Пользователь
37,7
рейтинг
22 декабря 2011 в 11:57

Администрирование → Сети для самых маленьких. Часть нулевая. Планирование tutorial



Это первая статья из серии «Сети для самых маленьких». Мы с товарищем thegluck долго думали с чего начать: маршрутизация, VLAN'ы, настройка оборудования.
В итоге решили начать с вещи фундаментальной и, можно сказать, самой важной: планирование. Поскольку цикл рассчитан на совсем новичков, то и пройдём весь путь от начала до конца.

Предполагается, что вы, как минимум читали о эталонной модели OSI (то же на англ.), о стеке протоколов TCP/IP (англ.), знаете о типах существующих VLAN’ов (эту статью я настоятельно рекомендую к прочтению), о наиболее популярном сейчас port-based VLAN и о IP адресах (более подробно). Мы понимаем, что для новичков «OSI» и «TCP/IP» — это страшные слова. Но не переживайте, не для того, чтобы запугать вас, мы их используем. Это то, с чем вам придётся встречаться каждый день, поэтому в течение этого цикла мы постараемся раскрыть их смысл и отношение к реальности.

Схема сети

Начнём с постановки задачи. Есть некая фирма, занимающаяся, допустим, производством лифтов, идущих только вверх, и потому называется ООО «Лифт ми ап». Расположены они в старом здании на Арбате, и сгнившие провода, воткнутые в пожжёные и прожжёные коммутаторы времён 10Base-T не ожидают подключения новых серверов по гигабитным карточкам. Итак у них катастрофическая потребность в сетевой инфраструктуре и денег куры не клюют, что даёт вам возможность безграничного выбора. Это чудесный сон любого инженера. А вы вчера выдержали собеседование и в сложной борьбе по праву получили должность сетевого администратора. И теперь вы в ней первый и единственный в своём роде. Поздравляем! Что дальше?

Следует несколько конкретизировать ситуацию.
  1. В данный момент у компании есть два офиса: 200 квадратов на Арбате под рабочие места и серверную. Там представлены несколько провайдеров. Другой на Рублёвке.
  2. Есть четыре группы пользователей: бухгалтерия (Б), финансово-экономический отдел (ФЭО), производственно-технический отдел (ПТО), другие пользователи (Д). А так же есть сервера (С), которые вынесены в отдельную группу. Все группы разграничены и не имеют прямого доступа друг к другу.
  3. Пользователи групп С, Б и ФЭО будут только в офисе на Арбате, ПТО и Д будут в обоих офисах.

Прикинув количество пользователей, необходимые интерфейсы, каналы связи, вы готовите схему сети и IP-план.
При проектировании сети следует стараться придерживаться иерархической модели сети, которая имеет много достоинств по сравнению с “плоской сетью”:

  • упрощается понимание организации сети
  • модель подразумевает модульность, что означает простоту наращивания мощностей именно там, где необходимо
  • легче найти и изолировать проблему
  • повышенная отказоустойчивость засчет дублирования устройств и/или соединений
  • распределение функций по обеспечению работоспособности сети по различным устройствам.


Согласно этой модели, сеть разбивается на три логических уровня: ядро сети (Core layer: высокопроизводительные устройства, главное назначение — быстрый транспорт), уровень распространения (Distribution layer: обеспечивает применение политик безопасности, QoS, агрегацию и маршрутизацию в VLAN, определяет широковещательные домены), и уровень доступа (Access-layer: как правило, L2 свичи, назначение: подключение конечных устройств, маркирование трафика для QoS, защита от колец в сети (STP) и широковещательных штормов, обеспечение питания для PoE устройств).

В таких масштабах, как наш, роль каждого устройства размывается, однако логически разделить сеть можно.
Составим приблизительную схему:

Схема сети

На представленной схеме ядром (Core) будет маршрутизатор 2811, коммутатор 2960 отнесём к уровню распространения (Distribution), поскольку на нём агрегируются все VLAN в общий транк. Коммутаторы 2950 будут устройствами доступа (Access). К ним будут подключаться конечные пользователи, офисная техника, сервера.

Именовать устройства будем следующим образом: сокращённое название города (msk) — географическое расположение (улица, здание) (arbat) — роль устройства в сети + порядковый номер.
Соответственно их ролям и месту расположения выбираем hostname:
Маршрутизатор 2811: msk-arbat-gw1 (gw=GateWay=шлюз)
Коммутатор 2960: msk-arbat-dsw1 (dsw=Distribution switch)
Коммутаторы 2950: msk-arbat-aswN, msk-rubl-asw1 (asw=Access switch)

Документация сети


Вся сеть должна быть строго документирована: от принципиальной схемы, до имени интерфейса.
Прежде, чем приступить к настройке, я бы хотел привести список необходимых документов и действий:
Схемы сети L1, L2, L3 в соответствии с уровнями модели OSI (Физический, канальный, сетевой)
План IP-адресации = IP-план.
Список VLAN
Подписи (description) интерфейсов
• Список устройств (для каждого следует указать: модель железки, установленная версия IOS, объем RAM\NVRAM, список интерфейсов)
• Метки на кабелях (откуда и куда идёт), в том числе на кабелях питания и заземления и устройствах
• Единый регламент, определяющий все вышеприведённые параметры и другие.

Жирным выделено то, за чем мы будем следить в рамках программы-симулятора. Разумеется, все изменения сети нужно вносить в документацию и конфигурацию, чтобы они были в актуальном состоянии.

Говоря о метках/наклейках на кабели, мы имеем ввиду это:

Метки на кабелях
На этой фотографии отлично видно, что промаркирован каждый кабель, значение каждого автомата на щитке в стойке, а также каждое устройство.

Метки на кабелях

Подготовим нужные нам документы:

Список VLAN


№ VLAN VLAN name Примечание
1 default Не используется
2 Management Для управления устройствами
3 Servers Для серверной фермы
4-100   Зарезервировано
101 PTO Для пользователей ПТО
102 FEO Для пользователей ФЭО
103 Accounting Для пользователей Бухгалтерии
104 Other Для других пользователей


Каждая группа будет выделена в отдельный влан. Таким образом мы ограничим широковещательные домены. Также введём специальный VLAN для управления устройствами.
Номера VLAN c 4 по 100 зарезервированы для будущих нужд.

IP-план


IP-адрес
Примечание
VLAN
172.16.0.0/16
   
172.16.0.0/24
Серверная ферма
3
172.16.0.1 Шлюз  
172.16.0.2 Web  
172.16.0.3 File  
172.16.0.4 Mail  
172.16.0.5 — 172.16.0.254 Зарезервировано  
172.16.1.0/24
Управление
2
172.16.1.1 Шлюз  
172.16.1.2 msk-arbat-dswl  
172.16.1.3 msk-arbat-aswl  
172.16.1.4 msk-arbat-asw2  
172.16.1.5 msk-arbat-asw3  
172.16.1.6 msk-rubl-aswl  
172.16.1.6 — 172.16.1.254 Зарезервировано  
172.16.2.0/24
Сеть Point-to-Point
 
172.16.2.1 Шлюз  
172.16.2.2 — 172.16.2.254 Зарезервировано  
172.16.3.0/24
ПТО
101
172.16.3.1 Шлюз  
172.16.3.2 — 172.16.3.254 Пул для пользователей  
172.16.4.0/24
ФЭО
102
172.16.4.1 Шлюз  
172.16.4.2 — 172.16.4.254 Пул для пользователей  
172.16.5.0/24
Бухгалтерия
103
172.16.5.1 Шлюз  
172.16.5.2 — 172.16.5.254 Пул для пользователей  
172.16.6.0/24
Другие пользователи
104
172.16.6.1 Шлюз  
172.16.6.2 — 172.16.6.254 Пул для пользователей  


Выделение подсетей в общем-то произвольное, соответствующее только числу узлов в этой локальной сети с учётом возможного роста. В данном примере все подсети имеют стандартную маску /24 (/24=255.255.255.0) — зачастую такие и используются в локальных сетях, но далеко не всегда. Советуем почитать о классах сетей. В дальнейшем мы обратимся и к бесклассовой адресации (cisco). Мы понимаем, что ссылки на технические статьи в википедии — это моветон, однако они дают хорошее определение, а мы попробуем в свою очередь перенести это на картину реального мира.
Под сетью Point-to-Point подразумеваем подключение одного маршрутизатора к другому в режиме точка-точка. Обычно берутся адреса с маской 30 (возвращаясь к теме бесклассовых сетей), то есть содержащие два адреса узла. Позже станет понятно, о чём идёт речь.

План подключения оборудования по портам


Разумеется, сейчас есть коммутаторы с кучей портов 1Gb Ethernet, есть коммутаторы с 10G, на продвинутых операторских железках, стоящих немалые тысячи долларов есть 40Gb, в разработке находится 100Gb (а по слухам уже даже есть такие платы, вышедшие в промышленное производство). Соответственно, вы можете выбирать в реальном мире коммутаторы и маршрутизаторы согласно вашим потребностям, не забывая про бюджет. В частности гигабитный свич сейчас можно купить незадорого (20-30 тысяч) и это с запасом на будущее (если вы не провайдер, конечно). Маршрутизатор с гигабитными портами стоит уже ощутимо дороже, чем со 100Mbps портами, однако оно того стоит, потому что FE-модели (100Mbps FastEthernet), устарели и их пропускная способность очень невысока.
Но в программах эмуляторах/симуляторах, которые мы будем использовать, к сожалению, есть только простенькие модели оборудования, поэтому при моделировании сети будем отталкиваться от того, что имеем: маршрутизатор cisco2811, коммутаторы cisco2960 и 2950.

Имя устройства
Порт
Название
VLAN
Access
Trunk
msk-arbat-gw1 FE0/1 UpLink    
  FE0/0 msk-arbat-dsw1   2,3,101,102,103,104
msk-arbat-dsw1 FE0/24 msk-arbat-gw1   2,3,101,102,103,104
  GE1/1 msk-arbat-asw1   2,3
  GE1/2 msk-arbat-asw3   2,101,102,103,104
  FE0/1 msk-rubl-asw1 2,101,104
 
msk-arbat-asw1 GE1/1 msk-arbat-dsw1   2,3
  GE1/2 msk-arbat-asw2   2,3
  FE0/1 Web-server 3  
  FE0/2 File-server 3  
 
msk-arbat-asw2 GE1/1 msk-arbat-asw1   2,3
  FE0/1 Mail-Server 3  
 
msk-arbat-asw3 GE1/1 msk-arbat-dsw1   2,101,102,103,104
  FE0/1-FE0/5 PTO 101  
  FE0/6-FE0/10 FEO 102  
  FE0/11-FE0/15 Accounting 103  
  FE0/16-FE0/24 Other 104  
 
msk-rubl-asw1 FE0/24 msk-arbat-dsw1 2,101,104
  FE0/1-FE0/15 PTO 101  
  FE0/20 administrator 104  


Почему именно так распределены VLAN'ы, мы объясним в следующих частях.

Excel-документ со списком VLAN, IP, портов

Схемы сети


На основании этих данных можно составить все три схемы сети на этом этапе. Для этого можно воспользоваться Microsoft Visio, каким-либо бесплатным приложением, но с привязкой к своему формату, или редакторами графики (можно и от руки, но это будет сложно держать в актуальном состоянии :)).

Не пропаганды опен сорса для, а разнообразия средств ради, воспользуемся Dia. Я считаю его одним из лучших приложений для работы со схемами под Linux. Есть версия для Виндоус, но, к сожалению, совместимости в визио никакой.

L1


Схема сети L1

То есть на схеме L1 мы отражаем физические устройства сети с номерами портов: что куда подключено.

L2

На схеме L2 мы указываем наши VLAN’ы

Схема сети L2
L3


Схема сети L3

В нашем примере схема третьего уровня получилась довольно бесполезная и не очень наглядная, из-за наличия только одного маршрутизирующего устройства. Но со временем она обрастёт подробностями.

Dia-файлы со схемами сети: L1, L2, L3

Как видите, информация в документах избыточна. Например, номера VLAN повторяются и на схеме и в плане по портам. Тут как бы кто на что горазд. Как вам удобнее, так и делайте. Такая избыточность затрудняет обновление в случае изменения конфигурации, потому что нужно исправиться сразу в нескольких местах, но с другой стороны, облегчает понимание.

К этой первой статье мы не раз ещё вернёмся в будущем, равно как и вам придётся всегда возвращаться к тому, что вы изначально напланировали.
Собственно задание для тех, кто пока только начинает учиться и готов приложить для этого усилия: много читать про вланы, ip-адресацию, найти программы Packet Tracer и GNS3.
Что касается фундаментальных теоретических знаний, то советуем начать читать Cisco press: раз, два, три (русский язык). Это то, что вам совершенно точно понадобится знать.
В следующей части всё будет уже по-взрослому, с видео, мы будем учиться подключаться к оборудованию, разбираться с интерфейсом и расскажем, что делать нерадивому админу, забывшему пароль.
P.S. Спасибо соавтору статьи — пользователю thegluck.
P.P.S Тем, кто имеет, что спросить, но не имеет возможности свой вопрос здесь задать, милости просим в ЖЖ
Марат @eucariot
карма
567,0
рейтинг 37,7
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Администрирование

Комментарии (133)

  • +5
    Я бы на месте инженера ещё как минимум задублировал 2960 и соединил бы 2950 не между собой, каждую двумя каналами к двум 2960. Ну и рублёвский офис тоже двумя линиями соединил. Ну и роутер тоже задублировать.
    • +6
      То, что вы говорите, совершенно верно, но
      1) это в идеальном мире
      2) выходит в данный момент за рамки статьи: задача не построить идеальную сеть, а дать понимание того, как настраиваются простые вещи, вроде коммутации и маршрутизации. То, что вы описали затрагивает уже vrrp, stp, чего не позволяет packet tracer, да и в принципе не с этого начинать надо))
      В целом за замечание спасибо.
      • +1
        Во мне просто одновременно проснулись инженер и продавец на фразе «и денег куры не клюют, что даёт вам возможность безграничного выбора». А так отличное начало, будет интересно поддержать общение в этой серии :)
        • +1
          :)
          Думаю, со временем, когда перейдём на GNS можно будет попробовать и «всё правильно» сделать)
          • +1
            Есть ещё и Cisco IOU ^_^
            • –1
              Видимо народ не в курсе что это такое :)
              • 0
                Я и правда, например, был не в курсе)
                • 0
                  А я как-то краем уха услышал о существовании некоего эмулятора циски под линукс с возможностью эмулировать как L3-железки (роутеры), так и большую часть L2-функционала, всключая STP и подобное, причём без таких проблем с производительностью как у GNS3, начал искать на эту тему и после интенсивного гугления нашёл эту тщательно оберегаемую циской штуку (но, конечно же качать и использовать не стал, ведь это нелегально).
                  • 0
                    :) Вроде бы, и PT и IOS'ы нелегально)
                    • 0
                      Не знаю как PT, но IOS то у всех от тех железок, которые куплены и стоят в реальной работе ;)
              • 0
                И правда не в курсе, спасибо за наводку!
  • 0
    Статья конечно хорошая, расписали грамотно, но вот мне кажется, что начинающему специалисту она мало чем поможет, так как для того, чтобы вникнуть в терминологию хотя бы, нужно прочитать больше те статьи, которые Вы указали. Но за то что, так подробно расписали безусловно плюс.
    • +3
      Она нужна для того, чтобы впоследствии к ней обращаться. В ходе следующих статей мы объясним для чего нужно то или иное, каким образом то, что ребята прочитали в вики, применяется на практике.
      • 0
        да, расписано знатно, полностью согласен, новичку из этого можно состряпать небольшой checklist. И далее использовать. Наверное следует порекомендовать к прочтению курс CCNA. На многое сразу глаза откроет.
        • +1
          В конце я дал ссылки на icnd (правда, возможно, староватый). Самое то, с него начинать)
          • +1
            Если честно, мне это напоминает первый урок курса CCNP TSHOOT. Последовательность идет один в один с рекомендациями компании Cisco. Но в целом молодцы.
            • 0
              Возможно :)
              у меня только ICND за плечами прослушааный пару лет назад.
              а вот что делать если сетевая инфраструктура создавалась идиотами
              и везде недокументированный кошмар…
              • +1
                Я с этим столкнулся на предыдущей работе) Всё разгрёб, постарался документировать все моменты, к некому единому стилю всё привёл и… ушёл)
            • +1
              Ну тут сложно придумать что-то новое) Соавтор имеет сертификаты cisco, но план делал я, который никаких курсов не слушал))
      • 0
        Она нужна для того, чтобы было куда сослаться в момент, когда потребуется скачать с начальника ещё немного денег.
  • +3
    Супер! Где вы были раньше, жду продолжений!
  • +1
    Если 2960 выйдет из строя то все «ляжет»?
    • +2
      Да, но как я писал выше, задача заключается не в том, чтобы построить идеальную сеть, а в том, чтобы дать понимание, как настраивать циски и как это в принципе работает.
      А реальность такова, что зачастую даже провайдеры не делают никакого резервирования.
      • –1
        По моему если вы хотите рассказать как настраивать то надо начинать с азов, а не с того как соединять кружочки с квадратиками.
        Планирование это далеко не начальный уровень.
        • +4
          Вот в следующих статьях мы и начнём настраивать. Но, чтобы настраивать, нужно знать что именно)
          • +1
            Не соглашусь, надо знать не что именно, а как настраивать, как работает та или иная технология.
            • 0
              Хм. То есть вы не соглашаетесь с тем, что необходимо иметь план сети и адресации перед тем, как приступать к настройке?
              • +1
                Ну без знаний начальных, как настраивать, что будет настраиваться… и т.д. информация об адресации, плане, она ему будет не зачем. Потому как оне будет знать что ему с ней делать.
                • 0
                  Давайте так: вот я начинающий инженер, но хороши админ. Знаю про IP-адреса, слышал о вланах и чуть-чуть представляю, как это работает. Но я понятия не имею, как это настраивается.
                  Но прежде, чем начать что-то делать, нужно поставить задачу. И моё мнение, что лучше взять уже более менее приближенный к жизни пример, чем абстрактную задачу прокинуть влан между двумя коммутаторами.
                  То есть если у меня есть какие-то знания, то мне нужно планирование.
                  А если человек совсем зелёный, то я уже считаю, что начинать надо с планирования. Сейчас он ничего, может, и не поймёт, но в голову мысль я зароню. А потом культивирую, ссылаясь на уже существующую статью.
                  А вообще, такое ощущение, что троллите, извините.
                  • 0
                    Не я не троллю.
                    Я тоже когда то был начинающим сетевиком, и по себе смотрю с чего бы мне было полезно начинать изучение сетевых технологий. И для меня не как не первое планирование сети. И на все эти схемы смотрел бы как баран на новые ворота. Не понимая, что такое L1 — L3.
                    Как совет возьмите для себя как план ISND 1, 2. Или есть у вас есть желание, направьте свою энергию на перевод тех же роликов CBT Nuggets. Для начинающего специалиста это было бы, очень полезно.
                    • 0
                      Ну и я также в недавнем прошлом начинающий и по своему опыту скажу, что именно вот в таком режиме я сам начал учиться и хотел бы продолжить, но не получилось) Вот компенсирую свои комплексы))
                      Идти по ICND не получится по то простой причине, что ICND — это теория. Ну не пересказывать же мне её своими словами.
                      Про перевод видео я серьёзно подумаю, идея мне нравится)
  • +7
    Долго. Дорого. Охуенно.©
    • +7
      © cisco
      • 0
        Но можно и D-Link
        • 0
          У D-Link есть неплохие L2-коммутаторы, но к ним нужен особый подход :)
          • 0
            Имел я дело с двумя длинками как-то, который друг другу влан не могли передать. 4 часа вдали от цивилизации положил на это. А потом вообще положил на это)
            • 0
              Я конечно начинающий, но все таки сетевой инженер. За день сталкиваюсь с сотнями коммутаторами L2 от D-Link, а всего у нас их десятки тысяч (довольно таки крупны провайдер). Вся наша сеть уровня AC и AG построена на них, и знаете — вполне ничего.
              • 0
                Не буду спорить, не являюсь лютым ненавистником длинков, встречал и хорошие у них вещи, но никогда не буду использовать их по крайней мере на агрегейшене. ЛУчше переплатить и купить хп или хуавэй.
                • 0
                  ХП имеет не самый удобный cli, например в нем никогда не увидишь маки по портам с инфой о вланах. Про хуавей ничего не могу сказать — не сталкивался. А так, на AG очень хорошо себя чувствует серия D-link DGS.
                • 0
                  А как насчёт Allied Telesis?
                  • 0
                    К сожалению, не скажу, вообще дела не имел. Но слышал о том, что на каких-то моделях при удалении влана, кажется, удалялся маршрут по умолчанию.
          • 0
            Особый подход, немного магии, много терпения! © D-Link
    • +2
      Интересно что ж тут долгого? :) Про дорого и охуенно — вопросов нет.
      • 0
        Ну во-первых, цитата неразрывна. А во-вторых качественно все сделать с нуля до продакшена — это долго.
        • –1
          Цитата да :) А вот настроить такую сеть для грамотного спеца — 1 день на конфиги, несколько дней на реальную установку и тестирование. Если конечно учиться в процессе — тогда да, может и пару месяцев занять.
          • 0
            На конфиги здесь уйдёт от силы час-два. Всё делается в GNS и приносится на объект готовым.
            • 0
              А я о чём? Озвученное мной время с запасом на непредвиденность самих непредвиденных ситуаций.
      • +1
        Долго ждать пока заказанные циски таможню пересекут (если без npe брать, то можно пол года ждать)
        • 0
          Ну, железо в топике есть на складах у дистрибьюторов :)
        • +1
          Можно купить у оф. дилера) В течение 3-4 недель железки офисного и корпоративного уровня, по-моему несложно достать.
        • 0
          Посыпая голову орфографическим словарем: *полгода
        • 0
          Можно взять NPE и примкнуть к пиратам, активировав триал на полноценную IOS.
          Кстати, а по Смартнету доступ к чужим образам так и не закрыли?
  • +4
    А я бы человека, который предлагает ноуты сотрудников цеплять только по ethernet, на работу бы не взял… В связи с общей неадекватностью.
    • +2
      На сетевом и канальном уровне совершенно не имеет значения вайфай у вас или кабель медный. Повторяю в третий раз, что цель — не построить идеальную сеть, а научить настраивать и помочь разобраться с принципами работы. К чему вайфаем усложнять сеть? ) Можно ещё тогда дхцп, днс сервера сюда добавить.
      • 0
        Ну, не знаю, как в вашем реальном мире, а в моем dhcp и dns все же более востребованы, чем vlan-ы.

        Что, конечно, не уменьшает пользы от статьи в целом.
        • +2
          :) Ну… Мы то будем говорить всё-таки о сетевом администрировании. И сеть со временем вырастет до невероятных размеров)
          В любой сети на несколько филиалов и несколько сотен машин без вланов будет… сложно)
          • 0
            > В любой сети на несколько филиалов и несколько сотен машин без вланов будет… сложно)

            Вот тут я с вами полностью согласен. Уточню только, что без dhcp и dns в любой сети тоже, скажем так, непросто :)
            • +2
              Убедили, убедили) неспорящего ;)
      • +1
        Ну, у нас, например, в офисе, у wifi довольно сложная конфигурация, определяющая IP адрес сотрудника по отделу и обеспечивающая прозрачный роуминг между точками доступа и проводной сетью. Втыкаешь кабель — а адрес тот же. При этом сеть вполне себе изолирована, то есть разные люди, воткнувшись в одну и ту же розетку, будут в разных сетях (совсем разных).

        Это всё современная сетевая инфраструктура, и если бы мы рисовали её, то у нас бы вайфайная часть занимала едва ли не большую часть рисунка.

        А вилан до другого города… это сильно проще, чем роуминг в wifi.
        • +2
          Вот именно, что это несколько иная тема. Если говорить о простом вайфае, то нет в этом смысла — кто точку доступа не сможет настроить? А то, о чём говорите вы мало относится к новичкам, которые хотят разобраться с основами) Предлагаю такую статью написать вам в рамках этой же серии) — можно собрать неплохой материал)
        • 0
          А как настраивали. простите?
          Было бы очень занятно почитать.
          • 0
            Если честно, то настраивал не я. Захотят — напишут. В принципе, ничего сверхестественного, обычная авторизация на порту.
            • 0
              Вот это уже интересно. плавающая смена влана на езернет порту…
              впервые про такое слышу
              • +1
                ну вообще есть такая штука, как динамическая настройка vlan. Нужный vlan прописывается либо в соответствии с mac- адресом, либо в соответствии с аутентификацией по пользователю
                • 0
                  в какую сторону копать?
                  и как проводится аутентификация пользователя
                  • +1
                    динамическая настройка так и называется, а аутентификация- копайте в сторону 802.1x и RADIUS. xgu хороший ресурс.
  • +2
    Ребят, плюсую, статья отличная, пишите еще ;-)
  • 0
    Получаем потребность в маршрутизации всего локального трафика до серверов. Это круто.
    Единственный линк до филиала — это жесть, как она есть. Особенно если там все на терминалке.
    Не увидел влана для телефонии — или филиалы без связи с головным офисом?
    Связь между филиалами только через головной офис, опять же?

    Это так, из лично пережитого.
    • +1
      Вы, говорите в общем правильные вещи. Но:
      1) настройка телефонии не входит в этот цикл
      2) более правильное решение поставить какой-нибудь 3560 вместо 2960 и маршрутизировать локальный трафик на нем, оставив сервера в другом широковещательном домене, чтобы проблемы пользовательской сети не влияли на доступность серверов. Кроме того, более удобно настраивать правила доступа и нат.
      Что касается одного линка до филиала, то вы и не представляете, похоже, как бывает на некоторых реальных сетях. Я работал в холдинге с 50 компаниями в разных городах. Никакого резервирования, нет юпс, питание скачет. А на одном из центральных узлов стояла 26-ая циска. Одна на несколько сотен машин, аксес-листы, нат, телефония. О-о. Как я тогда выкручивался)
      Нет, я нисколько не оправдываю себя и данную схему) Я согласен с вами полностью. Но опять же для понимания, этого достаточно. Когда мы обратимся к вопросу динамической маршрутизации, тогда можно будет сказать и дополнительных линках.
      Спасибо за критику.
      • 0
        >. Никакого резервирования, нет юпс, питание скачет. А на одном из центральных узлов стояла 26-ая циска.
        Я вот именно это и имел в виду под словами «жесть как она есть». У меня 14 филиалов с относительно неустойчивыми линками было, и я связывал их звездой через provisioning. Сложнее маршрутизация, зато меньше транзита.

        Единственное (и самое существенное) нарекание к схеме — обилие SPOFов и в то же время какое-то негуманное резервирование, подразумевающее безлимитные бюджеты.
  • 0
    Мне кажется вы сейчас пытаетесь опять изобрести велосипед.
    Лучше если уж и хотите доносить информацию до определённого круга лиц, возьмитесь и переведите ролики существующие ролики, для начинающих это будет лучшем подспорьем.
    • +2
      Отличная мысль! Возможно этим тоже займёмся)
      Дело просто в том, что я в своё время, так и не смог найти какой-то серии или видео, в котором по шагам рассказали бы про вланы, маршрутизацию статическую и динамическую, наты, оспфы и прочие протоколы. Пришлось потратить много времени на то, чтобы разобраться с очевидными вещами. Спасибо zepps, который в своё время</>, дал толчок мне, но и он бросил эту затею. Судя по числу человек, добавивших публикацию в избранное, тема интересная. И я планирую довести её до логического конца.
    • 0
      а какие существующие ролики? перевести-то можно, но, лично по моему мнению, у айтишника английский язык должен быть хотя бы на уровне чтения тех. литературы. Иначе в определенный момент (ну взять хотя бы сертификацию циски- экзамен и литература для ccna есть на русском, а все, что дальше- нет) человек просто упирается в потолок знаний, умений, зарплаты, в конце концов.
      • 0
        Волшебное слово — CBT Nuggets. Jeremy Cioara — парень который ведёт все курсы циски у них. Заслушаться можно.
        • 0
          Да как пример эти ролики имел ввиду.
        • 0
          Иногда умудряюсь под них засыпать :)
          • 0
            А я как раз наоборот — умудряюсь под них провести всю ночь за монитором :)
  • 0
    Прошу пояснить зачем на первой цветной приблизительной схеме msk-arbat-asw2. Серверная ферма и так подключена к msk-arbat-asw1. Нехватка портов на msk-arbat-asw1?
    • +1
      Теоретически да.
      А вообще, чтобы в будущем показать работу STP, в случае если кто-то соединит свитчи дополнительным проводом). Но вот с этим мы немного поторопились. В Packet Tracer'e нету stp.
      А вообще, как выше правильно заметили, то они должны работать в паре для резервирования с избыточными линками до dsw. Но опять же лаборатория не позволит.
  • 0
    хорошая статья (проголосовать не смог кармы не хватило), вот только мне кажется, что все таки это уровень НЕ «самых маленьких», а чуток постарше, т.е. не ясли…
  • +1
    Такой статьи как раз и не хватало. Жду с нетерпением продолжения.
  • +2
    рад, что наша статья понравилась и, судя по количеству добавивших в избранное, многим показалась даже полезной. Будем стараться дальше.
  • 0
    Перезалейте файлы в другое место например в гугл докс, а то дроп-бокс выдаёт 509 ошибку
    • +1
      Перезалил всё, кроме схем сети. Спасибо за информацию.
  • 0
    Критикую:

    1) msk-arbat-asw2 должен воткнут в msk-arbat-dsw1 на L1, не только в своего коллегу msk-arbat-asw1!
    2) траффик в участке msk-rubl-asw1 и msk-arbat-dsw1 должен проходить в (шифрованном) туннеле.
    3) непонятен объем траффика, кое-где придется объединять пару линков в транке.
    4) должно быть минимум два аплинка.
    • +1
      В следующий раз мы будем осмотрительней. Следовало лучше обозначить, что это тестовая лаборатория, а не проект сети для эксплуатации. Шифрование, резервирование агрегирование — это технологии явно не для новичков. Учитывая такое большое количество критики такого плана, я думаю, стоит в цикл включить в самом конце технологии резервирования.
      А относительно реальных сетей полностью с вами согласен.
      • 0
        надо в тексте почаще это упоминать. типа «а вот тут, ребята, мы не используем тот-то и то-то. а вот когда вы будете строить реальную сеть почитайте про это там-то»
        • 0
          Учтём ваше замечание. И, думаю, в конце следует добавить пару статей о том, как должно быть с практикой.
  • 0
    Отличная статья. С нетерпением жду продолжения, в частности про VLAN. На следующей неделе возможно понадобится.
    Как на Хабре все вовремя появляется!
    • +1
      Такс. Статья про вланы будет не раньше конца января, поэтому если есть какие-то вопросы, лучше сейчас и в личку. Кстати, на хабре я заметил это правило. Несколько раз у самого так было.
  • 0
    Думаю что в схему L1 можно добавить:
    -физическое местоположения устройств,
    -опционально подключение к электросети (48 В / 220 В),
    -интерфейс аплинка,
    -контакты.

    Надеюсь напишите еще про:
    — топологию сети (у вас элементы и звезды, и дерева и PPP),
    — STP,
    — inter-VLAN routing,
    — мониторинг.
    • 0
      Думаю, эта информация перегрузит схему. Она должна быть простой и понятной. А то, что указали вы можно вынести в отдельный документ, который был указан в списке.

      Советы по тематике статей дельные, особенно мониторинг — об этом я не подумал. Так или иначе в будущем мы их затронем.
  • +1
    Судя по планам у Вас получится курс ICND Express.
    Оборудование Cisco — это хорошо, даже очень хорошо, но не стоит забывать, что существуют и другие, не менее уважаемые вендоры.
    Поэтому, мое мнение, упор стоит сделать именно на теоретических знаниях, чем на листингах вводимых комманд.

    • 0
      В вопросах технологий мы постараемся абстрагироваться от циски для объяснения принципов работы, но конфигурирование — основная всё-таки цель статьи — будет на циске с листингами команд.
      Впрочем при понимании законов циска, прокурва, длинк — особой разницы уже нет) Вы же понимаете)
  • 0
    Поддерживаю.
    еще шикарны Huawei с cisco-подобным cli
    у нас их хватает. и народ не жалуется.
    еще нортелы
    • 0
      Самый удобный интерфейс на мой взгляд у HP, если говорить о коммутаторах. Удивительно логичный, информативный и гибкий. Потом циска и Хуавэй делят второе место)
      Стабильность работы в общем-то всех трёх перечисленных вендоров на высоком уровне, но Хуавэй реально рулит своей универсальностью)
  • 0
    Друзья, если вы «долго думали с чего начать», да и ещё сделали упор в Cisco, взяли бы курс ICND и прям по оглавлению пошли бы статьи писать с мааааленькими вкраплениями из реальной практики.
    В целом — всё ок. Тем кто в этом вообще не шарит будет полезно для общего развития. Тем кто шарит — никогда не плохо будет понастальгировать что-ли
    • 0
      Если мы начнём icnd и будем шагать по оглавлениям, то такими темпами цикл растянется на годы)
      Всё равно инженеры в телекоме, да и где угодно должны быть ориентированы на саморазвитие. Поэтому мы заложим самый простой базис в виде теории и практики, чтобы читатель потом не терял времени, читая официальную документацию.
      В целом, я, конечно, понимаю, что мы делаем то, что было сделано до нас много раз) Но, собственно, что тогда большая часть современного интернета, как не миллионы копий известной из какого-либо источника информации? :)
  • 0
    Кстати, можно дать ссылки на TIA/EIA-568, очень толковый стандарт, мало воды и много практических рекомендаций.
  • 0
    Можно немного буквоедства?
    В данном примере все подсети имеют маску /24 (/24=255.255.255.0) — это сеть класса C — зачастую такие и используются в локальных сетях.
    По вашей же ссылке видно, что сетью класса C называется такая сеть, первые биты в IP-адресе которой представляют собой последовательность 110, а не та, у которой маска /24. Приватная сетка 172.16/12 никак в эти критерии не вписывается. О бесклассовой адресации надо было упомянуть в первую очередь.

    В общем и целом — ок. Начинающим будет полезно.

    в разработке находится 100Gb (а по слухам уже даже есть такие платы, вышедшие в промышленное производство)
    Уже доступны для заказа. Денег стоят неприличных, но продаются. Для Juniper T-серии один порт в прайслисте стоит $450k, на MX-серии $320k. Соответственно, для стоимости линка надо эти цифры умножить на два. Для Cisco CRS-3 модули тоже есть, но цен в прайслисте я не увидел, грозились до конца года начать продавать. Порядок, думаю, будет как у T-серии. Хотя у циски CFP-модули почти на $100k дешевле, могут за счёт этого выплыть.
    • 0
      Конечно же вы, правы. Наш косяк. Сейчас поправлю. Спасибо.
      450 000?! Я сначала «k» не увидел, удивился) А потому увидел и ещё больше удивился)
      • 0
        А теперь умножьте на два:)
        В ближайшие года два выйдут новые оптические модули, которые должны здорово снизить стоимость порта. Всё будет не так страшно, десятку тоже боялись когда она появилась.
        • 0
          Суммы сумасшедшие, просто, но не пройдёт и 5 лет...)
          • 0
            все ждут новую элементную базу, которая существенно снизит цены на 40G и 100G
            • 0
              Совершенно верно.
    • 0
      Кстати, заказуемые порты 40G и 100G являются Ethernet-ом, или STM-256 упакованым в OTU-3 и ??? упакованым в OTU-4? Так как на всех железках с 40G, котрые я видел (не много, скажем честно) порты были 40G POS
      • +1
        40GE в чистом виде сейчас точно есть у Extreme Networks. Для Juniper MX сороковки обещаются, но пока, вроде бы, нет, надо гянуть. У циски 40GE, если мне память не изменяет, есть на нексусах, а в роутерах они сразу будут играть на рынке 100GE. На CRS-1 есть модуль, в простонародье называемый Godzilla, он как раз представляет собой STM-256, но это чистый POS. Сотки же сразу предполагаются чисто езернетными, никакого POS. Как-то так.
        • 0
          спасибо
  • 0
    Всё хорошо. Одно упустили. Посреди простенькой статьи для начинающих у вас вылезло цискарное слово «транк» без каких либо объяснений. После этого и заснуть недолго.
    • 0
      Да ладно вам, а слова ISO, port-based VLAN, hostname вас никак не задели?
      895 человек посчитали иначе и для них в следующих частях мы дадим объяснение этого и других слов)
  • 0
    А скажите, что вы используете для маркировки кабеля? Как называется, где купить?
    • 0
      Сначала у нас были специальные листы с шаблоном. Мы печатали на них откуда и куда идёт кабель. А когда они кончились, использовали обычную клейкую бумагу, которую можно купить в канцелярском магазине.
      В принципе очень много разнообразных методов: наклейки, пластиковые метки, наборные метки, шильдики (не знаю, как это правильно называется:)). У легранда, например, богатый выбор)
    • 0
      Судя про тому что я видел — кто как.
      кто использует принтера для штрих кодов и ведет базу, кто стикерами.
      это не считая того что все порты подписаны на свичах/роутерах и есть карта подключений, кабельных шахт и кабель-ростов, с интервалом в сколько-то метров, иначе через 5 метров из пучка кабелей штук в 60 черт ногу сломит разобраться.
  • +1
    Спасибо большое за публикацию и особенно за ссылки на полезные материлы-книги.
    • 0
      Пожалуйста большое) Приходите в следующий раз.
      • 0
        А второй раз долго ждать?
        • 0
          В январе. После праздников, я думаю. Если желаете, могу пригласить, когда опубликую.
          • 0
            Да я в принципе регулярно читаю rss, так что не пропущу. Просто хотелось бы знать, когда приблизительно ждать вторую часть. У нас планируется переезд в новое здание (в следующем году), хотелось бы устроить все «по уму».
            • 0
              Вы понимаете, я не смогу так быстро научить вас как надо «по уму». Дело в том, что с этим понятием я сам скорее знаком теоретически. Цель цикла дать основы, понимание того, как функционируют механизмы и как их настроить и использовать на сетях.
              В принципе, как сделать по уму, в ветках коментов к этой публикации уже обсудили: максимум резервирования: VRRP, STP, протоколы динамической маршрутизации, агрегирование каналов. До каждой удалённой точки необходимы альтернативные каналы связи.
              Сетевое планирование — большой и более сложный пласт, чем просто набор технологий.
              Впрочем, по некоторым конкретным вопросам я готов вам попробовать подсказать в личке)
            • +1
              Можете в Q&A создавать вопрос и сюда ссылку — ответим как лучше :)
              • 0
                Я так и думаю сделать.
              • 0
                Как и обещал — выложил вопрос в Q&A:
                habrahabr.ru/qa/14915/
  • 0
    Интересно ваше мнение по одному вопросу. Собственно вот он: habrahabr.ru/qa/15265/
  • 0
    Что касается обновления/синхронизации схем — dia, вроде бы, поддерживает слои (или группы — дома проверю). Можно выделять специфичные для каждой схемы элементы в такие «слои» и переключать при необходимости. При этом не прийдётся мучаться с common для нескольких схем объектами.
    • 0
      А так статья интересная. Спасибо.
      • 0
        Скоро продолжение: 4-ая часть.
        • 0
          Ждём :)
    • 0
      Dia не использую в широком смысле. На работе всё равно Visio. Поэтому пока не было необходимости разбираться глубоко.
  • 0
    Третья ссылка Cisco press (с русским языком) пишет «This folder is empty».
    Залейте пожалуйста еще раз.
  • 0
    Извините, а можете ли описать — каково преимущество Киски стоимостью XXXXX баков перед обычным компом c линухом и с тупым роутером в маршрутизации? Я какбе понимаю внутри, но объяснить людям понятными им словами не могу. И очень популярный вопрос, кстати, на который не очень продвинутый админ ответить зачастую не может.
    • 0
      Говоря простым языком: чем отличается холодильная установка для магазина от холодильника Бирюса у вас дома?
      Всё определяется целями и бюджетом. Естественно, если у вас маленькая сеть, то вам подойдёт длинк и комп с проксей. Причём даже тут вы можете купить циску из 1700-х например. Будет чуточку подороже, правда.

      А если у вас дата-центр, то вы никак не поставить на маршрутизацию линукс-сервер. Тут у каждой железки своя задача.
      Да и недюжий опыт, наверно, требуется, чтобы поднять на линуксе BGP, STP, OSPF. Сложно замутить различные схемы резервирования, подключения удалённых офисов с шифрованием.
      Ещё один момент — оборудование циско сертифицировано для этих целей.
      Ну и надо помнить, что помимо циски есть и другие производители, более дешёвые (Huawei) и сильно более дешёвые (Microtic)
  • 0
    Что такое «0/1», «0/0», «0/24» в портах? Vlan — access, trunk? Пояснение будет в следующих статьях?
    • 0
      Так номер порта и есть.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.