The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Как безболезненно реорганизовать сеть на VLAN'ы? "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Как безболезненно реорганизовать сеть на VLAN'ы? "  +1 +/
Сообщение от Пыхтачок (?), 27-Май-21, 15:15 
Добрый день друзья!

Пришёл в организацию, где сеть построена плоская, без VLAN'ов. ПК порядка 200, и ещё всякие сетевые устройства.
Сеть построена на управляемых L2 коммутаторах, но используются они просто как свичи. Центр сети - маршрутизатор микротик.
В сети несколько подсетей - организованых просто статическими адресами, с маршрутизатором сежду ними - вышеуказанным микротом.

Собственно решил я реорганизовать это хозяйство и нарезать на VLAN'ы. И собственно весь вопрос в том, как бы это безболезненней сделать. Подскажите пожалуйста рабочую схему.

Пока придумал так: Начать с микрота, на нём поднять все VLAN'ы, но единственный порт в который входит вся остальная сеть - access'ом для одного из поднятых VLAN'ов. И на этом влане повесить текущий DHCP. Таким образом для сетки вроде как ничего не изменится.

Далее на коммутаторе с которого идёт этот один путь на микрот - этот порт и соответствующий порт микрота переделать в транк, а все остальные порты коммутатора в ACCESS для того же самого VLAN'а.

А уж потом порты в зависимости от оборудования за ними переводить в соответствующие VLAN'ы ACCESS'ы и транки. Рабочая ли схема? И как вы бы подошли?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Как безболезненно реорганизовать сеть на VLAN'ы? "  +1 +/
Сообщение от abi (?), 27-Май-21, 15:55 
> А уж потом порты в зависимости от оборудования за ними переводить в
> соответствующие VLAN'ы ACCESS'ы и транки. Рабочая ли схема? И как вы
> бы подошли?

Я у себя дома недавно делал штук 5 виланов для умной нечисти и тоже на микротах (CRS свитчи, hexS - роутер) и тоже при наличии сети без виланов. В микротиках есть настройка пропускать пакеты без виланов или с неправильными виланами. Просто сделайте так и поэтапно настраивайте. Когда всё настроете и трафик через неправильные маршруты станет нулевым, установите на транках строгое выполнение настроек виланов.


Ответить | Правка | Наверх | Cообщить модератору

9. "Как безболезненно реорганизовать сеть на VLAN'ы? "  +/
Сообщение от Пыхтачок (?), 07-Июн-21, 14:00 
> Я у себя дома недавно делал штук 5 виланов для умной нечисти
> и тоже на микротах (CRS свитчи, hexS - роутер) и тоже
> при наличии сети без виланов. В микротиках есть настройка пропускать пакеты
> без виланов или с неправильными виланами. Просто сделайте так и поэтапно
> настраивайте. Когда всё настроете и трафик через неправильные маршруты станет нулевым,
> установите на транках строгое выполнение настроек виланов.

Спасибо за совет!

Примерно так и сделал. Т.е. все VLAN'ы описал на всех коммутаторах, в транках их оформил, но 1-ый тоже пока в них пропускается. И уже потихоньку порты на коммутаторах перевожу для соответствующих групп в Access.

Ответить | Правка | Наверх | Cообщить модератору

2. "Как безболезненно реорганизовать сеть на VLAN'ы? "  +1 +/
Сообщение от pofigist (?), 27-Май-21, 17:03 
Для начала бы я изучил вопросы что такое VLAN, как они реализуются... И после этого бы осознал что не бывает eth-сети без VLAN... :)
Ответить | Правка | Наверх | Cообщить модератору

3. "Как безболезненно реорганизовать сеть на VLAN'ы? "  +/
Сообщение от Аноним (3), 27-Май-21, 18:43 
Работает - не трогай.
Ответить | Правка | Наверх | Cообщить модератору

8. "Как безболезненно реорганизовать сеть на VLAN'ы? "  +/
Сообщение от Пыхтачок (?), 07-Июн-21, 13:58 
> Работает - не трогай.

Не тот случай. Неужели серьёзно уверены что 200+ ПК, видеонаблюдение, IP телефоны и парк серверов в плоской сети разграниченной лишь подсетями, перемещение между которыми легко производится просто прописыванием вручную соответствующих IP/МАСКИ- это то, что не надо трограть пока работает?
А когда случится "ПЕРЕСТАЛО РАБОТАТЬ", мне что предполагается делать? Увольняться? :)

Ответить | Правка | Наверх | Cообщить модератору

4. "Как безболезненно реорганизовать сеть на VLAN'ы? "  +1 +/
Сообщение от NetEye (ok), 01-Июн-21, 15:48 
> А уж потом порты в зависимости от оборудования за ними переводить в
> соответствующие VLAN'ы ACCESS'ы и транки. Рабочая ли схема? И как вы
> бы подошли?

Данная схема рабочая, но начинать нужно с дизайна сети.Если на свитчах порты вперемешку заняты  между пользователями и другими устройствами, то задача "выделить один VLAN на один свитч" не получится.
А для выделения  N vlan  на свитчах нужно иметь под боком готовую схему с распрделнием vlan.
Второй момент - VLAN 1. Его как привило выводят в VLAN управления свитчами и закрывают  acl от остальных.

Ответить | Правка | Наверх | Cообщить модератору

6. "Как безболезненно реорганизовать сеть на VLAN'ы? "  +/
Сообщение от Пыхтачок (?), 07-Июн-21, 13:40 
> Данная схема рабочая, но начинать нужно с дизайна сети.Если на свитчах порты
> вперемешку заняты  между пользователями и другими устройствами, то задача "выделить
> один VLAN на один свитч" не получится.
> А для выделения  N vlan  на свитчах нужно иметь под
> боком готовую схему с распрделнием vlan.
> Второй момент - VLAN 1. Его как привило выводят в VLAN управления
> свитчами и закрывают  acl от остальных.

Да, что начинать надо с построения и документирования существующей схемы сети - это я понимаю. Чем до этой недели и занимался документацией L1. Сейчас собственно начал нарезать VLAN'ы и сразу L2/L3 документирую.

То что вперемешку и видеонаблюдение и телефоны и пользователи - это да. Есть проблема. В плане управляемого оборудования - есть ядро сети на L3 коммутаторах, на нём все VLAN'ы и межкоммутаторные транки прописал. Один отдел выделил в свой VLAN. Всё нормально.

А вот есть несколько кусков сети, откуда в управляемое ядро линк по оптике или меди приходит, но в самом этом куске уже все на неуправляемом оборудовании, и там как раз и видео и телефоны и пользователи. Так что сейчас эти куски также оборудую управляемыми железками и их причешу.

У меня такой вот вопрос: Насколько детально имеет смысл упарываться в разделении по VLAN'ам? Условно, надо ли отделять БУХОВ/МЕХАНИКОВ/МАНАГЕРОВ/ДИРЕКТОРОВ/АЙТИШНИКОВ? Ну Айтишников понятно надо для доступа к сетевому оборудованию, а вот стандартные офисные группы сотрудников стоит делить?

Ответить | Правка | Наверх | Cообщить модератору

5. "Как безболезненно реорганизовать сеть на VLAN'ы? "  –1 +/
Сообщение от eek (ok), 03-Июн-21, 09:52 
> Собственно решил я реорганизовать это хозяйство и нарезать на VLAN'ы.

Для чего? Цель изменения какая?

> Пока придумал так: Начать с микрота, на нём поднять все VLAN'ы,

А начать нужно с реальных задач бизнеса и проблем организации.

> И как вы бы подошли?

Для начала, отключил бы вам доступ на консоли сетевого железа.

Вторым этапом отправил бы вас на курсы повышения квалификации (ну или как минимум купил бы доступ к какой-нибудь образовательной платформе).

Потому что вносить изменения в работающую сеть на основе советов с форума это приговор.


Ответить | Правка | Наверх | Cообщить модератору

7. "Как безболезненно реорганизовать сеть на VLAN'ы? "  +/
Сообщение от Пыхтачок (?), 07-Июн-21, 13:53 
> Для чего? Цель изменения какая?

Что значит цель какая? Построить правильно оформленную сеть. С чётким управлением чего и кому можно и нужно.

> А начать нужно с реальных задач бизнеса и проблем организации.

Защищённость сети - не задача бизнеса? Когда охранник приносит в свою камору роутер и просто с его помощью раздаёт себе на телефон интернет, хотя казалось бы ему туда заходит линк лишь только для видеонаблюдения. Чтобы пользователи не строили то, что им показалось необходимым, а пользовались только тем, что подразумевается компанией.

> Для начала, отключил бы вам доступ на консоли сетевого железа.

Любо дорого смотреть на таких вот высокомерных людей.

> Вторым этапом отправил бы вас на курсы повышения квалификации (ну или как
> минимум купил бы доступ к какой-нибудь образовательной платформе).

Ну насчёт обучения - я завсегда за, так что как активная фаза причёсывания сети закончится, вполне себе может и воспользуюсь советом получить корочки.

> Потому что вносить изменения в работающую сеть на основе советов с форума
> это приговор.

Вот так безапелляционно заявлять что-то граничащее с оскорблением собеседнику на основе лишь одного его сообщения на форуме с просьбой консультации - это как мне кажется гораздо более суровый приговор.
Я просто консультируюсь с профессионалами, чтобы свои мысли перед совершением ответственных шагов - сверить с людьми более грамотными.  Для чего собственно технические форумы и предназначаются, а уж никак не для того чтобы тешить своё ЧСВ.


Ответить | Правка | Наверх | Cообщить модератору

10. "Как безболезненно реорганизовать сеть на VLAN'ы? "  –1 +/
Сообщение от eek (ok), 10-Июн-21, 16:51 
>> Для чего? Цель изменения какая?
> Что значит цель какая?
> Построить правильно оформленную сеть.
> С чётким управлением чего и кому можно и нужно.

Вот с этого момента можно дальше не продолжать. "Правильно оформленная сеть" как вы выразились, это сферический конь в вакууме. Более того, я думаю вас наняли сеть обслуживать, а не строить.


>> А начать нужно с реальных задач бизнеса и проблем организации.
> Защищённость сети - не задача бизнеса? Когда охранник приносит в свою камору
> роутер и просто с его помощью раздаёт себе на телефон интернет,
> хотя казалось бы ему туда заходит линк лишь только для видеонаблюдения.
> Чтобы пользователи не строили то, что им показалось необходимым, а пользовались
> только тем, что подразумевается компанией.

Ответьте себе на вопрос, как именно сегментация сети поможет решению кейса, что вы привели выше.


>> Для начала, отключил бы вам доступ на консоли сетевого железа.
> Любо дорого смотреть на таких вот высокомерных людей.

Вы задали конкретный вопрос, я дал конкретный ответ.
Вам не нравиться ответ - так бывает.


>> Вторым этапом отправил бы вас на курсы повышения квалификации (ну или как
>> минимум купил бы доступ к какой-нибудь образовательной платформе).
> Ну насчёт обучения - я завсегда за, так что как активная фаза
> причёсывания сети закончится, вполне себе может и воспользуюсь советом получить корочки.

Не стоит путать корочки и получение знаний. Ваша фраза в переводе на русский язык звучит примерно так: "Я сейчас быстренько сделаю операцию на мозге, а потом _может быть_ пойду поучусь в медицинский институт".


>> Потому что вносить изменения в работающую сеть на основе советов с форума
>> это приговор.
> Вот так безапелляционно заявлять что-то граничащее с оскорблением собеседнику на основе
> лишь одного его сообщения на форуме с просьбой консультации - это
> как мне кажется гораздо более суровый приговор.

Если кажется, нужно креститься.


> Я просто консультируюсь с профессионалами, чтобы свои мысли перед совершением ответственных
> шагов - сверить с людьми более грамотными.

Вы в другую сторону эту ситуацию разверните. Кто вам сказал что люди (включая меня), сидящие на это форуме, профессионалы ? Кто вам сказал что они "хотят как лучше"?


> Для чего собственно технические форумы и предназначаются,
> а уж никак не для того чтобы тешить своё ЧСВ.

Каждый использует форум как ему нравиться, до момента пока соблюдает правила поведения.

Написание ответов на такого рода вопросы, берет очень много времени. Когда я пишу их, я очень надеюсь что прочитав это, хотя-бы один из 10 пионеров с горящими глазами задумается. Сядет за книжки (видео курсы) и разберется в базовых основах систем ДО того как начать вносить изменения.

Ответить | Правка | Наверх | Cообщить модератору

11. "Как безболезненно реорганизовать сеть на VLAN'ы? "  +/
Сообщение от Пыхтачок (?), 10-Июн-21, 17:56 
> Более того, я думаю вас наняли сеть обслуживать, а не строить.

Ах, вы думали? Вы, значит, иногда думаете? Вы мыслитель. Как ваша фамилия, мыслитель? Спиноза? Жан-Жак Руссо? Марк Аврелий?
Если что, это просто уместная в данном случае цитата из классики.

> Ответьте себе на вопрос, как именно сегментация сети поможет решению кейса, что
> вы привели выше.

Я сомневаюсь с этого момента уже в ваших способностях. VLAN сегменту для видеонаблюдения запрещён на роутере доступ в интернет? Не вариант?


> Вы задали конкретный вопрос, я дал конкретный ответ.
> Вам не нравиться ответ - так бывает.

Мне вот тЬся в данном случае гораздо больше не нравится. Всё просто на самом деле, где собираетесь писать -тся или -ться, просто задайте вопрос: Что делатЬ? Значит -ться, Что делает? Значит -тся.

> Не стоит путать корочки и получение знаний. Ваша фраза в переводе на
> русский язык звучит примерно так: "Я сейчас быстренько сделаю операцию на
> мозге, а потом _может быть_ пойду поучусь в медицинский институт".

Вы наверное и по СМС гадаете и судьбу предсказываете.

> Вы в другую сторону эту ситуацию разверните. Кто вам сказал что люди
> (включая меня), сидящие на это форуме, профессионалы ? Кто вам сказал
> что они "хотят как лучше"?

Тут вы полностью правы. На основе беседы с вами, вас я в качестве профессионала не рассматриваю.

> Каждый использует форум как ему нравиться, до момента пока соблюдает правила поведения.

Да, а вот если б правила грамматики требовалось соблюдать, то вас бы точно с вашими режущими глаза -ться уже забанили везде.

> Написание ответов на такого рода вопросы, берет очень много времени. Когда я
> пишу их, я очень надеюсь что прочитав это, хотя-бы один из
> 10 пионеров с горящими глазами задумается. Сядет за книжки (видео курсы)
> и разберется в базовых основах систем ДО того как начать вносить
> изменения.

Вы вообще ничего дельного кроме своих "фи" в этой ветке не написали. А вот своего эго тут навыставляли, как  будто в одиночку вагоны разгружали. Как же это называется....? А! Газифицирование луж, в этом вы похоже профессионал!


Ответить | Правка | Наверх | Cообщить модератору

12. "Как безболезненно реорганизовать сеть на VLAN'ы? "  +/
Сообщение от eek (ok), 11-Июн-21, 10:24 
> Да, а вот если б правила грамматики требовалось соблюдать, то вас бы
> точно с вашими режущими глаза -ться уже забанили везде.

Это безусловно самое главное :)
По делу же сказать нечего :)

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру