The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Как безболезненно реорганизовать сеть на VLAN'ы? "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Как безболезненно реорганизовать сеть на VLAN'ы? "  +1 +/
Сообщение от Пыхтачок (?), 27-Май-21, 15:15 
Добрый день друзья!

Пришёл в организацию, где сеть построена плоская, без VLAN'ов. ПК порядка 200, и ещё всякие сетевые устройства.
Сеть построена на управляемых L2 коммутаторах, но используются они просто как свичи. Центр сети - маршрутизатор микротик.
В сети несколько подсетей - организованых просто статическими адресами, с маршрутизатором сежду ними - вышеуказанным микротом.

Собственно решил я реорганизовать это хозяйство и нарезать на VLAN'ы. И собственно весь вопрос в том, как бы это безболезненней сделать. Подскажите пожалуйста рабочую схему.

Пока придумал так: Начать с микрота, на нём поднять все VLAN'ы, но единственный порт в который входит вся остальная сеть - access'ом для одного из поднятых VLAN'ов. И на этом влане повесить текущий DHCP. Таким образом для сетки вроде как ничего не изменится.

Далее на коммутаторе с которого идёт этот один путь на микрот - этот порт и соответствующий порт микрота переделать в транк, а все остальные порты коммутатора в ACCESS для того же самого VLAN'а.

А уж потом порты в зависимости от оборудования за ними переводить в соответствующие VLAN'ы ACCESS'ы и транки. Рабочая ли схема? И как вы бы подошли?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от abi (?), 27-Май-21, 15:55   +1 +/
> А уж потом порты в зависимости от оборудования за ними переводить в
> соответствующие VLAN'ы ACCESS'ы и транки. Рабочая ли схема? И как вы
> бы подошли?

Я у себя дома недавно делал штук 5 виланов для умной нечисти и тоже на микротах (CRS свитчи, hexS - роутер) и тоже при наличии сети без виланов. В микротиках есть настройка пропускать пакеты без виланов или с неправильными виланами. Просто сделайте так и поэтапно настраивайте. Когда всё настроете и трафик через неправильные маршруты станет нулевым, установите на транках строгое выполнение настроек виланов.


Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

2. Сообщение от pofigist (?), 27-Май-21, 17:03   +1 +/
Для начала бы я изучил вопросы что такое VLAN, как они реализуются... И после этого бы осознал что не бывает eth-сети без VLAN... :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

3. Сообщение от Аноним (3), 27-Май-21, 18:43   +/
Работает - не трогай.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

4. Сообщение от NetEye (ok), 01-Июн-21, 15:48   +1 +/
> А уж потом порты в зависимости от оборудования за ними переводить в
> соответствующие VLAN'ы ACCESS'ы и транки. Рабочая ли схема? И как вы
> бы подошли?

Данная схема рабочая, но начинать нужно с дизайна сети.Если на свитчах порты вперемешку заняты  между пользователями и другими устройствами, то задача "выделить один VLAN на один свитч" не получится.
А для выделения  N vlan  на свитчах нужно иметь под боком готовую схему с распрделнием vlan.
Второй момент - VLAN 1. Его как привило выводят в VLAN управления свитчами и закрывают  acl от остальных.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6

5. Сообщение от eek (ok), 03-Июн-21, 09:52   –2 +/
> Собственно решил я реорганизовать это хозяйство и нарезать на VLAN'ы.

Для чего? Цель изменения какая?

> Пока придумал так: Начать с микрота, на нём поднять все VLAN'ы,

А начать нужно с реальных задач бизнеса и проблем организации.

> И как вы бы подошли?

Для начала, отключил бы вам доступ на консоли сетевого железа.

Вторым этапом отправил бы вас на курсы повышения квалификации (ну или как минимум купил бы доступ к какой-нибудь образовательной платформе).

Потому что вносить изменения в работающую сеть на основе советов с форума это приговор.


Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

6. Сообщение от Пыхтачок (?), 07-Июн-21, 13:40   +/
> Данная схема рабочая, но начинать нужно с дизайна сети.Если на свитчах порты
> вперемешку заняты  между пользователями и другими устройствами, то задача "выделить
> один VLAN на один свитч" не получится.
> А для выделения  N vlan  на свитчах нужно иметь под
> боком готовую схему с распрделнием vlan.
> Второй момент - VLAN 1. Его как привило выводят в VLAN управления
> свитчами и закрывают  acl от остальных.

Да, что начинать надо с построения и документирования существующей схемы сети - это я понимаю. Чем до этой недели и занимался документацией L1. Сейчас собственно начал нарезать VLAN'ы и сразу L2/L3 документирую.

То что вперемешку и видеонаблюдение и телефоны и пользователи - это да. Есть проблема. В плане управляемого оборудования - есть ядро сети на L3 коммутаторах, на нём все VLAN'ы и межкоммутаторные транки прописал. Один отдел выделил в свой VLAN. Всё нормально.

А вот есть несколько кусков сети, откуда в управляемое ядро линк по оптике или меди приходит, но в самом этом куске уже все на неуправляемом оборудовании, и там как раз и видео и телефоны и пользователи. Так что сейчас эти куски также оборудую управляемыми железками и их причешу.

У меня такой вот вопрос: Насколько детально имеет смысл упарываться в разделении по VLAN'ам? Условно, надо ли отделять БУХОВ/МЕХАНИКОВ/МАНАГЕРОВ/ДИРЕКТОРОВ/АЙТИШНИКОВ? Ну Айтишников понятно надо для доступа к сетевому оборудованию, а вот стандартные офисные группы сотрудников стоит делить?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #18

7. Сообщение от Пыхтачок (?), 07-Июн-21, 13:53   +1 +/
> Для чего? Цель изменения какая?

Что значит цель какая? Построить правильно оформленную сеть. С чётким управлением чего и кому можно и нужно.

> А начать нужно с реальных задач бизнеса и проблем организации.

Защищённость сети - не задача бизнеса? Когда охранник приносит в свою камору роутер и просто с его помощью раздаёт себе на телефон интернет, хотя казалось бы ему туда заходит линк лишь только для видеонаблюдения. Чтобы пользователи не строили то, что им показалось необходимым, а пользовались только тем, что подразумевается компанией.

> Для начала, отключил бы вам доступ на консоли сетевого железа.

Любо дорого смотреть на таких вот высокомерных людей.

> Вторым этапом отправил бы вас на курсы повышения квалификации (ну или как
> минимум купил бы доступ к какой-нибудь образовательной платформе).

Ну насчёт обучения - я завсегда за, так что как активная фаза причёсывания сети закончится, вполне себе может и воспользуюсь советом получить корочки.

> Потому что вносить изменения в работающую сеть на основе советов с форума
> это приговор.

Вот так безапелляционно заявлять что-то граничащее с оскорблением собеседнику на основе лишь одного его сообщения на форуме с просьбой консультации - это как мне кажется гораздо более суровый приговор.
Я просто консультируюсь с профессионалами, чтобы свои мысли перед совершением ответственных шагов - сверить с людьми более грамотными.  Для чего собственно технические форумы и предназначаются, а уж никак не для того чтобы тешить своё ЧСВ.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #10

8. Сообщение от Пыхтачок (?), 07-Июн-21, 13:58   +/
> Работает - не трогай.

Не тот случай. Неужели серьёзно уверены что 200+ ПК, видеонаблюдение, IP телефоны и парк серверов в плоской сети разграниченной лишь подсетями, перемещение между которыми легко производится просто прописыванием вручную соответствующих IP/МАСКИ- это то, что не надо трограть пока работает?
А когда случится "ПЕРЕСТАЛО РАБОТАТЬ", мне что предполагается делать? Увольняться? :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

9. Сообщение от Пыхтачок (?), 07-Июн-21, 14:00   +/
> Я у себя дома недавно делал штук 5 виланов для умной нечисти
> и тоже на микротах (CRS свитчи, hexS - роутер) и тоже
> при наличии сети без виланов. В микротиках есть настройка пропускать пакеты
> без виланов или с неправильными виланами. Просто сделайте так и поэтапно
> настраивайте. Когда всё настроете и трафик через неправильные маршруты станет нулевым,
> установите на транках строгое выполнение настроек виланов.

Спасибо за совет!

Примерно так и сделал. Т.е. все VLAN'ы описал на всех коммутаторах, в транках их оформил, но 1-ый тоже пока в них пропускается. И уже потихоньку порты на коммутаторах перевожу для соответствующих групп в Access.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

10. Сообщение от eek (ok), 10-Июн-21, 16:51   –2 +/
>> Для чего? Цель изменения какая?
> Что значит цель какая?
> Построить правильно оформленную сеть.
> С чётким управлением чего и кому можно и нужно.

Вот с этого момента можно дальше не продолжать. "Правильно оформленная сеть" как вы выразились, это сферический конь в вакууме. Более того, я думаю вас наняли сеть обслуживать, а не строить.


>> А начать нужно с реальных задач бизнеса и проблем организации.
> Защищённость сети - не задача бизнеса? Когда охранник приносит в свою камору
> роутер и просто с его помощью раздаёт себе на телефон интернет,
> хотя казалось бы ему туда заходит линк лишь только для видеонаблюдения.
> Чтобы пользователи не строили то, что им показалось необходимым, а пользовались
> только тем, что подразумевается компанией.

Ответьте себе на вопрос, как именно сегментация сети поможет решению кейса, что вы привели выше.


>> Для начала, отключил бы вам доступ на консоли сетевого железа.
> Любо дорого смотреть на таких вот высокомерных людей.

Вы задали конкретный вопрос, я дал конкретный ответ.
Вам не нравиться ответ - так бывает.


>> Вторым этапом отправил бы вас на курсы повышения квалификации (ну или как
>> минимум купил бы доступ к какой-нибудь образовательной платформе).
> Ну насчёт обучения - я завсегда за, так что как активная фаза
> причёсывания сети закончится, вполне себе может и воспользуюсь советом получить корочки.

Не стоит путать корочки и получение знаний. Ваша фраза в переводе на русский язык звучит примерно так: "Я сейчас быстренько сделаю операцию на мозге, а потом _может быть_ пойду поучусь в медицинский институт".


>> Потому что вносить изменения в работающую сеть на основе советов с форума
>> это приговор.
> Вот так безапелляционно заявлять что-то граничащее с оскорблением собеседнику на основе
> лишь одного его сообщения на форуме с просьбой консультации - это
> как мне кажется гораздо более суровый приговор.

Если кажется, нужно креститься.


> Я просто консультируюсь с профессионалами, чтобы свои мысли перед совершением ответственных
> шагов - сверить с людьми более грамотными.

Вы в другую сторону эту ситуацию разверните. Кто вам сказал что люди (включая меня), сидящие на это форуме, профессионалы ? Кто вам сказал что они "хотят как лучше"?


> Для чего собственно технические форумы и предназначаются,
> а уж никак не для того чтобы тешить своё ЧСВ.

Каждый использует форум как ему нравиться, до момента пока соблюдает правила поведения.

Написание ответов на такого рода вопросы, берет очень много времени. Когда я пишу их, я очень надеюсь что прочитав это, хотя-бы один из 10 пионеров с горящими глазами задумается. Сядет за книжки (видео курсы) и разберется в базовых основах систем ДО того как начать вносить изменения.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #11

11. Сообщение от Пыхтачок (?), 10-Июн-21, 17:56   –1 +/
> Более того, я думаю вас наняли сеть обслуживать, а не строить.

Ах, вы думали? Вы, значит, иногда думаете? Вы мыслитель. Как ваша фамилия, мыслитель? Спиноза? Жан-Жак Руссо? Марк Аврелий?
Если что, это просто уместная в данном случае цитата из классики.

> Ответьте себе на вопрос, как именно сегментация сети поможет решению кейса, что
> вы привели выше.

Я сомневаюсь с этого момента уже в ваших способностях. VLAN сегменту для видеонаблюдения запрещён на роутере доступ в интернет? Не вариант?


> Вы задали конкретный вопрос, я дал конкретный ответ.
> Вам не нравиться ответ - так бывает.

Мне вот тЬся в данном случае гораздо больше не нравится. Всё просто на самом деле, где собираетесь писать -тся или -ться, просто задайте вопрос: Что делатЬ? Значит -ться, Что делает? Значит -тся.

> Не стоит путать корочки и получение знаний. Ваша фраза в переводе на
> русский язык звучит примерно так: "Я сейчас быстренько сделаю операцию на
> мозге, а потом _может быть_ пойду поучусь в медицинский институт".

Вы наверное и по СМС гадаете и судьбу предсказываете.

> Вы в другую сторону эту ситуацию разверните. Кто вам сказал что люди
> (включая меня), сидящие на это форуме, профессионалы ? Кто вам сказал
> что они "хотят как лучше"?

Тут вы полностью правы. На основе беседы с вами, вас я в качестве профессионала не рассматриваю.

> Каждый использует форум как ему нравиться, до момента пока соблюдает правила поведения.

Да, а вот если б правила грамматики требовалось соблюдать, то вас бы точно с вашими режущими глаза -ться уже забанили везде.

> Написание ответов на такого рода вопросы, берет очень много времени. Когда я
> пишу их, я очень надеюсь что прочитав это, хотя-бы один из
> 10 пионеров с горящими глазами задумается. Сядет за книжки (видео курсы)
> и разберется в базовых основах систем ДО того как начать вносить
> изменения.

Вы вообще ничего дельного кроме своих "фи" в этой ветке не написали. А вот своего эго тут навыставляли, как  будто в одиночку вагоны разгружали. Как же это называется....? А! Газифицирование луж, в этом вы похоже профессионал!


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #12

12. Сообщение от eek (ok), 11-Июн-21, 10:24   –1 +/
> Да, а вот если б правила грамматики требовалось соблюдать, то вас бы
> точно с вашими режущими глаза -ться уже забанили везде.

Это безусловно самое главное :)
По делу же сказать нечего :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #13

13. Сообщение от tesT (?), 25-Июн-21, 05:58   +1 +/
>> Да, а вот если б правила грамматики требовалось соблюдать, то вас бы
>> точно с вашими режущими глаза -ться уже забанили везде.
> Это безусловно самое главное :)
> По делу же сказать нечего :)

А что плохого в отделении L2 уровней для видео, телефонии, управления и собственно корпоративной локалки, что используется в рабочих процессах?
По мне так правильная задумка, L2 отделён, L3 стерминирует на маршрутизаторе и там всё зарежет кому чего и куда можно и нельзя.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

14. Сообщение от freedom200 (ok), 27-Июн-21, 19:55   +1 +/
>[оверквотинг удален]
> Пока придумал так: Начать с микрота, на нём поднять все VLAN'ы, но
> единственный порт в который входит вся остальная сеть - access'ом для
> одного из поднятых VLAN'ов. И на этом влане повесить текущий DHCP.
> Таким образом для сетки вроде как ничего не изменится.
> Далее на коммутаторе с которого идёт этот один путь на микрот -
> этот порт и соответствующий порт микрота переделать в транк, а все
> остальные порты коммутатора в ACCESS для того же самого VLAN'а.
> А уж потом порты в зависимости от оборудования за ними переводить в
> соответствующие VLAN'ы ACCESS'ы и транки. Рабочая ли схема? И как вы
> бы подошли?

Есть возможность составить текущую карту сети?
И карту какую ты желаешь видеть.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15

15. Сообщение от Пыхтачок (?), 28-Июн-21, 09:13   +/
> Есть возможность составить текущую карту сети?
> И карту какую ты желаешь видеть.

Прямо вот сегодня последний сегмент с серверами загнал в VLAN.
Карту сети составлял по ходу знакомства и реорганизации.
Сейчас есть исчерпывающая L1 схема сети, какие коммутаторы с какими связаны, и т.п. остальное управляемое оборудование.
Также полностью по ходу переформатирования сетки описывал всю L2 схему построения. Какие порты в коммутаторах ACCESS'ы, какие TRUNK'и. Всё чётенько и аккуратно оформлено.
Вот L3 выглядит довольно куцо, т.е. просто подсети в VLAN'ах и список адресов узловых сетевых устройств в сегментах.

Итог этой ветки обсуждения: Проведена большая и нужная работа. В предприятии которая работает 24/7 в разных регионах страны, в течение месяца я реорганизовал сеть, оформил все коммутаторы, где надо докупили и заменили управляемыми старые неуправляемые. По одному нарезал сегменты, всё аккуратно запланировав, чтобы условно временные трудности в момент выделения сегмента были лишь у самого сегмента, до момента ipconfig /release, ipconfig /renew ну или там с вариациями.

По сегментам оформлена матрица доступа, т.е. кому с кем можно сообщаться.

По итогу - я доволен собой, в конторе довольны моими изначально заявленными целями и теперь их успешной реализацией, моё ЧСВ также очень довольно :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #19

16. Сообщение от Пыхтачок (?), 28-Июн-21, 09:38   +/
> Пока придумал так: Начать с микрота, на нём поднять все VLAN'ы, но
> единственный порт в который входит вся остальная сеть - access'ом для
> одного из поднятых VLAN'ов. И на этом влане повесить текущий DHCP.
> Таким образом для сетки вроде как ничего не изменится.
> Далее на коммутаторе с которого идёт этот один путь на микрот -
> этот порт и соответствующий порт микрота переделать в транк, а все
> остальные порты коммутатора в ACCESS для того же самого VLAN'а.
> А уж потом порты в зависимости от оборудования за ними переводить в
> соответствующие VLAN'ы ACCESS'ы и транки. Рабочая ли схема? И как вы
> бы подошли?

По итогу проведённых мероприятий сам тут и отвечу на свой вопрос:
Лучше не загонять сперва всё в какой-то VLAN, более того, как кто-то тут уже озвучил - VLAN хоть какой-то всегда есть.

Лучше для нарезки по сегментам:
1. Сперва на всех коммутаторах и маршрутизаторе создать предполагаемые к реализации VLAN'ы. (не назначая их пока портам)
2. Далее все межкоммутаторные линки оформить в транки. С разрешённым native vlan'ом. Чтобы всё не выделенное в VLAN продолжало работать как раньше.
3. Сформировав понимание того на каком коммутаторе какие конечные сегменты будут сидеть или через него проходить транзитом - ограничить все транки соответствующим набором VLAN'ов + native нетегированный.
4. На маршрутизаторе в простейшем случае когда сети надо выдавать интернет, завести таблицу с L3 подсетями активных VLAN'ов, т.е. тех в которые запущены пользователи. И им раздать интернет. Т.е. будет 2 правила NAT'a: Для всего что ломится через WAN интерфейс (это прежнее правило, для не выделенных в VLAN'ы) и для указанного списка подсетей NAT'им.
5. Выделяем один из VLAN сегментов:
  - На маршрутизаторе для данного VLAN интерфейса поднимаем DHCP сервер с соответствующей подсетью. Если надо добавляем подсеть в список для NAT'а.
  - Все порты куда входят пользователи сегмента переводим в ACCESS с данным VLAN'ом. И проходимся по пользователям
  - У пользователей при необходимости обновляем dhcp лизы, или переводим со статики в dhcp и прочие мелкие неурядицы.
6. Когда сегмент выделен и все неурядицы связанные с ним решены - повторяем для следующего сегмента и т.п.

  

Ответить | Правка | Наверх | Cообщить модератору

17. Сообщение от maxnetstatemail (ok), 06-Июл-21, 13:23   +2 +/
> Для начала бы я изучил вопросы что такое VLAN, как они реализуются...
> И после этого бы осознал что не бывает eth-сети без VLAN...
> :)

Вы председатель в обществе зануд?:)
Да вы правы, но ваше замечание не поможет решить проблему
и вообще к ней не относится

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #22

18. Сообщение от maxnetstatemail (ok), 06-Июл-21, 13:30   +2 +/
>[оверквотинг удален]
> отдел выделил в свой VLAN. Всё нормально.
> А вот есть несколько кусков сети, откуда в управляемое ядро линк по
> оптике или меди приходит, но в самом этом куске уже все
> на неуправляемом оборудовании, и там как раз и видео и телефоны
> и пользователи. Так что сейчас эти куски также оборудую управляемыми железками
> и их причешу.
> У меня такой вот вопрос: Насколько детально имеет смысл упарываться в разделении
> по VLAN'ам? Условно, надо ли отделять БУХОВ/МЕХАНИКОВ/МАНАГЕРОВ/ДИРЕКТОРОВ/АЙТИШНИКОВ?
> Ну Айтишников понятно надо для доступа к сетевому оборудованию, а вот
> стандартные офисные группы сотрудников стоит делить?

Я думаю стоит.
отдельный влан для телефонии, отдельный для видео, отдельный для каждого отдела.
Чем более сегментированная ваша сеть будет  - тем проще выявлять проблемы.
Если у вас несколько зданий в которых работают одинаковые отделы, вы можете выделить отдельный пул вланов для каждого. Но тут также не стоит переусердствовать с количеством иначе запутаетесь в итоге.
Ваша сеть должна быть понятной.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

19. Сообщение от Аноним (3), 06-Июл-21, 16:05   +1 +/
Было:

Всё просто и понятно, воткнул-работает. Сеть может обслуживать любой человек, способный вбить IP адрес в винде.
Проблемы с сетью редки и решаются за 5 минут в среднем - перезагрузкой подвисшего железа. Что может произойти с неуправляемым свичом? Да ничего. Сгорит разве что - раз в сто лет.

Стало:

Чтобы обслуживать сеть, нужно читать документацию и быть специалистом с опытом настройки сетевого оборудования. Есть риск возникновения граблей с адресацией и маршрутизацией, не решаемых за рабочий день. Издержки при увольнении и найме новых сотрудников - требуется ознакомление с документацией и поддержание ее в актуальном состоянии.
Умные железки частенько тупят на уровне отдельных портов и проблемы сложно диагностируются. Еще он требуют обновления прошивок... Чтобы не путаться в конфигах, вам понадобится конфигохранилище... Монитоооринг...

Работать вам теперь есть с чем, в общем.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #20

20. Сообщение от Пыхтачок (?), 07-Июл-21, 07:48   +/
> Было:
> Всё просто и понятно, воткнул-работает. Сеть может обслуживать любой человек, способный
> вбить IP адрес в винде.
> Проблемы с сетью редки и решаются за 5 минут в среднем -
> перезагрузкой подвисшего железа. Что может произойти с неуправляемым свичом? Да ничего.
> Сгорит разве что - раз в сто лет.

Всё в целом описано правильно. Так оно и было. Только вот вы описали положительные моменты проистекающие из "просто и понятно". А ведь существуют и проблемные стороны такой "простоты и понятности":

- принципиальная невозможность отделить сервера от пользователей. Серверов физических около 15 штук, с виртуальными - штук 30. На каждом свои сервисы.

- принципиальная невозможность разграничить доступ к сервисам для отдельных типов пользователей. IPMI, SMB, 1C, SQL, AD - всё в одном чистом поле со всеми пользователями, которые делают на своих компах что захотят.

- принципиальная невозможность локализовать распространение всяких вредоносов сегментом начального заражения. Все в чистом поле, так что сгорел сарай - гори и хата. И я это не просто так говорю, меня туда когда устраивали, рассказали о нескольких произошедших вирусных атаках, когда всё накрылось вплоть до серверов. Гарантии 100% нет, но стремиться повышать защищённость - это важней чем иметь возможность рулить хозяйством без особого опыта.

- потенциальные широковещательные шторма убивающие всю сеть. Тут я с этим не столкнулся, а у сотрудников не спрашивал - были ли проблемы с широковещательным трафиком прежде, но на этапе моей трудовой карьеры, когда обслуживаемая мной организация разрослась, а сегментирования не было, и я отхватывал на протяжении недели то там, то тут отваливающуюся сеть из за широковещательного траффика - меня научило новому, и принесло понимание того что на определённом этапе роста сети, её необходимо разбивать на сегменты. Иначе отхватишь себе геморроя.

> Стало:
> Чтобы обслуживать сеть, нужно читать документацию и быть специалистом с опытом настройки
> сетевого оборудования. Есть риск возникновения граблей с адресацией и маршрутизацией,
> не решаемых за рабочий день. Издержки при увольнении и найме новых
> сотрудников - требуется ознакомление с документацией и поддержание ее в актуальном
> состоянии.
> Умные железки частенько тупят на уровне отдельных портов и проблемы сложно диагностируются.
> Еще он требуют обновления прошивок... Чтобы не путаться в конфигах, вам
> понадобится конфигохранилище... Монитоооринг...

Тоже верно. Но документация сети должна быть вне зависимости от того насколько сложно она организована. А то ведь мы же знаем что основная проблема человека "не в том, что он смертен, а в том, что он внезапно смертен" (с) Булгаков.
И вот в случае когда сетка без "усложнений" и без "документации", а Аннушка уже пролила масло... И что придётся делать новому специалисту? IP адреса серверов? Роли? Пароли, явки? Реквизиты всяких точек доступа, роутера?
Документация нужна в любом случае, хоть простая сеть на 5 ПК, хоть на 500.

Всех сотрудников по ходу реорганизации сети, я вводил в курс дела, они понимают что делалось и зачем, так что на крайняк подхватить на каком-то уровне поддержку всего, да к тому же с описанием всего этого, т.к. я это всё документировал - смогут. А ещё и сами профессионально в некотором смысле подросли, так что я можно сказать сподвиг их на некоторый шаг выше в профессии подняться, это дорогого стоит. А то ведь можно так и просидеть в простых комфортных условиях до 40+, а потом почуствовать что бегать по пользователям переустанавливать програмки да принтеры подключать - уже не охота, а на оторванную от пользователей должность управления серьёзной сетью - опыта нет, и мозги уже очень привыкли к "простому и понятному".

По поводу что управляемые железки требуют ухода и поддержки и пр. Тут у меня как раз та самая простота: Всё что от умных железок надо - это просто L2 нарезка. Ну ещё несколько ACL для изоляции отдельных сегментов. Никаких петель, мониторинг всего на zabbix заведён. На самом деле это не какой-то уровень жырного ынтырпрайза, а достаточный уровень для грамотного построения данной сети.
И железок не так много чтобы надо было вести конфигохранилище :) Но я об этом подумаю :)

> Работать вам теперь есть с чем, в общем.

Тоже верно, но не с точки зрения что "проблем стало не меньше, просто они стали сложней", а с точки зрения "для управления этим хозяйством требуется специалист соответствующего уровня, с определённым уровнем оплаты".
Так что: "Работайте братья!" (с) Герой РФ

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

22. Сообщение от pofigist (?), 08-Июл-21, 14:46   +/
>> Для начала бы я изучил вопросы что такое VLAN, как они реализуются...
> Да вы правы, но ваше замечание не поможет решить проблему

Вообще-то - поможет. Скажу более - без моего совета проблема нерешаема.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру