Разбиение на vlan

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
shwed
member
Сообщения: 27
Зарегистрирован: 05 дек 2011, 16:06
Откуда: Санкт-Петербург

Разбиение на vlan

Сообщение shwed » 04 фев 2016, 16:33

В компании достаточно бестолково организована локальная сеть.
По сути - это некоторое количество обыкновенных свичей уровня доступа. К одному из них подключены все остальные.
Это и компьютеры пользователей, и серверы, и АТС с небольшим количеством ip-телефонов (в дальнейшем планируется замена всех телефонов на ip), и различные сетевые МФУ.
На части оборудования прописаны статические адреса, на остальном - DHCP.
Грубо говоря, порядка 50 адресов - статика.
Порядка 280 - dhcp. Из них порядка 80 - адреса, которые получают сотрудники удаленных подразделений, подключаясь по vpn.
Сеть не побита на подсети.
Соответственно, адрес сети 192.168.2.0/23.
Возникло желание все переделать.
Часть имеющихся свичей оставить на уровне доступа, часть заменить.
Есть пара железок от CISCO, на которых можно настроить маршрутизацию.
Логично разбить все это хозяйство на vlanы.
Выделить отдельно телефонию, сервера, сетевые устройства.
Вопрос - стоит ли делить имеющиеся компьютеры также на подсети? Просто очень многие оставляют их в одной подсети.
Или все же сделать по правильному, и разграничить компьютеры пользователей по отделам/географическому положению?

Основная часть свичей уровня доступа - HP V1905 (48), HP 1920-24G, есть несколько DLink (yу их думаю заменить в итоге).
Есть также cisco WS-C2960X-24TD-L с LAN Base.
А также cisco 2911.
Конечно, не идеальный вариант, но мне видется следующее:
Воткнуть в 2960-х все свичи уровня доступа. Прописать vlan. Настроить маршрутизацию на 2911. Просто в редакции lan base 2960-x не даст развернуться с маршрутизацией.

В общем, насколько стоит сильно дробить сеть и насколько работоспособна данная конфигурация?

shwed
member
Сообщения: 27
Зарегистрирован: 05 дек 2011, 16:06
Откуда: Санкт-Петербург

Re: Разбиение на vlan

Сообщение shwed » 05 фев 2016, 11:16

В общем, я думаю нет смысла дробить уж очень сильно сеть.
Выделить отдельно vlan на сервера, на телефонию, на сетевое оборудование.
Остальных распределить по географическому признаку.
В самом худшем случае в одном таком vlan будет порядка 100 устройств (компьютеров и мфу).

v.airapetov
Junior member
Сообщения: 15
Зарегистрирован: 04 фев 2013, 11:50
Откуда: Moscow

Re: Разбиение на vlan

Сообщение v.airapetov » 05 фев 2016, 13:05

Здравствуйте!

Правильно, совсем сильно дробить не надо, это ни к чему!

Я бы сделал отдельный vlan по сервера, отдельный vlan на каждую региональную локалку (т.е. МФУ, пользователи и прочее), отдельный vlan для телефонии, и что Вы имеете в виду под vlan для сетевого оборудования? Менеджмент или что-то другое?

Сильно дробить имеет смысл (отделы/департамент/...), когда есть секьюрные политики для каждого отдела, если у Вас нет межсетевого экрана или next-generation файрвола, то это не нужно.

Будут вопросы, обращайтесь.

shwed
member
Сообщения: 27
Зарегистрирован: 05 дек 2011, 16:06
Откуда: Санкт-Петербург

Re: Разбиение на vlan

Сообщение shwed » 15 фев 2016, 13:08

Сейчас часть коммутаторов уровня доступа у меня на HP.
Есть также неуправляемые, которые надо однозначно менять.
Стоит ли мне взять подобные имеющимся устройства от HP, или лучше постепенно менять на cisco?
Что бы посоветовали взять на 48 гигабитных портов у циски? С возможностью vlan, ssh, установкой в стойку.
При этом не сильно дороже HP1910-48G или HP1920-48G.

shwed
member
Сообщения: 27
Зарегистрирован: 05 дек 2011, 16:06
Откуда: Санкт-Петербург

Re: Разбиение на vlan

Сообщение shwed » 15 фев 2016, 13:39

Кстати, кто может подсказать по отличию серий HP 1910 и 1920?
По идее, 1920 - развитие. Но при этом у них объем оперативной флеш-памяти меньше (32 вместо 128).
Также у 1920 нет статической маршрутизации. То есть по сути, предыдущая модель лучше.
Также интересно, кто что может сказать по серии Cisco SG300. Вроде бы достаточно бюджетный вариант. Есть ли особенности, на которые стоит обратить внимание?

ostrov
Power member
Сообщения: 37
Зарегистрирован: 31 мар 2005, 17:26
Откуда: Мытищи Московской области
Контактная информация:

Re: Разбиение на vlan

Сообщение ostrov » 16 фев 2016, 06:50

IMHO (на собственном опыте): на основании вышеизложенных описания сети (далеко не самая большая) и требований к ее организации (по сути базовые вещи) - коммутаторов HP на доступ более чем достаточно, тем более, что 19-серия у HP это линия бывшего 3COM достаточно надежная и полнофункциональная для "среднего" уровня запросов. И смысл платить в данном случае больше за CISCO на доступ?

shwed
member
Сообщения: 27
Зарегистрирован: 05 дек 2011, 16:06
Откуда: Санкт-Петербург

Re: Разбиение на vlan

Сообщение shwed » 16 фев 2016, 10:04

По сути да, тоже считаю, что HP должно хватить.

chtal
Advanced member
Сообщения: 85
Зарегистрирован: 15 окт 2012, 11:13
Откуда: Санкт-Петербург
Контактная информация:

Re: Разбиение на vlan

Сообщение chtal » 01 мар 2016, 16:52

shwed писал(а):В компании достаточно бестолково организована локальная сеть.
По сути - это некоторое количество обыкновенных свичей уровня доступа. К одному из них подключены все остальные.
Это и компьютеры пользователей, и серверы, и АТС с небольшим количеством ip-телефонов (в дальнейшем планируется замена всех телефонов на ip), и различные сетевые МФУ.
На части оборудования прописаны статические адреса, на остальном - DHCP.
Грубо говоря, порядка 50 адресов - статика.
Порядка 280 - dhcp. Из них порядка 80 - адреса, которые получают сотрудники удаленных подразделений, подключаясь по vpn.
Сеть не побита на подсети.
Соответственно, адрес сети 192.168.2.0/23.
Возникло желание все переделать.
Часть имеющихся свичей оставить на уровне доступа, часть заменить.
Есть пара железок от CISCO, на которых можно настроить маршрутизацию.
Логично разбить все это хозяйство на vlanы.
Выделить отдельно телефонию, сервера, сетевые устройства.
Вопрос - стоит ли делить имеющиеся компьютеры также на подсети? Просто очень многие оставляют их в одной подсети.
Или все же сделать по правильному, и разграничить компьютеры пользователей по отделам/географическому положению?

Основная часть свичей уровня доступа - HP V1905 (48), HP 1920-24G, есть несколько DLink (yу их думаю заменить в итоге).
Есть также cisco WS-C2960X-24TD-L с LAN Base.
А также cisco 2911.
Конечно, не идеальный вариант, но мне видется следующее:
Воткнуть в 2960-х все свичи уровня доступа. Прописать vlan. Настроить маршрутизацию на 2911. Просто в редакции lan base 2960-x не даст развернуться с маршрутизацией.

В общем, насколько стоит сильно дробить сеть и насколько работоспособна данная конфигурация?
У вас в сетевой инфраструктуре мешанина SMB-железок (Smart коммутаторы 19xx)
и Enterprise железа Catalyst 2960, ISR 29xx.

В коммутаторах Cisco cерии 2960 LANBase есть возможность использовать
и cтатическую маршрутизацию и маршрутизацию между VLAN (разумеется в пределах
аппаратных возможностей коммутаторов). В дефолтной конфигурации SDM Template
для серии 2960 включает в нем лишь L2 возможности (это типичный функционал
для коммутатора уровня доступа). Если нужен функционал маршрутизации между VLAN,
то можно переключить SDM Template в режим LAN Base Routing, при этом
произойдет перераспределение ресурсов коммутатора и появится базовый L3 функционал
(например появится возможность создавать VLAN SVI, т.е IP-интерфейсы привязанные к VLAN,
статическая маршрутизация и т.д.). Разумеется полного L3 функционала не появится,
это все таки железка в доступ проектировалась, причем L2 доступ.
С точки зрения маршрутизации между VLAN - здесь 2960 будет быстрее чем маршрутизатор 2911,
но менее гибкий с точки зрения функционала маршрутизации. Но если надо всего
навсего сегментировать VLAN на нем и делать на нем же InterVLAN Routing, это возможно.

С точки зрения Cisco это нерекомендуемые "хаки", в агрегацию нужно ставить полноценный L3 коммутатор.

С точки зрения адресации и VLAN руководствуйтесь принципами
- не делать сети с слишком большими сегментами, /24 на VLAN и не более
- усложнять структуру без четкого понимания не стоит
- критичный трафик к задержкам и джиттеру (Voice, Video) лучше выделять в отдельный VLAN
- InterVLAN трафик гонять через маршрутизатор 29xx, который позиционируется в бордер
небольшого филиала ставить я бы не стал, по причинам производительности и лишней нагрузки
на маршрутизатор бордера.

chtal
Advanced member
Сообщения: 85
Зарегистрирован: 15 окт 2012, 11:13
Откуда: Санкт-Петербург
Контактная информация:

Re: Разбиение на vlan

Сообщение chtal » 01 мар 2016, 17:03

shwed писал(а):Кстати, кто может подсказать по отличию серий HP 1910 и 1920?
По идее, 1920 - развитие. Но при этом у них объем оперативной флеш-памяти меньше (32 вместо 128).
Также у 1920 нет статической маршрутизации. То есть по сути, предыдущая модель лучше.
Также интересно, кто что может сказать по серии Cisco SG300. Вроде бы достаточно бюджетный вариант. Есть ли особенности, на которые стоит обратить внимание?
1920 лучше прежнего 1910, это и есть развитие предыдущей линейки 1910, а точнее ее полная замена
(т.к старая линейка 1910 является End Of Sale).
Обе железки это Smart коммутаторы для малого бизнеса с управлением ориентированным
на Web-интерфейс, в консоли командная строка ОС Comware из маркетинговых соображений
HP порезана. Cтатическая и InterVLAN маршрутизация есть в и той и в другой железке.
в отличаются они друг от друга в общем то вот чем:
 Energy Efficient models. All 1920 models are EEE compliant.
 IEEE 802.3at compliant PoE+ 1920 models. 1910 PoE models support IEEE 802.3af PoE only.
 1920 8-port models come with 2 SFP ports whereas 1910 equivalent models just have one SFP port.
 1920 models support 8 hardware queues whereas 1910 models just four hardware queues.
 1920 models support more ACL table entries.

Сisco Small Business SG300 это прямой конкурент этой серии, как по цене так и по возможностям.
У HP есть еще альтернативная линейка 1820 - это практически конкурент 1920 внутри того же HP.
Просто у HP 1820 (это SMB-вариант, разработанный командой Procurve, на их операционной системе ProVision),
HP 1920 реализация от 3Сom на операционной системе Comware.
В обоих случаях усечен софт для SMB-сегмента, который продвинутый функционал не нужен,
да и выделенного специалиста, отвечающего за сетевую инфраструктуру как правило нет.

chtal
Advanced member
Сообщения: 85
Зарегистрирован: 15 окт 2012, 11:13
Откуда: Санкт-Петербург
Контактная информация:

Re: Разбиение на vlan

Сообщение chtal » 01 мар 2016, 17:11

ostrov писал(а):IMHO (на собственном опыте): на основании вышеизложенных описания сети (далеко не самая большая) и требований к ее организации (по сути базовые вещи) - коммутаторов HP на доступ более чем достаточно, тем более, что 19-серия у HP это линия бывшего 3COM достаточно надежная и полнофункциональная для "среднего" уровня запросов. И смысл платить в данном случае больше за CISCO на доступ?
Если люди четко понимают, зачем им нужна Enterprise железка,
то смысл платить есть, и это как минимум техническая поддержка и сервис Enterprise-класса.
C SMB-железками такого не будет никогда, поэтому отчасти из-за этого они намного дешевле.
Кроме того может потребоваться определенный функционал, который
либо трудно или неудобно реализуем (или нереализуем вообще) на коммутаторах
для малого бизнеса.
Но как правило это достаточно большие сети, где есть выделенный сетевой инженер,
сетевая инфраструктура достаточно объемна, где на первый план встают
вопросы управляемости, отказоустойчивости и масштабируемости сетевой инфраструктуры.

ostrov
Power member
Сообщения: 37
Зарегистрирован: 31 мар 2005, 17:26
Откуда: Мытищи Московской области
Контактная информация:

Re: Разбиение на vlan

Сообщение ostrov » 03 мар 2016, 15:17

chtal писал(а): Если люди четко понимают, зачем им нужна Enterprise железка,
то смысл платить есть, и это как минимум техническая поддержка и сервис Enterprise-класса.
C SMB-железками такого не будет никогда, поэтому отчасти из-за этого они намного дешевле.
Кроме того может потребоваться определенный функционал, который
либо трудно или неудобно реализуем (или нереализуем вообще) на коммутаторах
для малого бизнеса.
Но как правило это достаточно большие сети, где есть выделенный сетевой инженер,
сетевая инфраструктура достаточно объемна, где на первый план встают
вопросы управляемости, отказоустойчивости и масштабируемости сетевой инфраструктуры.
Про необходимость Enterprise никто не возражает и полностью согласен, как и про техподдержку :-) (я комментировал конкретно описанную ситуацию тапикстартером) , но вот про сервис:
Да, Enterprise железка "закрывается" SmartNet-ом (если о Cisco) но за дополнительные (хоть и адекватные) деньги , по которому в случае инцидента, просто привезут замену (как правило) и возможно оперативно. Для SMB-железки возьмут резервную железку из ЗиП-а "с полки", если грамотно спроектирована сеть, и купят на "полку" новую, т.к. цена позволяет, в отличие от Enterprise, т.ч. все-таки приоритет функционалу :-).

chtal
Advanced member
Сообщения: 85
Зарегистрирован: 15 окт 2012, 11:13
Откуда: Санкт-Петербург
Контактная информация:

Re: Разбиение на vlan

Сообщение chtal » 22 мар 2016, 01:51

на мой взгляд, самая главная особенность Enterprise железа Cisco - это даже не просто замена
оборудования по SMARTNET, а кто с вами будет общаться в случае скажем нахождения
бага или траблшутинга сложной конфигурации. А они в больших сетях бывают намного чаще.
В случае Enterprise там будет (наверное лучший из сетевых вендоров)
классический Cisco TAC с грамотными инженерами поддержки и
эскалированием запросов куда надо, построением стенда и отладки вашего случая и т.д.
В случае с SMB-железкой, это только совсем детский сервис, форумы поддержки и т.д. и т.п.

Ответить

Вернуться в «Сети - Вопросы конфигурирования сети»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 2 гостя