forum.opennet.ru

Составление сообщения

Исходное сообщение

"Как безболезненно реорганизовать сеть на VLAN'ы? "
Отправлено Пыхтачок, 07-Июл-21 07:48

> Было:
> Всё просто и понятно, воткнул-работает. Сеть может обслуживать любой человек, способный
> вбить IP адрес в винде.
> Проблемы с сетью редки и решаются за 5 минут в среднем -
> перезагрузкой подвисшего железа. Что может произойти с неуправляемым свичом? Да ничего.
> Сгорит разве что - раз в сто лет.
Всё в целом описано правильно. Так оно и было. Только вот вы описали положительные моменты проистекающие из "просто и понятно". А ведь существуют и проблемные стороны такой "простоты и понятности":
- принципиальная невозможность отделить сервера от пользователей. Серверов физических около 15 штук, с виртуальными - штук 30. На каждом свои сервисы.
- принципиальная невозможность разграничить доступ к сервисам для отдельных типов пользователей. IPMI, SMB, 1C, SQL, AD - всё в одном чистом поле со всеми пользователями, которые делают на своих компах что захотят.
- принципиальная невозможность локализовать распространение всяких вредоносов сегментом начального заражения. Все в чистом поле, так что сгорел сарай - гори и хата. И я это не просто так говорю, меня туда когда устраивали, рассказали о нескольких произошедших вирусных атаках, когда всё накрылось вплоть до серверов. Гарантии 100% нет, но стремиться повышать защищённость - это важней чем иметь возможность рулить хозяйством без особого опыта.
- потенциальные широковещательные шторма убивающие всю сеть. Тут я с этим не столкнулся, а у сотрудников не спрашивал - были ли проблемы с широковещательным трафиком прежде, но на этапе моей трудовой карьеры, когда обслуживаемая мной организация разрослась, а сегментирования не было, и я отхватывал на протяжении недели то там, то тут отваливающуюся сеть из за широковещательного траффика - меня научило новому, и принесло понимание того что на определённом этапе роста сети, её необходимо разбивать на сегменты. Иначе отхватишь себе геморроя.

> Стало:
> Чтобы обслуживать сеть, нужно читать документацию и быть специалистом с опытом настройки
> сетевого оборудования. Есть риск возникновения граблей с адресацией и маршрутизацией,
> не решаемых за рабочий день. Издержки при увольнении и найме новых
> сотрудников - требуется ознакомление с документацией и поддержание ее в актуальном
> состоянии.
> Умные железки частенько тупят на уровне отдельных портов и проблемы сложно диагностируются.
> Еще он требуют обновления прошивок... Чтобы не путаться в конфигах, вам
> понадобится конфигохранилище... Монитоооринг...
Тоже верно. Но документация сети должна быть вне зависимости от того насколько сложно она организована. А то ведь мы же знаем что основная проблема человека "не в том, что он смертен, а в том, что он внезапно смертен" (с) Булгаков.
И вот в случае когда сетка без "усложнений" и без "документации", а Аннушка уже пролила масло... И что придётся делать новому специалисту? IP адреса серверов? Роли? Пароли, явки? Реквизиты всяких точек доступа, роутера?
Документация нужна в любом случае, хоть простая сеть на 5 ПК, хоть на 500.
Всех сотрудников по ходу реорганизации сети, я вводил в курс дела, они понимают что делалось и зачем, так что на крайняк подхватить на каком-то уровне поддержку всего, да к тому же с описанием всего этого, т.к. я это всё документировал - смогут. А ещё и сами профессионально в некотором смысле подросли, так что я можно сказать сподвиг их на некоторый шаг выше в профессии подняться, это дорогого стоит. А то ведь можно так и просидеть в простых комфортных условиях до 40+, а потом почуствовать что бегать по пользователям переустанавливать програмки да принтеры подключать - уже не охота, а на оторванную от пользователей должность управления серьёзной сетью - опыта нет, и мозги уже очень привыкли к "простому и понятному".
По поводу что управляемые железки требуют ухода и поддержки и пр. Тут у меня как раз та самая простота: Всё что от умных железок надо - это просто L2 нарезка. Ну ещё несколько ACL для изоляции отдельных сегментов. Никаких петель, мониторинг всего на zabbix заведён. На самом деле это не какой-то уровень жырного ынтырпрайза, а достаточный уровень для грамотного построения данной сети.
И железок не так много чтобы надо было вести конфигохранилище :) Но я об этом подумаю :)
> Работать вам теперь есть с чем, в общем.
Тоже верно, но не с точки зрения что "проблем стало не меньше, просто они стали сложней", а с точки зрения "для управления этим хозяйством требуется специалист соответствующего уровня, с определённым уровнем оплаты".
Так что: "Работайте братья!" (с) Герой РФ

Исходное сообщение
"Как безболезненно реорганизовать сеть на VLAN'ы? " Отправлено Пыхтачок, 07-Июл-21 07:48
> Было: > Всё просто и понятно, воткнул-работает. Сеть может обслуживать любой человек, способный > вбить IP адрес в винде. > Проблемы с сетью редки и решаются за 5 минут в среднем - > перезагрузкой подвисшего железа. Что может произойти с неуправляемым свичом? Да ничего. > Сгорит разве что - раз в сто лет. Всё в целом описано правильно. Так оно и было. Только вот вы описали положительные моменты проистекающие из "просто и понятно". А ведь существуют и проблемные стороны такой "простоты и понятности": - принципиальная невозможность отделить сервера от пользователей. Серверов физических около 15 штук, с виртуальными - штук 30. На каждом свои сервисы. - принципиальная невозможность разграничить доступ к сервисам для отдельных типов пользователей. IPMI, SMB, 1C, SQL, AD - всё в одном чистом поле со всеми пользователями, которые делают на своих компах что захотят. - принципиальная невозможность локализовать распространение всяких вредоносов сегментом начального заражения. Все в чистом поле, так что сгорел сарай - гори и хата. И я это не просто так говорю, меня туда когда устраивали, рассказали о нескольких произошедших вирусных атаках, когда всё накрылось вплоть до серверов. Гарантии 100% нет, но стремиться повышать защищённость - это важней чем иметь возможность рулить хозяйством без особого опыта. - потенциальные широковещательные шторма убивающие всю сеть. Тут я с этим не столкнулся, а у сотрудников не спрашивал - были ли проблемы с широковещательным трафиком прежде, но на этапе моей трудовой карьеры, когда обслуживаемая мной организация разрослась, а сегментирования не было, и я отхватывал на протяжении недели то там, то тут отваливающуюся сеть из за широковещательного траффика - меня научило новому, и принесло понимание того что на определённом этапе роста сети, её необходимо разбивать на сегменты. Иначе отхватишь себе геморроя. > Стало: > Чтобы обслуживать сеть, нужно читать документацию и быть специалистом с опытом настройки > сетевого оборудования. Есть риск возникновения граблей с адресацией и маршрутизацией, > не решаемых за рабочий день. Издержки при увольнении и найме новых > сотрудников - требуется ознакомление с документацией и поддержание ее в актуальном > состоянии. > Умные железки частенько тупят на уровне отдельных портов и проблемы сложно диагностируются. > Еще он требуют обновления прошивок... Чтобы не путаться в конфигах, вам > понадобится конфигохранилище... Монитоооринг... Тоже верно. Но документация сети должна быть вне зависимости от того насколько сложно она организована. А то ведь мы же знаем что основная проблема человека "не в том, что он смертен, а в том, что он внезапно смертен" (с) Булгаков. И вот в случае когда сетка без "усложнений" и без "документации", а Аннушка уже пролила масло... И что придётся делать новому специалисту? IP адреса серверов? Роли? Пароли, явки? Реквизиты всяких точек доступа, роутера? Документация нужна в любом случае, хоть простая сеть на 5 ПК, хоть на 500. Всех сотрудников по ходу реорганизации сети, я вводил в курс дела, они понимают что делалось и зачем, так что на крайняк подхватить на каком-то уровне поддержку всего, да к тому же с описанием всего этого, т.к. я это всё документировал - смогут. А ещё и сами профессионально в некотором смысле подросли, так что я можно сказать сподвиг их на некоторый шаг выше в профессии подняться, это дорогого стоит. А то ведь можно так и просидеть в простых комфортных условиях до 40+, а потом почуствовать что бегать по пользователям переустанавливать програмки да принтеры подключать - уже не охота, а на оторванную от пользователей должность управления серьёзной сетью - опыта нет, и мозги уже очень привыкли к "простому и понятному". По поводу что управляемые железки требуют ухода и поддержки и пр. Тут у меня как раз та самая простота: Всё что от умных железок надо - это просто L2 нарезка. Ну ещё несколько ACL для изоляции отдельных сегментов. Никаких петель, мониторинг всего на zabbix заведён. На самом деле это не какой-то уровень жырного ынтырпрайза, а достаточный уровень для грамотного построения данной сети. И железок не так много чтобы надо было вести конфигохранилище :) Но я об этом подумаю :) > Работать вам теперь есть с чем, в общем. Тоже верно, но не с точки зрения что "проблем стало не меньше, просто они стали сложней", а с точки зрения "для управления этим хозяйством требуется специалист соответствующего уровня, с определённым уровнем оплаты". Так что: "Работайте братья!" (с) Герой РФ

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> Было: 
>> Всё просто и понятно, воткнул-работает. Сеть может обслуживать любой человек, способный 
>> вбить IP адрес в винде.
>> Проблемы с сетью редки и решаются за 5 минут в среднем - 
>> перезагрузкой подвисшего железа. Что может произойти с неуправляемым свичом? Да ничего.
>> Сгорит разве что - раз в сто лет.

> Всё в целом описано правильно. Так оно и было. Только вот вы 
> описали положительные моменты проистекающие из "просто и понятно". А ведь существуют 
> и проблемные стороны такой "простоты и понятности":

> - принципиальная невозможность отделить сервера от пользователей. Серверов физических 
> около 15 штук, с виртуальными - штук 30. На каждом свои 
> сервисы.

> - принципиальная невозможность разграничить доступ к сервисам для отдельных типов пользователей. 
> IPMI, SMB, 1C, SQL, AD - всё в одном чистом поле 
> со всеми пользователями, которые делают на своих компах что захотят.

> - принципиальная невозможность локализовать распространение всяких вредоносов сегментом 
> начального заражения. Все в чистом поле, так что сгорел сарай - 
> гори и хата. И я это не просто так говорю, меня 
> туда когда устраивали, рассказали о нескольких произошедших вирусных атаках, когда всё 
> накрылось вплоть до серверов. Гарантии 100% нет, но стремиться повышать защищённость 
> - это важней чем иметь возможность рулить хозяйством без особого опыта.

> - потенциальные широковещательные шторма убивающие всю сеть. Тут я с этим не 
> столкнулся, а у сотрудников не спрашивал - были ли проблемы с 
> широковещательным трафиком прежде, но на этапе моей трудовой карьеры, когда обслуживаемая 
> мной организация разрослась, а сегментирования не было, и я отхватывал на 
> протяжении недели то там, то тут отваливающуюся сеть из за широковещательного 
> траффика - меня научило новому, и принесло понимание того что на 
> определённом этапе роста сети, её необходимо разбивать на сегменты. Иначе отхватишь 
> себе геморроя.

>> Стало: 
>> Чтобы обслуживать сеть, нужно читать документацию и быть специалистом с опытом настройки 
>> сетевого оборудования. Есть риск возникновения граблей с адресацией и маршрутизацией, 
>> не решаемых за рабочий день. Издержки при увольнении и найме новых 
>> сотрудников - требуется ознакомление с документацией и поддержание ее в актуальном 
>> состоянии.
>> Умные железки частенько тупят на уровне отдельных портов и проблемы сложно диагностируются.
>> Еще он требуют обновления прошивок... Чтобы не путаться в конфигах, вам 
>> понадобится конфигохранилище... Монитоооринг...

> Тоже верно. Но документация сети должна быть вне зависимости от того насколько 
> сложно она организована. А то ведь мы же знаем что основная 
> проблема человека "не в том, что он смертен, а в том, 
> что он внезапно смертен" (с) Булгаков.
> И вот в случае когда сетка без "усложнений" и без "документации", а 
> Аннушка уже пролила масло... И что придётся делать новому специалисту? IP 
> адреса серверов? Роли? Пароли, явки? Реквизиты всяких точек доступа, роутера?
> Документация нужна в любом случае, хоть простая сеть на 5 ПК, хоть 
> на 500.

> Всех сотрудников по ходу реорганизации сети, я вводил в курс дела, они 
> понимают что делалось и зачем, так что на крайняк подхватить на 
> каком-то уровне поддержку всего, да к тому же с описанием всего 
> этого, т.к. я это всё документировал - смогут. А ещё и 
> сами профессионально в некотором смысле подросли, так что я можно сказать 
> сподвиг их на некоторый шаг выше в профессии подняться, это дорогого 
> стоит. А то ведь можно так и просидеть в простых комфортных 
> условиях до 40+, а потом почуствовать что бегать по пользователям переустанавливать 
> програмки да принтеры подключать - уже не охота, а на оторванную 
> от пользователей должность управления серьёзной сетью - опыта нет, и мозги 
> уже очень привыкли к "простому и понятному".

> По поводу что управляемые железки требуют ухода и поддержки и пр. Тут 
> у меня как раз та самая простота: Всё что от умных 
> железок надо - это просто L2 нарезка. Ну ещё несколько ACL 
> для изоляции отдельных сегментов. Никаких петель, мониторинг всего на zabbix заведён. 
> На самом деле это не какой-то уровень жырного ынтырпрайза, а достаточный 
> уровень для грамотного построения данной сети.
> И железок не так много чтобы надо было вести конфигохранилище :) Но 
> я об этом подумаю :)

>> Работать вам теперь есть с чем, в общем.

> Тоже верно, но не с точки зрения что "проблем стало не меньше, 
> просто они стали сложней", а с точки зрения "для управления этим 
> хозяйством требуется специалист соответствующего уровня, с определённым уровнем оплаты". 
 
> Так что: "Работайте братья!" (с) Герой РФ

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру