Правильно ли составлена схема сети (теория)?

Question

[Вася Пупкин]

Продолжаю смотреть СДСМ. Накидал схему для теста, кому скучно прошу комментариев, что не правильно и как лучше сделать.

Дано: 200 ПК, 50 Принтеров, 100 телефонов, 20 серверов, 100 камер.
Есть 3+ зданий соеденены по оптике в основном здании в серверной. Здания однотипные и там все одинаково: Комутатор в котором люди, принтера, телефоны и wifi, и второй РоЕ коммутатор под камеры.

Я попробовал накидать схему подключения (см ниже.) всего этого с нуля и нужны корректировки и пояснения "как правильно". Сделал основываясь на текущем оборудовании в наличии продаже. Если кто-то порекомендует другие модели коммутаторов или свитчей, которые проверены временем и достойны внимания, то будет вам отдельный плюсик в карму.



Следовательно, что получается:
1. Оконечные коммутаторы sw* настраиваются одинаково.
Создаем на них вланы для пользователей, принтеров, телефонов, wifi оборудования.
Порты куда подключается оборудование делаем в режиме access.
В нужном влане порты делаем untagged, а так же tagged указываем тот порт, которым данный sw* соединяется с коммутатором в серверной.
Порт который соединяет этот коммутатор с комутатором в серверной должен быть в режиме trunk.
Все ли верно?

2. Оптический коммутатора sw(F) должен быть L2 или L3?
На этом коммутаторе я должен создать те же самые вланы что и в пункте 1 и в этих вланах указать порты куда приходит оптика и сделать порты tagged?
Эти порты должны быть в режиме trunk?
Что еще я забыл сделать с этим центральным коммутатором?

3. Все камеры питаются через РоЕ с коммутатора. Эти коммутаторы неуправляемые и все приходит в центрльный коммутатор для оптики в серверной, который тоже не управляемый.
Кабель из этого коммутатора идет во второй сетевой порт на сервере где будет видеонаблюдение.
Правильно ли реализовать такую схему? Получается доступ к камерам я имею только с сервера видео-наблюдения. Они не спамят трафиков в коммутаторах. Или правильно будет сделать как и с ПК/Принтерами. Сделать им отдельный влан и подключать в общую сеть?

4. Центральный коммутатор куда заходят все свитчи, подключается в роутер.
На роутере я делаю виртуальные вланы с адресами по типу 192.168.20.254, 192.168.30.254 и т.д.
Эти адреса я должен буду указать шлюзом на устройствах в соответствующих вланах?
На всех коммутаторах в качестве шлюза я должен буду указать роутер и его адрес?

Дополнительные вопросы:
1. Какую адресацию использовать 192.168.* или 172.16.* ?
Смотрел инфу, кто-то использует первую а кто-то вторую. При моем раскладке что лучше использовать?

2. Если влан с пользователями забивается полностью т.е. все 253 адреса, куда добавлять новых людей? Делать отдельный влан или увеличить маску с /24 до /23 и продолжать наполнение?
Как правильно?

3. Посоветуйте какие 48-ми портовые коммутаторы использовать в качестве конечных, у микротика только 1 модель и та L3 версия.

Comments

[Ивор Барханский]

А чем вы так красиво рисуете схемы?

[Вася Пупкин]

Ивор Барханский, draw.io

Answer 1

[Akina]

Навскидку:

1. Звезда - плохо. Случись что, и сегмент отвалится. Я бы делал как минимум кольцо, и в него ERPS или RSTP (ещё лучше - кольцо на ERPS, а дальше RSTP). Ещё лучше - два кольца. И из тех же соображений надёжности - минимум два магистральных коммутатора на площадку/здание.
2. Неуправляемые коммутаторы - забудьте как страшный сон. Например, надо перестартовать камеру по питанию - что, бежать к камере? да даже элементарно посмотреть статус коннекта... ставьте PoE L2.
3. Транки я бы делал 10G.
4. Оптический коммутатор в центре достаточно L2 или L2+. У него вообще все порты будут в транке (tagged).
5. По части подсетей - для указанного количества оборудования я бы брал подсети /23 или /22 из 172.16. Избыток адресов ни на что не влияет, а их недостаток - это по определению геморрой. Оно надо?
6. Если подсеть исчерпала адреса - то перестраиваешь DHCP-сервер, раздающий адреса. Либо расширяешь подсеть, либо добавляешь ещё один скоп и организуешь маршрутизацию. Второе правильнее - ибо в любом сегменте найдётся оборудование со статическим назначением адресов (не статическое резервирование!), при изменении маски их придётся перенастраивать.
7. И я как-то не увидел управляющего VLAN, в котором будут только административные адреса коммутаторов.

Comments

[Вася Пупкин]

1. Можно пример в инете, как простроить такую схему? Или может есть мануал какой.

5. Т.е. без Вланов делать? Или с вланами но просто с большей маской?
5а. И я так и не понял в чем принципиальная разница 172.16/23 и 192.168/23. Почему лучше брать 172 ?

7. Да должен быть, видимо упустил, когда рисовал.

[Akina]

Вася Пупкин,

1. Да собственно любой мануал и любая статья по настройке xSTP/ERPS непременно нарисует схему с кольцами.

По сути - один коммутатор в центре, от него кольцо, которое идёт через все здания, и в каждом здании в кольце включен коммутатор, и возвращается обратно на другой порт. Соответственно если где-то сломается оптика, кольцо, конечно, развалится и превратится в линию, но все коммутаторы тем не менее будут достижимы. Если сдохнет коммутатор - отвалится соотв. здание, но остальные останутся достижимы.

Для надёжности используется два центральных коммутатора и делается два кольца. Соответственно в каждом здании два коммутатора, по одному на каждое кольцо, и они ещё соединены меж собой. то же касается и двух коммутаторов в центре. В такой схеме любая одиночная (и большинство двойных) авария (что коммутатора, что оптики), не приводит к разрыву связи.

5. Разные подсети (L3) и VLANs (L2) никак не коррелируют. То есть VLAN нужно делать, причём вне зависимости от IP-адресации.

5а. Классы, конечно, уже много лет побоку, но как-то осталась привычка не превышать. Так-то разницы вообще никакой. Если не считать того, что некоторое активное оборудование фабрично имеет некий адрес, который либо в 192.168.0.0/16, либо в 10.0.0.0/8. А вот дефолтных адресов из 172.16.0.0/12 я что-то не припоминаю.

[Вася Пупкин]

Akina,
1. Понятно, спасибо посмотрю мануалы на эту тему. Два кольца пока много, попробую сделать с 1 кольцом.

Но другой вопрос. По факту у меня же центром является маршрутизатор и он прописывается шлюзом и всем рулит. Или при кольце нужно будет ставить L3 коммутаторы и все завязывать на них и шлюзом делать их?

С физикой понятно - кольцо спасет и от звезды надо уходить.
С логикой получается только дублирование маршрутизатора поможет?

[Akina]

Вася Пупкин,

По факту у меня же центром является маршрутизатор и он прописывается шлюзом и всем рулит.

Я же про L2 рассказываю! там центр - это коммутатор, на котором держится кольцо.

А на L3 центром будет маршрутизатор. То есть физически вообще другое устройство. Он будет подключен к коммутатору, который L2-центр, точно так же в транковый порт. Или вообще в отдельный коммутатор, к которому подключены все серверы центра (маршрутизатор, видеосервер, сервер печати и пр.). Соответственно на его сетевухе будет несколько виртуальных интерфейсов, каждый в своём VLAN, и вот между ними он и будет маршрутизировать.

Нет, можно, конечно, всё это собрать и в одном корпусе. Но лично мне такая схема не нравится, хотя она и имеет право на существование.

[Ивор Барханский]

Akina,

А вот дефолтных адресов из 172.16.0.0/12 я что-то не припоминаю.

Сети Docker.

[Akina]

Ивор Барханский, докер - не аппаратное устройство.