коммутаторы для локальной сети Выбор ?

Модераторы: Trinity admin`s, Free-lance moderator`s

ars9691
Junior member
Сообщения: 10
Зарегистрирован: 07 май 2009, 11:08
Откуда: Екатеринбург

Re: коммутаторы для локальной сети Выбор ?

Сообщение ars9691 » 08 май 2009, 11:35

Из каждого VLANа доступ только до в VLANа с серверами, VLANы подразделений не видят друг друга.

ars9691
Junior member
Сообщения: 10
Зарегистрирован: 07 май 2009, 11:08
Откуда: Екатеринбург

Re: коммутаторы для локальной сети Выбор ?

Сообщение ars9691 » 08 май 2009, 11:48

склоняюсь всё же к оборудованию D-Link. так привычнее и видимо постепенно буду менять оборудование, так как единовременно купить все не получится. На сайте D-Link высмотрел DES-3552 не понял в чем отличие от DES-3550. Характеристики для DES-3552 на английском языке и в первой же строке что у него 24 порта, хотя на картинке видно что 48.
В качестве ядра видимо DGS-3324SR.

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Re: коммутаторы для локальной сети Выбор ?

Сообщение Stranger03 » 08 май 2009, 11:59

ars9691 писал(а):Из каждого VLANа доступ только до в VLANа с серверами, VLANы подразделений не видят друг друга.
А зачем сервера в отдельную ВЛАН ставить? Пусть просто видят все вланы и все. Либо выберите нужные порты и укажите им все созданные ВЛАН-ы. ИМХО не надо городить лишнего огорода. Проверено на нашем любимом администраторе.

ars9691
Junior member
Сообщения: 10
Зарегистрирован: 07 май 2009, 11:08
Откуда: Екатеринбург

Re: коммутаторы для локальной сети Выбор ?

Сообщение ars9691 » 12 май 2009, 08:09

т.е. Вы предлагаете использовать коммутаторы второго уровня и настроить
а) Асимметричные VLAN
или
б) Traffic Segmentation
и не "городить" маршрутизацию, всё (и сервера и клиенты) в одной подсети ?

Oleg2
Заслуженный сетевик
Сообщения: 494
Зарегистрирован: 15 окт 2004, 17:47
Откуда: Москва

Re: коммутаторы для локальной сети Выбор ?

Сообщение Oleg2 » 12 май 2009, 11:02

ars9691 писал(а):т.е. Вы предлагаете использовать коммутаторы второго уровня и настроить
а) Асимметричные VLAN
или
б) Traffic Segmentation
и не "городить" маршрутизацию, всё (и сервера и клиенты) в одной подсети ?

Я бы предложил поднять на сетевых интерфейсах серверов VLAN tagging (не забыв включить его на соотв. портах коммутатора), а порты смотрящие в стороны отделов тупо привязать к нужному VLAN`у.
На выходе Вы будете иметь на серверах несколько субинтерфейсов, каждый из которых смотрит в свою сетку отдела.
Если возникнет необходимость временного общения между отделами, можно будет поднять статическую маршрутизацию на сервере между субинтерфейсами. Если потребность возникнет надолго, то соотв. порты уходят в один VLAN.

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Re: коммутаторы для локальной сети Выбор ?

Сообщение and3008 » 12 май 2009, 18:19

А я бы так не делал. Хлопотно это все сопровождать. Плохо масштабируется, геморой с настройкой и контролем доступа к серверам.

Серверы в один VLAN. Все VLAN-ы "терминирует" коммутатор третьего уровня с поддержкой ACL. Если нужна надежность, то ставите два коммутатора. STP/RSTP и VRRP (HSRP у Cisco) дадут нужную надежность.

Тем самым обеспечивается масштабируемость, легкая управляемость, полный контроль из одного места. Если будут проблемы в каком-то сегменте (VLAN-е), то его легко можно будет отключить, а в случае с тегированными портами на серверных сетевухах дело это хлопотное и велика вероятность накосячить. Зачем создавать самому себе сложности? Ну уж про траблешутинг я молчу.

Oleg2
Заслуженный сетевик
Сообщения: 494
Зарегистрирован: 15 окт 2004, 17:47
Откуда: Москва

Re: коммутаторы для локальной сети Выбор ?

Сообщение Oleg2 » 12 май 2009, 18:32

and3008 писал(а):А я бы так не делал. Хлопотно это все сопровождать. Плохо масштабируется, геморой с настройкой и контролем доступа к серверам.

Серверы в один VLAN. Все VLAN-ы "терминирует" коммутатор третьего уровня с поддержкой ACL. Если нужна надежность, то ставите два коммутатора. STP/RSTP и VRRP (HSRP у Cisco) дадут нужную надежность.

Тем самым обеспечивается масштабируемость, легкая управляемость, полный контроль из одного места. Если будут проблемы в каком-то сегменте (VLAN-е), то его легко можно будет отключить, а в случае с тегированными портами на серверных сетевухах дело это хлопотное и велика вероятность накосячить. Зачем создавать самому себе сложности? Ну уж про траблешутинг я молчу.
Гм. Изначальная задача - сети отделов видят сервер и не видят друг друга. Какие настройки здесь нужны, кроме тех, что я указал?
Статическая маршрутизация на сервере предлагалась как временное решение, на случай острой необходимости.

К тому же, коммутатор, который будет маршрутизировать на wire-speed гигабитные линки недёшев, IMHO.

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Re: коммутаторы для локальной сети Выбор ?

Сообщение and3008 » 12 май 2009, 21:46

Ассиметричные VLAN-ы - решение временное тоже.

Если нужен контроль, то рисуется схема информационных потоков от клиентов до серверов, а так же между серверами, после этого можно что-то более конкретное говорить.
Может статься что и защищать-то нечего, да и не от кого, потому что доступ нужен всем и во все. Не удивляйтесь - так бывает довольно часто. Либо же правила доступа уже имеются (уже есть пароли на уровне приложений или встроенные средства ограничения доступа на уровне ОС) и городить огород на сетевом уровне просто незачем.

Изначально же предлагалось сделать апгрейд сети при ограниченном бюджете. Уж потом выползли хотелки всякие до кучи.

Я высказал свое мнение. Проходил я по граблям с тегированными портами. Очень непредсказуемое поведение у сервера может случиться. О том, что сервер получает трафик и из другого VLAN-а вспоминают далеко не сразу...

Oleg2
Заслуженный сетевик
Сообщения: 494
Зарегистрирован: 15 окт 2004, 17:47
Откуда: Москва

Re: коммутаторы для локальной сети Выбор ?

Сообщение Oleg2 » 13 май 2009, 10:41

and3008 писал(а): Проходил я по граблям с тегированными портами. Очень непредсказуемое поведение у сервера может случиться. О том, что сервер получает трафик и из другого VLAN-а вспоминают далеко не сразу...
Поделитесь, пожалуйста, подробностями. У меня опыт был вполне нормальный. Возможно, :wink: , дьявол сидит в деталях?

ars9691
Junior member
Сообщения: 10
Зарегистрирован: 07 май 2009, 11:08
Откуда: Екатеринбург

Re: коммутаторы для локальной сети Выбор ?

Сообщение ars9691 » 13 май 2009, 11:38

Прихожу к выводу, либо оставляю как есть, все в одной подсети, либо если бюджет выделят, то ядро делать на коммутаторе 3 уровня (видимо от D-Link).
Вариант же с установкой сетевых карт с поддержкой VLAN на каждый сервер мне не нравиться.
Возможен вариант (бюджетный) поставить сервер на линукс и в него поставить карту с поддержкой VLAN и отгородить от основной подсети пользователей "переживающих" за свою безопасность.

Oleg2
Заслуженный сетевик
Сообщения: 494
Зарегистрирован: 15 окт 2004, 17:47
Откуда: Москва

Re: коммутаторы для локальной сети Выбор ?

Сообщение Oleg2 » 13 май 2009, 11:42

ars9691 писал(а):Прихожу к выводу, либо оставляю как есть, все в одной подсети, либо если бюджет выделят, то ядро делать на коммутаторе 3 уровня (видимо от D-Link).
Вариант же с установкой сетевых карт с поддержкой VLAN на каждый сервер мне не нравиться.
Возможен вариант (бюджетный) поставить сервер на линукс и в него поставить карту с поддержкой VLAN и отгородить от основной подсети пользователей "переживающих" за свою безопасность.
В современных серверах на встроенныых сетевых картах поддержка VLAN tagging есть по умолчанию (если, конечно, её не вырубили по маркетинговым соображениям).

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Re: коммутаторы для локальной сети Выбор ?

Сообщение and3008 » 13 май 2009, 16:08

Сервер (один или два) с тегированными VLAN-ами (двумя или тремя) еще можно держать. Однако если сеть динамично развивается, используется активно сегментирование, от серверов требуется работа в круглосуточном режиме, требуются быстрые методы управления и развития сети без остановки информационных процессов, вот тут серверы с тегированными сетевухами начинают вызывать головную боль.

Число интерфейсов растет пропрорционально числу VLAN-ов. Затем начинают стрелять ограничения ОС на число интерфейсов, прописывание нового тегированного VLAN может вызвать сбой в работе сетевой подсистемы сервера, а значит в работе сетевых приложений, которые на нем крутятся или у клиентов, которые к нему обращаются. Приходится работы планировать в часы мин.нагрузки, а это либо раннее утро, либо ночь. Приходит осознание что трафик растет, а сервер получает широковещательный трафик от всех VLAN-ов, которые тегированные и никуда от этого не деться. Сопровождать это все непросто, особенно если серверов много.

В общем самое простое решение - все серверы в отдельный VLAN. Тогда жизнь будет проще. Многократно проверено.

Долго и счастливо живут простые решения. Решения сложные долго не живут.

Аватара пользователя
MrCloud
Advanced member
Сообщения: 99
Зарегистрирован: 22 июн 2006, 12:05
Откуда: Москва
Контактная информация:

Re: коммутаторы для локальной сети Выбор ?

Сообщение MrCloud » 14 май 2009, 00:54

отличия: DES-3552 - :!: 4*1gb / DES-3550 - 2*1gb порта.

к L3 от Длинка я несколько настороженно отношусь, на DGS-3212 и DES-3828 были некоторые проблемы под нагрузкой VLAN и IGMP. По DGS-3324SR спрошу, по новым 36 пока не знаю, не работали еще, но интересные.

DES-3526\3550 на уровень доступа L2+ хорошо обкатаны и отработаны.

Берите кошку 37ю... Если задачи критичные.

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Re: коммутаторы для локальной сети Выбор ?

Сообщение Stranger03 » 14 май 2009, 09:17

Вы правы коллеги, но я не догоняю одного момента. Автор топика собирается строить сеть на 200 портов на коммутаторах нижнего ценового диапазона. В этом случае чем проще построена сеть, тем меньше гимора в ее управлении. and3008 прав, выделить сервера в отдельный ВЛАН и настроить статические маршруты.
P.S. по идее под ядро сети можно было бы парочку цисок 3750 в стек поставить, но это совсем другие денежки нежели Д-Линк.

Аватара пользователя
diz
Advanced member
Сообщения: 1189
Зарегистрирован: 12 янв 2009, 12:09
Откуда: Пермь

Re: коммутаторы для локальной сети Выбор ?

Сообщение diz » 18 май 2009, 16:04

У меня построено на 3526/3550, в ядре -DGS-3650. Если до доступа - оптика, то 3627g в ядро. доступ разбит на вланы, маршрутизируется на 3650 с аклями.

Недавно круто потрахался с 3650: подглючивало STP и маршрутизация - вылечили неофициальной прошивкой. 3324sr - устаревший коммутатор и на нем маршрутизация тоже корректно работает не на всех прошивках. Если купите что-то из этого - пишите в личку, скину прошивки, с которыми это, возможно, будет работать.

По маршрутизации: я делаю статиком на фаерволл, который уже разруливает внешние сети. Между вланами внтури нашей сети маршрутизируемый трафик фильтруется acl.

По надежности: на 3526-3550 в течении года скорей-всего вспухнут конденсаторы в БП (и не надо говорить, что этот косяк был только на определенной серии - это касается всех коммутаторов, которые через меня проходили). Кондеры перепаяет любой студент, описание на форуме длинков есть. Поэтому я рекомендовал бы перепаять их превентивно или подключить дополнительные БП, ряд хитростей описан на форуме.

Еще хочу попробовать задублировать дефолтный шлюз при помощи протокола VRRP, дабы убрать SPoF, но у меня сложилось чисто внутреннее ощущение, что глюков от этого только добавится..

P.S. У 3552 2 гигабитных комбо-порта и 2 чисто-медных

Ответить

Вернуться в «Сети - Технические вопросы, решение проблем»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 7 гостей