому при моделировании сети будем отталкиваться от того, что имеем: маршрутизатор cisco2811, коммутаторы cisco2960 и 2950.

Имя устройства
Порт
Название
VLAN
Access
Trunk
msk-arbat-gw1 FE0/1 UpLink    
  FE0/0 msk-arbat-dsw1   2,3,101,102,103,104
msk-arbat-dsw1 FE0/24 msk-arbat-gw1   2,3,101,102,103,104
  GE1/1 msk-arbat-asw1   2,3
  GE1/2 msk-arbat-asw3   2,101,102,103,104
  FE0/1 msk-rubl-asw1 2,101,104
 
msk-arbat-asw1 GE1/1 msk-arbat-dsw1   2,3
  GE1/2 msk-arbat-asw2   2,3
  FE0/1 Web-server 3  
  FE0/2 File-server 3  
 
msk-arbat-asw2 GE1/1 msk-arbat-asw1   2,3
  FE0/1 Mail-Server 3  
 
msk-arbat-asw3 GE1/1 msk-arbat-dsw1   2,101,102,103,104
  FE0/1-FE0/5 PTO 101  
  FE0/6-FE0/10 FEO 102  
  FE0/11-FE0/15 Accounting 103  
  FE0/16-FE0/24 Other 104  
 
msk-rubl-asw1 FE0/24 msk-arbat-dsw1 2,101,104
  FE0/1-FE0/15 PTO 101  
  FE0/20 administrator 104  


Почему именно так распределены VLAN'ы, мы объясним в следующих частях.

Excel-документ со списком VLAN, IP, портов

Схемы сети


На основании этих данных можно составить все три схемы сети на этом этапе. Для этого можно воспользоваться Microsoft Visio, каким-либо бесплатным приложением, но с привязкой к своему формату, или редакторами графики (можно и от руки, но это будет сложно держать в актуальном состоянии :)).

Не пропаганды опен сорса для, а разнообразия средств ради, воспользуемся Dia. Я считаю его одним из лучших приложений для работы со схемами под Linux. Есть версия для Виндоус, но, к сожалению, совместимости в визио никакой.

L1


Схема сети L1

То есть на схеме L1 мы отражаем физические устройства сети с номерами портов: что куда подключено.

L2

На схеме L2 мы указываем наши VLAN’ы

Схема сети L2
L3


Схема сети L3

В нашем примере схема третьего уровня получилась довольно бесполезная и не очень наглядная, из-за наличия только одного маршрутизирующего устройства. Но со временем она обрастёт подробностями.

Dia-файлы со схемами сети: L1, L2, L3

Как видите, информация в документах избыточна. Например, номера VLAN повторяются и на схеме и в плане по портам. Тут как бы кто на что горазд. Как вам удобнее, так и делайте. Такая избыточность затрудняет обновление в случае изменения конфигурации, потому что нужно исправиться сразу в нескольких местах, но с другой стороны, облегчает понимание.

К этой первой статье мы не раз ещё вернёмся в будущем, равно как и вам придётся всегда возвращаться к тому, что вы изначально напланировали.
Собственно задание для тех, кто пока только начинает учиться и готов приложить для этого усилия: много читать про вланы, ip-адресацию, найти программы Packet Tracer и GNS3.
Что касается фундаментальных теоретических знаний, то советуем начать читать Cisco press: раз, два, три (русский язык). Это то, что вам совершенно точно понадобится знать.
В следующей части всё будет уже по-взрослому, с видео, мы будем учиться подключаться к оборудованию, разбираться с интерфейсом и расскажем, что делать нерадивому админу, забывшему пароль.
P.S. Спасибо соавтору статьи — пользователю thegluck.
P.P.S Тем, кто имеет, что спросить, но не имеет возможности свой вопрос здесь задать, милости просим в ЖЖ
Метки:
Поделиться публикацией
Комментарии 133
  • +5
    Я бы на месте инженера ещё как минимум задублировал 2960 и соединил бы 2950 не между собой, каждую двумя каналами к двум 2960. Ну и рублёвский офис тоже двумя линиями соединил. Ну и роутер тоже задублировать.
    • +6
      То, что вы говорите, совершенно верно, но
      1) это в идеальном мире
      2) выходит в данный момент за рамки статьи: задача не построить идеальную сеть, а дать понимание того, как настраиваются простые вещи, вроде коммутации и маршрутизации. То, что вы описали затрагивает уже vrrp, stp, чего не позволяет packet tracer, да и в принципе не с этого начинать надо))
      В целом за замечание спасибо.
      • +1
        Во мне просто одновременно проснулись инженер и продавец на фразе «и денег куры не клюют, что даёт вам возможность безграничного выбора». А так отличное начало, будет интересно поддержать общение в этой серии :)
        • +1
          :)
          Думаю, со временем, когда перейдём на GNS можно будет попробовать и «всё правильно» сделать)
          • +1
            Есть ещё и Cisco IOU ^_^
            • –1
              Видимо народ не в курсе что это такое :)
              • 0
                Я и правда, например, был не в курсе)
                • 0
                  А я как-то краем уха услышал о существовании некоего эмулятора циски под линукс с возможностью эмулировать как L3-железки (роутеры), так и большую часть L2-функционала, всключая STP и подобное, причём без таких проблем с производительностью как у GNS3, начал искать на эту тему и после интенсивного гугления нашёл эту тщательно оберегаемую циской штуку (но, конечно же качать и использовать не стал, ведь это нелегально).
                  • 0
                    :) Вроде бы, и PT и IOS'ы нелегально)
                    • 0
                      Не знаю как PT, но IOS то у всех от тех железок, которые куплены и стоят в реальной работе ;)
                • 0
                  И правда не в курсе, спасибо за наводку!
      • 0
        Статья конечно хорошая, расписали грамотно, но вот мне кажется, что начинающему специалисту она мало чем поможет, так как для того, чтобы вникнуть в терминологию хотя бы, нужно прочитать больше те статьи, которые Вы указали. Но за то что, так подробно расписали безусловно плюс.
        • +3
          Она нужна для того, чтобы впоследствии к ней обращаться. В ходе следующих статей мы объясним для чего нужно то или иное, каким образом то, что ребята прочитали в вики, применяется на практике.
          • 0
            да, расписано знатно, полностью согласен, новичку из этого можно состряпать небольшой checklist. И далее использовать. Наверное следует порекомендовать к прочтению курс CCNA. На многое сразу глаза откроет.
            • +1
              В конце я дал ссылки на icnd (правда, возможно, староватый). Самое то, с него начинать)
              • +1
                Если честно, мне это напоминает первый урок курса CCNP TSHOOT. Последовательность идет один в один с рекомендациями компании Cisco. Но в целом молодцы.
                • 0
                  Возможно :)
                  у меня только ICND за плечами прослушааный пару лет назад.
                  а вот что делать если сетевая инфраструктура создавалась идиотами
                  и везде недокументированный кошмар…
                  • +1
                    Я с этим столкнулся на предыдущей работе) Всё разгрёб, постарался документировать все моменты, к некому единому стилю всё привёл и… ушёл)
                  • +1
                    Ну тут сложно придумать что-то новое) Соавтор имеет сертификаты cisco, но план делал я, который никаких курсов не слушал))
              • 0
                Она нужна для того, чтобы было куда сослаться в момент, когда потребуется скачать с начальника ещё немного денег.
            • +3
              Супер! Где вы были раньше, жду продолжений!
              • +1
                Если 2960 выйдет из строя то все «ляжет»?
                • +2
                  Да, но как я писал выше, задача заключается не в том, чтобы построить идеальную сеть, а в том, чтобы дать понимание, как настраивать циски и как это в принципе работает.
                  А реальность такова, что зачастую даже провайдеры не делают никакого резервирования.
                  • –1
                    По моему если вы хотите рассказать как настраивать то надо начинать с азов, а не с того как соединять кружочки с квадратиками.
                    Планирование это далеко не начальный уровень.
                    • +4
                      Вот в следующих статьях мы и начнём настраивать. Но, чтобы настраивать, нужно знать что именно)
                      • +1
                        Не соглашусь, надо знать не что именно, а как настраивать, как работает та или иная технология.
                        • 0
                          Хм. То есть вы не соглашаетесь с тем, что необходимо иметь план сети и адресации перед тем, как приступать к настройке?
                          • +1
                            Ну без знаний начальных, как настраивать, что будет настраиваться… и т.д. информация об адресации, плане, она ему будет не зачем. Потому как оне будет знать что ему с ней делать.
                            • 0
                              Давайте так: вот я начинающий инженер, но хороши админ. Знаю про IP-адреса, слышал о вланах и чуть-чуть представляю, как это работает. Но я понятия не имею, как это настраивается.
                              Но прежде, чем начать что-то делать, нужно поставить задачу. И моё мнение, что лучше взять уже более менее приближенный к жизни пример, чем абстрактную задачу прокинуть влан между двумя коммутаторами.
                              То есть если у меня есть какие-то знания, то мне нужно планирование.
                              А если человек совсем зелёный, то я уже считаю, что начинать надо с планирования. Сейчас он ничего, может, и не поймёт, но в голову мысль я зароню. А потом культивирую, ссылаясь на уже существующую статью.
                              А вообще, такое ощущение, что троллите, извините.
                              • 0
                                Не я не троллю.
                                Я тоже когда то был начинающим сетевиком, и по себе смотрю с чего бы мне было полезно начинать изучение сетевых технологий. И для меня не как не первое планирование сети. И на все эти схемы смотрел бы как баран на новые ворота. Не понимая, что такое L1 — L3.
                                Как совет возьмите для себя как план ISND 1, 2. Или есть у вас есть желание, направьте свою энергию на перевод тех же роликов CBT Nuggets. Для начинающего специалиста это было бы, очень полезно.
                                • 0
                                  Ну и я также в недавнем прошлом начинающий и по своему опыту скажу, что именно вот в таком режиме я сам начал учиться и хотел бы продолжить, но не получилось) Вот компенсирую свои комплексы))
                                  Идти по ICND не получится по то простой причине, что ICND — это теория. Ну не пересказывать же мне её своими словами.
                                  Про перевод видео я серьёзно подумаю, идея мне нравится)
                • +7
                  Долго. Дорого. Охуенно.©
                  • +7
                    © cisco
                    • 0
                      Но можно и D-Link
                      • 0
                        У D-Link есть неплохие L2-коммутаторы, но к ним нужен особый подход :)
                        • 0
                          Имел я дело с двумя длинками как-то, который друг другу влан не могли передать. 4 часа вдали от цивилизации положил на это. А потом вообще положил на это)
                          • 0
                            Я конечно начинающий, но все таки сетевой инженер. За день сталкиваюсь с сотнями коммутаторами L2 от D-Link, а всего у нас их десятки тысяч (довольно таки крупны провайдер). Вся наша сеть уровня AC и AG построена на них, и знаете — вполне ничего.
                            • 0
                              Не буду спорить, не являюсь лютым ненавистником длинков, встречал и хорошие у них вещи, но никогда не буду использовать их по крайней мере на агрегейшене. ЛУчше переплатить и купить хп или хуавэй.
                              • 0
                                ХП имеет не самый удобный cli, например в нем никогда не увидишь маки по портам с инфой о вланах. Про хуавей ничего не могу сказать — не сталкивался. А так, на AG очень хорошо себя чувствует серия D-link DGS.
                                • 0
                                  А как насчёт Allied Telesis?
                                  • 0
                                    К сожалению, не скажу, вообще дела не имел. Но слышал о том, что на каких-то моделях при удалении влана, кажется, удалялся маршрут по умолчанию.
                            • 0
                              Особый подход, немного магии, много терпения! © D-Link
                        • +2
                          Интересно что ж тут долгого? :) Про дорого и охуенно — вопросов нет.
                          • 0
                            Ну во-первых, цитата неразрывна. А во-вторых качественно все сделать с нуля до продакшена — это долго.
                            • –1
                              Цитата да :) А вот настроить такую сеть для грамотного спеца — 1 день на конфиги, несколько дней на реальную установку и тестирование. Если конечно учиться в процессе — тогда да, может и пару месяцев занять.
                              • 0
                                На конфиги здесь уйдёт от силы час-два. Всё делается в GNS и приносится на объект готовым.
                                • 0
                                  А я о чём? Озвученное мной время с запасом на непредвиденность самих непредвиденных ситуаций.
                            • +1
                              Долго ждать пока заказанные циски таможню пересекут (если без npe брать, то можно пол года ждать)
                              • 0
                                Ну, железо в топике есть на складах у дистрибьюторов :)
                                • +1
                                  Можно купить у оф. дилера) В течение 3-4 недель железки офисного и корпоративного уровня, по-моему несложно достать.
                                  • 0
                                    Посыпая голову орфографическим словарем: *полгода
                                    • 0
                                      Можно взять NPE и примкнуть к пиратам, активировав триал на полноценную IOS.
                                      Кстати, а по Смартнету доступ к чужим образам так и не закрыли?
                                • +4
                                  А я бы человека, который предлагает ноуты сотрудников цеплять только по ethernet, на работу бы не взял… В связи с общей неадекватностью.
                                  • +2
                                    На сетевом и канальном уровне совершенно не имеет значения вайфай у вас или кабель медный. Повторяю в третий раз, что цель — не построить идеальную сеть, а научить настраивать и помочь разобраться с принципами работы. К чему вайфаем усложнять сеть? ) Можно ещё тогда дхцп, днс сервера сюда добавить.
                                    • 0
                                      Ну, не знаю, как в вашем реальном мире, а в моем dhcp и dns все же более востребованы, чем vlan-ы.

                                      Что, конечно, не уменьшает пользы от статьи в целом.
                                      • +2
                                        :) Ну… Мы то будем говорить всё-таки о сетевом администрировании. И сеть со временем вырастет до невероятных размеров)
                                        В любой сети на несколько филиалов и несколько сотен машин без вланов будет… сложно)
                                        • 0
                                          > В любой сети на несколько филиалов и несколько сотен машин без вланов будет… сложно)

                                          Вот тут я с вами полностью согласен. Уточню только, что без dhcp и dns в любой сети тоже, скажем так, непросто :)
                                          • +2
                                            Убедили, убедили) неспорящего ;)
                                      • +1
                                        Ну, у нас, например, в офисе, у wifi довольно сложная конфигурация, определяющая IP адрес сотрудника по отделу и обеспечивающая прозрачный роуминг между точками доступа и проводной сетью. Втыкаешь кабель — а адрес тот же. При этом сеть вполне себе изолирована, то есть разные люди, воткнувшись в одну и ту же розетку, будут в разных сетях (совсем разных).

                                        Это всё современная сетевая инфраструктура, и если бы мы рисовали её, то у нас бы вайфайная часть занимала едва ли не большую часть рисунка.

                                        А вилан до другого города… это сильно проще, чем роуминг в wifi.
                                        • +2
                                          Вот именно, что это несколько иная тема. Если говорить о простом вайфае, то нет в этом смысла — кто точку доступа не сможет настроить? А то, о чём говорите вы мало относится к новичкам, которые хотят разобраться с основами) Предлагаю такую статью написать вам в рамках этой же серии) — можно собрать неплохой материал)
                                          • 0
                                            А как настраивали. простите?
                                            Было бы очень занятно почитать.
                                            • 0
                                              Если честно, то настраивал не я. Захотят — напишут. В принципе, ничего сверхестественного, обычная авторизация на порту.
                                              • 0
                                                Вот это уже интересно. плавающая смена влана на езернет порту…
                                                впервые про такое слышу
                                                • +1
                                                  ну вообще есть такая штука, как динамическая настройка vlan. Нужный vlan прописывается либо в соответствии с mac- адресом, либо в соответствии с аутентификацией по пользователю
                                                  • 0
                                                    в какую сторону копать?
                                                    и как проводится аутентификация пользователя
                                                    • +1
                                                      динамическая настройка так и называется, а аутентификация- копайте в сторону 802.1x и RADIUS. xgu хороший ресурс.
                                      • +2
                                        Ребят, плюсую, статья отличная, пишите еще ;-)
                                        • 0
                                          Получаем потребность в маршрутизации всего локального трафика до серверов. Это круто.
                                          Единственный линк до филиала — это жесть, как она есть. Особенно если там все на терминалке.
                                          Не увидел влана для телефонии — или филиалы без связи с головным офисом?
                                          Связь между филиалами только через головной офис, опять же?

                                          Это так, из лично пережитого.
                                          • +1
                                            Вы, говорите в общем правильные вещи. Но:
                                            1) настройка телефонии не входит в этот цикл
                                            2) более правильное решение поставить какой-нибудь 3560 вместо 2960 и маршрутизировать локальный трафик на нем, оставив сервера в другом широковещательном домене, чтобы проблемы пользовательской сети не влияли на доступность серверов. Кроме того, более удобно настраивать правила доступа и нат.
                                            Что касается одного линка до филиала, то вы и не представляете, похоже, как бывает на некоторых реальных сетях. Я работал в холдинге с 50 компаниями в разных городах. Никакого резервирования, нет юпс, питание скачет. А на одном из центральных узлов стояла 26-ая циска. Одна на несколько сотен машин, аксес-листы, нат, телефония. О-о. Как я тогда выкручивался)
                                            Нет, я нисколько не оправдываю себя и данную схему) Я согласен с вами полностью. Но опять же для понимания, этого достаточно. Когда мы обратимся к вопросу динамической маршрутизации, тогда можно будет сказать и дополнительных линках.
                                            Спасибо за критику.
                                            • 0
                                              >. Никакого резервирования, нет юпс, питание скачет. А на одном из центральных узлов стояла 26-ая циска.
                                              Я вот именно это и имел в виду под словами «жесть как она есть». У меня 14 филиалов с относительно неустойчивыми линками было, и я связывал их звездой через provisioning. Сложнее маршрутизация, зато меньше транзита.

                                              Единственное (и самое существенное) нарекание к схеме — обилие SPOFов и в то же время какое-то негуманное резервирование, подразумевающее безлимитные бюджеты.
                                          • 0
                                            Мне кажется вы сейчас пытаетесь опять изобрести велосипед.
                                            Лучше если уж и хотите доносить информацию до определённого круга лиц, возьмитесь и переведите ролики существующие ролики, для начинающих это будет лучшем подспорьем.
                                            • +2
                                              Отличная мысль! Возможно этим тоже займёмся)
                                              Дело просто в том, что я в своё время, так и не смог найти какой-то серии или видео, в котором по шагам рассказали бы про вланы, маршрутизацию статическую и динамическую, наты, оспфы и прочие протоколы. Пришлось потратить много времени на то, чтобы разобраться с очевидными вещами. Спасибо zepps, который в своё время</>, дал толчок мне, но и он бросил эту затею. Судя по числу человек, добавивших публикацию в избранное, тема интересная. И я планирую довести её до логического конца.
                                              • 0
                                                а какие существующие ролики? перевести-то можно, но, лично по моему мнению, у айтишника английский язык должен быть хотя бы на уровне чтения тех. литературы. Иначе в определенный момент (ну взять хотя бы сертификацию циски- экзамен и литература для ccna есть на русском, а все, что дальше- нет) человек просто упирается в потолок знаний, умений, зарплаты, в конце концов.
                                                • 0
                                                  Волшебное слово — CBT Nuggets. Jeremy Cioara — парень который ведёт все курсы циски у них. Заслушаться можно.
                                                  • 0
                                                    Да как пример эти ролики имел ввиду.
                                                    • 0
                                                      Иногда умудряюсь под них засыпать :)
                                                      • 0
                                                        А я как раз наоборот — умудряюсь под них провести всю ночь за монитором :)
                                                • 0
                                                  Прошу пояснить зачем на первой цветной приблизительной схеме msk-arbat-asw2. Серверная ферма и так подключена к msk-arbat-asw1. Нехватка портов на msk-arbat-asw1?
                                                  • +1
                                                    Теоретически да.
                                                    А вообще, чтобы в будущем показать работу STP, в случае если кто-то соединит свитчи дополнительным проводом). Но вот с этим мы немного поторопились. В Packet Tracer'e нету stp.
                                                    А вообще, как выше правильно заметили, то они должны работать в паре для резервирования с избыточными линками до dsw. Но опять же лаборатория не позволит.
                                                  • 0
                                                    хорошая статья (проголосовать не смог кармы не хватило), вот только мне кажется, что все таки это уровень НЕ «самых маленьких», а чуток постарше, т.е. не ясли…
                                                    • +1
                                                      Такой статьи как раз и не хватало. Жду с нетерпением продолжения.
                                                      • +2
                                                        рад, что наша статья понравилась и, судя по количеству добавивших в избранное, многим показалась даже полезной. Будем стараться дальше.
                                                        • 0
                                                          Перезалейте файлы в другое место например в гугл докс, а то дроп-бокс выдаёт 509 ошибку
                                                          • +1
                                                            Перезалил всё, кроме схем сети. Спасибо за информацию.
                                                          • 0
                                                            Критикую:

                                                            1) msk-arbat-asw2 должен воткнут в msk-arbat-dsw1 на L1, не только в своего коллегу msk-arbat-asw1!
                                                            2) траффик в участке msk-rubl-asw1 и msk-arbat-dsw1 должен проходить в (шифрованном) туннеле.
                                                            3) непонятен объем траффика, кое-где придется объединять пару линков в транке.
                                                            4) должно быть минимум два аплинка.
                                                            • +1
                                                              В следующий раз мы будем осмотрительней. Следовало лучше обозначить, что это тестовая лаборатория, а не проект сети для эксплуатации. Шифрование, резервирование агрегирование — это технологии явно не для новичков. Учитывая такое большое количество критики такого плана, я думаю, стоит в цикл включить в самом конце технологии резервирования.
                                                              А относительно реальных сетей полностью с вами согласен.
                                                              • 0
                                                                надо в тексте почаще это упоминать. типа «а вот тут, ребята, мы не используем тот-то и то-то. а вот когда вы будете строить реальную сеть почитайте про это там-то»
                                                                • 0
                                                                  Учтём ваше замечание. И, думаю, в конце следует добавить пару статей о том, как должно быть с практикой.
                                                            • 0
                                                              Отличная статья. С нетерпением жду продолжения, в частности про VLAN. На следующей неделе возможно понадобится.
                                                              Как на Хабре все вовремя появляется!
                                                              • +1
                                                                Такс. Статья про вланы будет не раньше конца января, поэтому если есть какие-то вопросы, лучше сейчас и в личку. Кстати, на хабре я заметил это правило. Несколько раз у самого так было.
                                                              • 0
                                                                Думаю что в схему L1 можно добавить:
                                                                -физическое местоположения устройств,
                                                                -опционально подключение к электросети (48 В / 220 В),
                                                                -интерфейс аплинка,
                                                                -контакты.

                                                                Надеюсь напишите еще про:
                                                                — топологию сети (у вас элементы и звезды, и дерева и PPP),
                                                                — STP,
                                                                — inter-VLAN routing,
                                                                — мониторинг.
                                                                • 0
                                                                  Думаю, эта информация перегрузит схему. Она должна быть простой и понятной. А то, что указали вы можно вынести в отдельный документ, который был указан в списке.

                                                                  Советы по тематике статей дельные, особенно мониторинг — об этом я не подумал. Так или иначе в будущем мы их затронем.
                                                                • +1
                                                                  Судя по планам у Вас получится курс ICND Express.
                                                                  Оборудование Cisco — это хорошо, даже очень хорошо, но не стоит забывать, что существуют и другие, не менее уважаемые вендоры.
                                                                  Поэтому, мое мнение, упор стоит сделать именно на теоретических знаниях, чем на листингах вводимых комманд.

                                                                  • 0
                                                                    В вопросах технологий мы постараемся абстрагироваться от циски для объяснения принципов работы, но конфигурирование — основная всё-таки цель статьи — будет на циске с листингами команд.
                                                                    Впрочем при понимании законов циска, прокурва, длинк — особой разницы уже нет) Вы же понимаете)
                                                                  • 0
                                                                    Поддерживаю.
                                                                    еще шикарны Huawei с cisco-подобным cli
                                                                    у нас их хватает. и народ не жалуется.
                                                                    еще нортелы
                                                                    • 0
                                                                      Самый удобный интерфейс на мой взгляд у HP, если говорить о коммутаторах. Удивительно логичный, информативный и гибкий. Потом циска и Хуавэй делят второе место)
                                                                      Стабильность работы в общем-то всех трёх перечисленных вендоров на высоком уровне, но Хуавэй реально рулит своей универсальностью)
                                                                    • 0
                                                                      Друзья, если вы «долго думали с чего начать», да и ещё сделали упор в Cisco, взяли бы курс ICND и прям по оглавлению пошли бы статьи писать с мааааленькими вкраплениями из реальной практики.
                                                                      В целом — всё ок. Тем кто в этом вообще не шарит будет полезно для общего развития. Тем кто шарит — никогда не плохо будет понастальгировать что-ли
                                                                      • 0
                                                                        Если мы начнём icnd и будем шагать по оглавлениям, то такими темпами цикл растянется на годы)
                                                                        Всё равно инженеры в телекоме, да и где угодно должны быть ориентированы на саморазвитие. Поэтому мы заложим самый простой базис в виде теории и практики, чтобы читатель потом не терял времени, читая официальную документацию.
                                                                        В целом, я, конечно, понимаю, что мы делаем то, что было сделано до нас много раз) Но, собственно, что тогда большая часть современного интернета, как не миллионы копий известной из какого-либо источника информации? :)
                                                                      • 0
                                                                        Кстати, можно дать ссылки на TIA/EIA-568, очень толковый стандарт, мало воды и много практических рекомендаций.
                                                                        • 0
                                                                          Можно немного буквоедства?
                                                                          В данном примере все подсети имеют маску /24 (/24=255.255.255.0) — это сеть класса C — зачастую такие и используются в локальных сетях.
                                                                          По вашей же ссылке видно, что сетью класса C называется такая сеть, первые биты в IP-адресе которой представляют собой последовательность 110, а не та, у которой маска /24. Приватная сетка 172.16/12 никак в эти критерии не вписывается. О бесклассовой адресации надо было упомянуть в первую очередь.

                                                                          В общем и целом — ок. Начинающим будет полезно.

                                                                          в разработке находится 100Gb (а по слухам уже даже есть такие платы, вышедшие в промышленное производство)
                                                                          Уже доступны для заказа. Денег стоят неприличных, но продаются. Для Juniper T-серии один порт в прайслисте стоит $450k, на MX-серии $320k. Соответственно, для стоимости линка надо эти цифры умножить на два. Для Cisco CRS-3 модули тоже есть, но цен в прайслисте я не увидел, грозились до конца года начать продавать. Порядок, думаю, будет как у T-серии. Хотя у циски CFP-модули почти на $100k дешевле, могут за счёт этого выплыть.
                                                                          • 0
                                                                            Конечно же вы, правы. Наш косяк. Сейчас поправлю. Спасибо.
                                                                            450 000?! Я сначала «k» не увидел, удивился) А потому увидел и ещё больше удивился)
                                                                            • 0
                                                                              А теперь умножьте на два:)
                                                                              В ближайшие года два выйдут новые оптические модули, которые должны здорово снизить стоимость порта. Всё будет не так страшно, десятку тоже боялись когда она появилась.
                                                                              • 0
                                                                                Суммы сумасшедшие, просто, но не пройдёт и 5 лет...)
                                                                                • 0
                                                                                  все ждут новую элементную базу, которая существенно снизит цены на 40G и 100G
                                                                                  • 0
                                                                                    Совершенно верно.
                                                                            • 0
                                                                              Кстати, заказуемые порты 40G и 100G являются Ethernet-ом, или STM-256 упакованым в OTU-3 и ??? упакованым в OTU-4? Так как на всех железках с 40G, котрые я видел (не много, скажем честно) порты были 40G POS
                                                                              • +1
                                                                                40GE в чистом виде сейчас точно есть у Extreme Networks. Для Juniper MX сороковки обещаются, но пока, вроде бы, нет, надо гянуть. У циски 40GE, если мне память не изменяет, есть на нексусах, а в роутерах они сразу будут играть на рынке 100GE. На CRS-1 есть модуль, в простонародье называемый Godzilla, он как раз представляет собой STM-256, но это чистый POS. Сотки же сразу предполагаются чисто езернетными, никакого POS. Как-то так.
                                                                          • 0
                                                                            Всё хорошо. Одно упустили. Посреди простенькой статьи для начинающих у вас вылезло цискарное слово «транк» без каких либо объяснений. После этого и заснуть недолго.
                                                                            • 0
                                                                              Да ладно вам, а слова ISO, port-based VLAN, hostname вас никак не задели?
                                                                              895 человек посчитали иначе и для них в следующих частях мы дадим объяснение этого и других слов)
                                                                            • 0
                                                                              А скажите, что вы используете для маркировки кабеля? Как называется, где купить?
                                                                              • 0
                                                                                Сначала у нас были специальные листы с шаблоном. Мы печатали на них откуда и куда идёт кабель. А когда они кончились, использовали обычную клейкую бумагу, которую можно купить в канцелярском магазине.
                                                                                В принципе очень много разнообразных методов: наклейки, пластиковые метки, наборные метки, шильдики (не знаю, как это правильно называется:)). У легранда, например, богатый выбор)
                                                                                • 0
                                                                                  Судя про тому что я видел — кто как.
                                                                                  кто использует принтера для штрих кодов и ведет базу, кто стикерами.
                                                                                  это не считая того что все порты подписаны на свичах/роутерах и есть карта подключений, кабельных шахт и кабель-ростов, с интервалом в сколько-то метров, иначе через 5 метров из пучка кабелей штук в 60 черт ногу сломит разобраться.
                                                                                • +1
                                                                                  Спасибо большое за публикацию и особенно за ссылки на полезные материлы-книги.
                                                                                  • 0
                                                                                    Пожалуйста большое) Приходите в следующий раз.
                                                                                    • 0
                                                                                      А второй раз долго ждать?
                                                                                      • 0
                                                                                        В январе. После праздников, я думаю. Если желаете, могу пригласить, когда опубликую.
                                                                                        • 0
                                                                                          Да я в принципе регулярно читаю rss, так что не пропущу. Просто хотелось бы знать, когда приблизительно ждать вторую часть. У нас планируется переезд в новое здание (в следующем году), хотелось бы устроить все «по уму».
                                                                                          • 0
                                                                                            Вы понимаете, я не смогу так быстро научить вас как надо «по уму». Дело в том, что с этим понятием я сам скорее знаком теоретически. Цель цикла дать основы, понимание того, как функционируют механизмы и как их настроить и использовать на сетях.
                                                                                            В принципе, как сделать по уму, в ветках коментов к этой публикации уже обсудили: максимум резервирования: VRRP, STP, протоколы динамической маршрутизации, агрегирование каналов. До каждой удалённой точки необходимы альтернативные каналы связи.
                                                                                            Сетевое планирование — большой и более сложный пласт, чем просто набор технологий.
                                                                                            Впрочем, по некоторым конкретным вопросам я готов вам попробовать подсказать в личке)
                                                                                            • +1
                                                                                              Можете в Q&A создавать вопрос и сюда ссылку — ответим как лучше :)
                                                                                  • 0
                                                                                    Интересно ваше мнение по одному вопросу. Собственно вот он: habrahabr.ru/qa/15265/
                                                                                    • 0
                                                                                      Что касается обновления/синхронизации схем — dia, вроде бы, поддерживает слои (или группы — дома проверю). Можно выделять специфичные для каждой схемы элементы в такие «слои» и переключать при необходимости. При этом не прийдётся мучаться с common для нескольких схем объектами.
                                                                                      • 0
                                                                                        А так статья интересная. Спасибо.
                                                                                      • 0
                                                                                        Dia не использую в широком смысле. На работе всё равно Visio. Поэтому пока не было необходимости разбираться глубоко.
                                                                                      • 0
                                                                                        Третья ссылка Cisco press (с русским языком) пишет «This folder is empty».
                                                                                        Залейте пожалуйста еще раз.
                                                                                        • 0
                                                                                          Извините, а можете ли описать — каково преимущество Киски стоимостью XXXXX баков перед обычным компом c линухом и с тупым роутером в маршрутизации? Я какбе понимаю внутри, но объяснить людям понятными им словами не могу. И очень популярный вопрос, кстати, на который не очень продвинутый админ ответить зачастую не может.
                                                                                          • 0
                                                                                            Говоря простым языком: чем отличается холодильная установка для магазина от холодильника Бирюса у вас дома?
                                                                                            Всё определяется целями и бюджетом. Естественно, если у вас маленькая сеть, то вам подойдёт длинк и комп с проксей. Причём даже тут вы можете купить циску из 1700-х например. Будет чуточку подороже, правда.

                                                                                            А если у вас дата-центр, то вы никак не поставить на маршрутизацию линукс-сервер. Тут у каждой железки своя задача.
                                                                                            Да и недюжий опыт, наверно, требуется, чтобы поднять на линуксе BGP, STP, OSPF. Сложно замутить различные схемы резервирования, подключения удалённых офисов с шифрованием.
                                                                                            Ещё один момент — оборудование циско сертифицировано для этих целей.
                                                                                            Ну и надо помнить, что помимо циски есть и другие производители, более дешёвые (Huawei) и сильно более дешёвые (Microtic)
                                                                                          • 0
                                                                                            Что такое «0/1», «0/0», «0/24» в портах? Vlan — access, trunk? Пояснение будет в следующих статьях?
                                                                                            • 0
                                                                                              Так номер порта и есть.

                                                                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.