@Desert-Eagle
Новичок во всем

Как организовать сеть (теория)?

Помогите разобраться, как правильно строить сеть с нуля. Вопросы скорее теоретические, но хочется понять как бы вы делали. Кому скучно и кто хочет отвлечься от текущих новостей, буду признателен за небольшой ликбез.

P.S. Сейчас читаю серию статей "Сети для самых маленьких", еще в процессе.

К примеру есть понимание, что будет по итогу:
- 300-450 ПК
- 50 принтеров
- 15 серверов
- 200-300 телефонов
- 100 камер
- коммутаторы по необходимости

Ставим L3 коммутатор, который будет рулить потоком, его же добавляем в качестве шлюза.
Вопрос 0: При каком условии мы делаем на нем Вланы и насколько они критичны? Только в тех случаях когда четко понимаем, что нужно будет какую то сеть изолировать извне?

Подготовка зоны для ПК пользователей.
Вопрос 1: ПК больше 253, а значит /24 маска не работает, следовательно, нужно будет увеличивать маску до 23 или 22, чтобы в одном сегменте сети смогло поместиться больше устройств, верно?
Вопрос 2: Какую адресацию давать подсети с этими ПК? Читал, что вариации 192.168.1.* и 192.168.0.* нежелательны, потому что они выдаются домашним роутерам и т.д. Получается если выдавать адреса для 300+ ПК, то нужно сделать сеть к примеру 192.168.111.0/22 (условно), верно?
Вопрос 3: Вытекает из 2-го вопроса. Часто встречал статьи, что люди внутри сети делают адресацию не классически 192.168.*.*, а делаю ее с адресами 10.10.100,*/24 и похожими. В чем разница такой нумерации? Зачем так усложнять и давать адрес с такого пула? Почему не использовать стандарный?
Вопрос 4: Нужно ли для всего пула адресов делать Влан? К примеру Vlan111 "users", возникнут ли ситуации что он понадобится именно для всего пула рабочих ПК, или так как всегда дается доступ ко всему, то и смысла в влане для ПК нет, в отличии от камер или телефонии, где могут быть ограничения доступа в другие сети?

После того, как мы сделали сеть для рабочих станций переходим к серверам.
Вопрос 5: Адресацию серверов лучше делать в той же последовательности что и пользовательские ПК? Если пользователи были в сети 111.*, то сервера можно сделать в сети 110.*/24, не нужно давать принципиально другие сети?
Вопрос 6: Лучше всего сделать для серверов отдельный Влан и на L3 настроить сразу маршрутизацию между всеми остальными? Добавлять сервера в подсеть с пользовательскими ПК 111.*/2 не лучше решение?

Камеры и телефоны.
Вопрос 7: У телефонии есть свой голосовой Влан, как я понял. Насколько оправдано втыкать телефон в сеть, а в телефон втыкать ПК, чтобы использовать одну общую розетку, вместо двух? Кроме экономии денег, какой смысл несет это действие в плане рисков? По факту это получается доп.точка отказа в работе ПК, если сетевая на телефоне будет глючить.
Вопрос 8: Сеть с камерами лучше сразу делать отдельным Вланом или ей вообще лучше поставить отдельный коммутатор, чтобы трафик 24/7 крутился только на нем, а на этом коммутаторе уже на одном порту прокинуть влан в другой коммутатор для доступа нужному серверу/сотруднику к этим камерам?

Принтера.
Вопрос 9: Нужно ли делать под принтеры отдельный Влан или их рекомендовано добавлять в общую подсеть с пользовательскими ПК ?

Возможно упустил еще какие то моменты, и подскажете на что обратить внимание дополнительно.
  • Вопрос задан
  • 6188 просмотров
Пригласить эксперта
Ответы на вопрос 7
@Akina
Сетевой и системный админ, SQL-программист.
  • 0. Всегда (на все три вопроса). 800 устройств в одном домене коллизий, это [censored] и полный ступор.
  • 1. Да. Но нет. Все в одной подсети - бред и никакого смысла.
  • 2. Немаршрутизируемые в Интернет адреса (bogon networks). Я бы делал подсети в 172.16. Но это дело вкуса.
  • 3. Ни разницы, ни усложнения нет и в помине. Стандартности тут тоже никакой.
  • 4. Каждую подсеть в свой VLAN. Ибо нефиг.
  • 5. Серверы в отдельных подсетях. Причём не одной. Что делать серверу видеонаблюдения в подсети бухгалтерии?
  • 6. Стройте схему на основании потоков трафика, а не по некоему мистическому наитию.
  • 7. Не у телефонии, а у некоторых коммутаторов есть специальная работа с VoiceVLAN. да, только экономия портов. Если не работал - то и не связывайся. Потом поэкспериментируешь.
  • 8. По требованиям безопасности сеть видеонаблюдения вообще должна быть по возможности физически отделена от пользовательской. Отдельные коммутаторы и кабельные линии. да и трафика они генерят - могут забивать каналы, оно надо? То же и с линиями охранно-пожарной сигнализации - но тут строго, никаких "по возможности".
  • 9. Сервер печати. И да - он и принтеры в отдельном VLAN.

Ставим L3 коммутатор, который будет рулить потоком, его же добавляем в качестве шлюза.

Ставь сразу нормальный маршрутизатор.
Потому что коммутатор, хоть и L3, тебе ничего не даст во вменяемой форме - ни статистики, ни управления, ни наблюдения.
Ответ написан
FotoHunter
@FotoHunter
System Administrator & Engineer, а так же фотограф
Я опишу свою рабочую схему, она проста и логична и очень легко масштабируется.
1. за основу взята орг. структура организации и принцип паранои (бухгалтера падают в обморок если видят в сетевом окружении компьютер кадровиков или не дай бог простых смертных).
Т. е. количество подсетей = количеству орг. подраздеьений.
2. принцип раздачи сетей и vlan. VLAN ID N содержит сеть вида 192.168.n.x/24. n в диапазоне от 2 до 130 (да у меня дохрена подсетей кажлая размерностью условно от 2х до 200 устройств).
С подсетями отличающихся от /24 могут возникать внезапные проблемы - некоторые устройства не могут с первого раза принять другую маску по DHCP (у меня сетевые принтеры и Windows 95 глючили). Сеть может быть и 10.x.y.z - это дело вкуса, мне интегратор пытался навязать схему где разряды это этаж и номер коммутатора, но это было бы логично для однородного жилого дома, но не для организации, где одно структурное подразделение может занимать помещения на разных этажах и подключены к разным коммутаторам.
3. если сетевые принтеры закреплены за подразделениями и стоят в одном с ними кабинете, то принтер попадает в ту же подсеть, что и его подразделение.
4. сервера сидят в своей обособленной мжнеджовой подсети, НО если это сервер бузгалтерии, то ему добавляется интерфейс с vlan и ip бухгалтерии, что бы минимизировать трафик через маршрутизатор и да у общего файлового сервера 130 vlan и ip.
Когда по сети летит база на несколько гигабайт на скорости 800-900 мегабит возможны жесткие коллизии, особенно если она летит из одной подсети в другую через маршрутищатор.
5. у меня в сети более 700 voip телефонов и под них сделано исключение - в их vlan подсеть /22
6. система контроля доступа и видеокамеры вынесены вообще на отдельные коммутаторы.
У видеокамер и к примеру у систем аудио/видеоконференций иногда бывают механизмы использующие бродкасты/мультикасты и это может стать очень большой проблемой - регается тонкой настройкой коммутаторов.
7. комп через телефон - только при дефиците розеток. Схема рабочая, если коммутатор поддерживает макавторизацию на адрес (есть вариант на порт, тогда это не будет правильно работать). В общем лучше этого не делать.
8. ещё у меня есть гостевая подсеть, куда попадают гости не входящие в структуру.
9. точки доступа Wi-Fi силят в мэнеджовой сети, а вещают BSSID с гостевым vlan и возможностью авторизации по маку с возможностью привязки к vkan.
10. у меня сеть enterprise уровня на железках huawei s5700 модно и на s2700 это реализовать + сервер управления сети (radius со специфичными настройками) + dhcp + dns. DHCP лучше делать на отдельном компьютере, а не на коммутаторе (коммутаторы иногда глючат, ограничены в функционале и из лучше не нагружать лишней нагрузкой). Маршрутизатор у меня на Linux по той же проблеме - у коммутатора были ограничения на количество правил (ACL), а на Linux можно было творить что угодно. Так же в мэнеджовой сети есть tftp сервер для хранения и раздачи конфигов коммутаторов.

Вот так вкраце. И очень советую читать документацию и консультироваться у старших товарищей. Каждый элемент имеет огромное количество неочевидных нюансов.
Ответ написан
Комментировать
vvpoloskin
@vvpoloskin Куратор тега Компьютерные сети
Инженер связи
Сеть 10.0.0.0 используют из-за того, что удобно делать сети > /24, а во втором октете можно зашифровать географию (№ офиса, код региона, зону ответственности и т.д., например, 10.77.X.X - адресный диапазон для Москвы).
Конечно, нужно кучу вланов, вы удивитесь, но у вас их будет гораздо больше, чем вы написали. Например, сходу будет влан управления (где будет управление сетевым оборудованием), влан управления серверами (iLo, IPMI, iDRAC или что там у вас), влан с "публичными" IP-адресами (в офисе же будет интернет?), влан серверов для пользователей (файловые шары), влан технологических серверов (всякие сислоги, заббиксы), рано или поздно два влана на вай-фай (гостевой и внутренний), вланы для стыковочных сетей (от L3-коммутатора до маршрутизатора, между L3-коммутаторами и т.д.).

Основная экономическая характеристика коммутатора - цена за порт. Как правило, для телефонии используются порты с PoE, они стоят в 2.5 раза дороже портов без PoE. На сэкономленные деньги лучше купить ЗИП на телефоны.
Когда-то потом вы придете к настройке QoS для телефонии по крайней мере на линках от агрегации. Это проще всего делать, когда телефоны выделены в отдельный влан.

Под видеонаблюдение опять же как правило используются порты с PoE. Камеры, конечно лучше в отдельный влан, который пустить в отдельный порт. Трафик с камер емкий, но в то же время не вызывающий сильного пользовательского негатива, легко забьет 1GE.
Ответ написан
@res2001
Developer, ex-admin
0. Да
1. Да
2. Да. Только 192.168.111.0 - не подойдет для маски 22. Вам нужно подтянуть теорию по IP адресации.
3. Тут нет классических/не классических вариантов. Погуглите "серые IP фдреса", узнаете, что подсеть 10.0.0.0/8 - вполне себе "классическая" серая подсеть. Обычно используют 10 подсеть там где очень много компов в сети - несколько тысяч.
4. Обычно для "общего" влана используют VLAN0, он же влан по умолчанию. В коммутаторах, обычно, этот ВЛАН уже есть и в него входят все порты как не тегированные и, по моему, это изменить нельзя.
5. Без разницы. Смотрите по факту. Например у вас по каким-то причинам появилась группа компов в своем ВЛАНе или своей подсети и ей нужен "свой" сервер, логично этот сервер поместить в эту же подсеть/влан.
Имейте ввиду, что помещая сервера в дургие подсети, потребуется обеспечить маршрутизацию между подсетями. Часто это может быть связано с дополнительными пересылками трафика, которых можно избежать, поместив сервера в ту же подсеть с пользователями.
Вообще тут часто играют внешние факторы, например дополнительные требования к безопасности для каких-то серверов и т.п.
6. то же что 5.
7. IP телефония как и камеры то же генерирует сетевой трафик, если его будет слишком много, он может мешать нормально работе сети. Тупо перегрузка сети, дополнительная нагрузка на коммутатор, большие лаги и т.п. Кстати - и наоборот то же актуально - если повышается нагрузка на сеть, то можете столкнуться с тем, что по телефону станет сложно разговаривать. И вообще в случае аварийной ситуации в сети, хорошо когда хотя бы телефоны работают. А то знаете - сбой сетевого адаптера в любом ПК, он начинает флудить пакетами в сеть и телефоны то же перестают работать - апокалипсис местного масштаба.
8. Да.
9. Сомневаюсь, что тут есть какие-то рекомендации. Я всегда помещал принтера в ту же подсеть и влан, в котором сидят его пользователи. Естественно, под принтера выделяется отдельный поддиапазон адресов, который не раздается по DHCP пользователям. Если у вас централизованный принт-сервер, то возможно будет удобнее выделить принтера в отдельную подсеть/влан. На мой взгляд, если нет дополнительных требований/хотелок, то нет смысла усложнять схему.
Ответ написан
anthtml
@anthtml
Системный администратор программист радиолюбитель
0. Не только из вне, но и во вне
1. Необязательно пихать все ПК в один сегмент, особенно если юзеры занимаются очень разнообразными задачами.
2. 192.168.х.х у некоторых считаются плохим тоном из-за того, что большинство оборудования по дефолту использует эти адреса и если без подготовки втыкнуть в сеть условный туполинк, то, считается, что он наделает проблем больше чем если бы его втыкнули в 10.х.х.х, а также если придется строить VPN сети к "удаленщикам" могут возникнуть коллизии маршрутизации с их туполинками
3. Читайте теорию ip адресации - 10 можно делить на меньшие подсети, собственно как и 192.168.0.х можно делить на /25+ подсети - для чего и как описано в теории, а также плюсы/минусы данных решений.
4. Бестпрактикс - каждому пулу по влану - в реальности, обычно, так и получается. смысла пихать несколько подсетей в vlan обычно не возникает (если не ультралоупрайс оборудование)
5. В зависимости от назначения, политики иб и прочего
6. см. п. 5
7. По ситуации, если в кабинете только одна розетка или на свиче больше нету портов и никаких перспектив - комп через телефон. Если у рабочего места только 2 розетки - принтер через телефон, если и розеток и портов на свичах хватает - в идеале каждое устройство отдельно, а телефоны по poe. Иначе: у меня ничего не работает, тк забыл включить телефон в розетку.
8. Отдельными свичами и маршрутизаторами, в том числе с разбиениями по периметрам, иначе может быть плохо и сети и ИБ
9. По месту и требованиям
Ответ написан
Комментировать
@mr_welk
Тут уже много чего, написали, но просто крик души: никогда не используйте в корпоративных сетях поддиапазон 192.168.0.0/16! Как только понадобится делать VPN соединения с "домашними" компами, вспомните. Не то чтобы там что-то нерешаемое, но зачем лишние проблемы? 172-я и 10-я прекрасно подходят, вторая удобнее с точки зрения запоминания подсетей или виланов.
Компы через телефоны плохо включать: во-первых телефоны имеют свойство зависать (редко но бывает), во-вторых там часто 100мбит а не гигабит и потом, удобнее мониторить все устройства через управляемые свитчи - одна сетевуха - один порт.
Видеонаблюдение я бы вынес в отдельную физическую сеть. Многие камеры геморройно настраивать, к тому же траффик там может быть весьма нехилый. А главное - через камеру можно получить физический доступ в сетку, особенно, если есть внешние камеры.
Кстати, еще один вопрос безопасности: не надо подключаться к сети через вайфай, даже если очень хочется. Для вайфая - отдельная сеть или вилан, а лучше вообще использовать его только для выхода в интернет.
Ответ написан
Комментировать
@aleks_komp
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы