Какие этапы делать, чтобы «разобрать» большую сеть?

Question

[Вася Пупкин]

Есть сеть с 21-ой маской, т.е. порядка 2 тыс. адресов. Скажите, как правильно будет разобрать все это хозяйство, и привести все к нормальному виду через Vlan'ы. Интересует именно поэтапный разбор, не особо еще разбираюсь, поэтому не хочу упустить какой-нибудь важный этап.
Навскидку самое очевидное это:
1. Сделать области в DHCP под каждый vlan, чтобы он выдавал адреса.
2. Создать Vlan'ы на L3 коммутаторах и настроить маршрутизацию.
3. Создать Vlan'ы на конечных L2 коммутаторах и настроить там trank'и.

Какие еще действия надо сделать, что я мог упустить?

Comments

[Akina]

Вариант L3 => L2.

Этап 1 - формирование подсетей и маршрутизации.

Создаётся сколько нужно DHCP-скопов, и организуется маршрутизация между подсетями. Включая и маршрутизацию в нынешнюю подсеть.

Этап 2 - формирование привязок DHCP-скопов к коммутаторам/портам.

Обеспечивается предсказуемое получение DHCP-адреса каждым узлом.

Этап 3 - формирование VLAN на транковых портах, в соответствии со схемой привязки DHCP. Обеспечение замыкания созданных VLAN в существующий VLANID=1.

Обеспечивается прозрачное включение VLAN на клиентских портах. Не забываем и про управляющий VLAN.

Этап 4 - включение клиентских портов в нужные VLAN. В т.ч. и серверных интерфейсов, к которым привязаны DHCP-скопы.

Этап 5 - чистка. Удаление замыканий, удаление дефолтного VLAN, лишних маршрутов, старого скопа и т.п.

Это - если крупно. На самом деле у каждого этапа - несколько подэтапов.

=============================

Можно идти и обратно, L2 => L3. Особой разницы не вижу.

В любом случае основная цель - прозрачность и незаметность процесса. В течение всего процесса предоставление услуги не должно прерываться ни на секунду. Если же такой задачи нет, то всё упрощается до "составить схему, всё вырубить, всё перестроить, всё включить".

PS. Необязательно сразу бросаться на всю сеть. Можно по описанной схеме "откусывать" по одной подсетке.

[fdroid]

Есть сеть с 21-ой маской, т.е. порядка 2 тыс. адресов. Скажите, как правильно будет разобрать все это хозяйство, и привести все к нормальному виду через Vlan'ы.

Зачем это нужно если и так всё работает?

[Sergey Ryzhkin]

fdroid, Ну не факт, насколько я помню, что чем больше адресное пространство, тем медленнее работает сеть. Да и мне кажется, когда VLAN'ы есть, проще разбираться в структуре. Хотя может у камрада свои причины

[Вася Пупкин]

Akina, Спасибо. Естественно все это будет делать поэтапно, а не все сразу.

fdroid, В ней уже сложно ориентироваться. Хочется по-крайней мере сделать отдельно сервера, отдельно ПК, отдельно ноутбуки и отдельно принтера. В текущей структура черт ногу сломит.

[fdroid]

насколько я помню, что чем больше адресное пространство, тем медленнее работает сеть.

С чего вдруг?

когда VLAN'ы есть, проще разбираться в структуре

Чтобы разбираться в инфраструктуре, нужно иметь актуальную документацию и схему сети, а усложнять систему вланами - создавать дополнительную точку отказа. Вся сеть в одном влане будет работать практически при любых условиях, а в случае когда там добавлено L3-устройство, которое маршрутизирует подсети, вся сеть ляжет в случае выхода его из строя.

[Sergey Ryzhkin]

fdroid,

а в случае когда там добавлено L3-устройство, которое маршрутизирует подсети, вся сеть ляжет в случае выхода его из строя.

Да, вот только если у него все сделано по типу "звезда", сеть ляжет при любом раскладе, сделаны там vlan'ы или нет, поскольку в него все будет заводиться.

[fdroid]

Sergey Ryzhkin, у автора вопроса вообще странные представления о том зачем нужна сегментация сети и, в частности, управляемые коммутаторы. Ему хочется вланы "шоб було" и "потому что красиво когда принтеры в 192.68.0.0/24, а серверы в 192.168.1.0/24" (например).

[Вася Пупкин]

fdroid, Причем здесь "чтобы было". В любом материале/статье и т.д. рекомендуют сразу разносить все по отдельным сегментам сети. По вашему это норма, когда какое нить устройство начинает спамить бродкастом на все 2к адресов в сети или что какие-нибудь сервисы засирают эфир служебным трафиком?

[fpir]

Вася Пупкин, или какой-нить специалист воткнёт в сеть устройство с дефолтными настройками, а на этом адресе в сети шлюз/сервер/свич

Answer 1

[АртемЪ]

и привести все к нормальному виду через Vlan'ы.

Для начала нужно решить для чего вам нужны Vlan'ы, какие задачи они будут решать.
После этого проектировать сеть - решать что именно и в какие vlan вам нужно запихать.

Comments

[Вася Пупкин]

Для начала я хочу банально разделить, сервера, коммутационное, пользователей и принтера, по отдельным подсетям, чтобы особо умные не лазали по адресам куда им доступа быть не должно.
Насколько я понимаю подобное разделение сетей это нормальная практика и зачастую "правильная", как с точки зрения безопасности так и по каким-нибудь "бестпрактик".
Я не думаю, что одна общая сеть и 2к адресов это норма.

[АртемЪ]

Вася Пупкин,

Насколько я понимаю подобное разделение сетей это нормальная практика

и зачастую "правильная", как с точки зрения безопасности так и по каким-нибудь "бестпрактик".

Что значит правильная? Это вроде правильных таблеток, которые помогают от поноса, короновируса, кариеса, и всех других заболеваний?
Правильное решение оно для конкретной ситуации, а не вообще.

[Вася Пупкин]

Что значит правильная?

Это значит не спамить бродкастом по всей сети на 2к адресов.
У юзеров нет доступа на адреса коммутационного оборудования
Пользователи не могут видеть адреса камер-наблюдения
Камеры не засирают сеть трафиком от наблюдения.
и т.д.
В любом мануале/книге/инструкции рекомендуют сразу разделять все по разным сегментам сети

Answer 2

[kekoz]

«разобрать» большую сеть — это не задача, для которой можно построить этапы.
Пока твоя задача — построить функциональную и логическую схемы сети, которую ты/начальство хочешь получить. А вот потом уже можно будет решать задачу вида “Как на имеющейся физической сети получить то, что функционально и логически уже спроектировано”.

Answer 3

[Dmitriy Loginov]

я бы еще параллельно делал карту сети, где заносил где какой вилан к какому отделу/кабинету подключен
и если придется обойти почти все компы еще бы завел список где указан ФИО сотрудника его IP и мак адрес.

Comments

[Вася Пупкин]

Спасибо. Карту делать буду само собой. ФИО привязывается к ПК в ADшке, я просто в комментариях к ПК пишу ФИО сотрудника. Зачем записывать его MAC? Мне кажется это уже лишним, что мне даст таблица с МАКами 2-х тыс сотрудников?

Answer 4

[Александр]

Упустить?
Мое мнение - ты сразу решаешь задачу которую не поставил перед собой. Зачем Vlan'ы? У тебя DHCP на первом месте - ставь на последнем. Твой список - это способ решить задачу, а не сама задача.
На первом месте перепись объектов сети. Сервера, принтера и компьютеры. Коммутаторы как отдельный класс.
Ни каких ФИО сотрудника - сегодня за компьютером сидит Иван, а завтра Дарья и перерывах на обед Александр заходит проверить почту. А еще компьютеры с принтерами умеют бегать по этажам и корпусам. И прибегают временные компьютеры.
На основе объектов начинай строить сеть. На основании Мак-адресов, но даже я в это не верю, всегда есть умный который знает как поменять или, из практики, коммутатор воткнуть и не сказать об этом ))). НО продолжаю в DHCP резервировать по Мак.

Есть большая запутанная сеть - делай что хочешь.
Собрал группу объектов - DHCP натравливаем.
Все сервера не обязательно в общую группу.
И не обязательно под каждый vlan подключать DHCP.

Я не думаю, что одна общая сеть и 2к адресов это норма.

Что такое - Норма?
Для меня (надоело с начальством воевать) - все делают что хотят, а что нельзя то прятать )))

Про телефонию забыл. Как отдельная задача.

Comments

[Вася Пупкин]

@UPSA

Что такое - Норма?

Норма, это когда какое-нибудь устройство не спамит бродкастом на все 2 тыс адресов. Когда "сервисы" не шлют служебную информацию в той же сети и т.д.

Answer 5

[Владимир Пилипчук]

Первое, что необходимо сделать - создать целевую топологию. Описать как должно быть, какие технологии должны быть использованы и как все должно быть коммутировано и настроено. Только после этого можно переходить к этапу планирования изменений. Сейчас Вы заряжаете ружье, чтобы стрельнуть себе в ногу и в голову одновременно.

Допустим перейдете вы на VLANы, все везде пропишите..., растянете их по всей сети, в одном прекрасном месте у вас получается не явное кольцо и вся сеть ложится по STP... а все потому что allowed vlan ни где не настроен...
Или между двумя большими сегментами сети не поднимается маршрутизация (BGP/OSPF/EIGRP) потому, что между ними есть устройство со включённым IGMP Snooping и mcast не проходит.
Или при отработке QoS на PortChannel наблюдается большая потеря пакетов, так как использован не тот режим агрегации... и теперь нужно все перевыбирать...
А может вам лучше не на VLAN переходить, а сразу строить транспортный MPLS домен и заниматься трафик-инженирингом?