throughtheether

Если начальство нормальное, стоит обсудить вопрос вашего профессионального развития и с ним тоже, хотя бы на предмет оплаты экзаменов и/или курсов.

По поводу сертификатов - если вам их сдачу оплатят, то сдавайте любые, какие сможете. Если не оплатят, то я бы на вашем месте денег сэкономил.

Учить/читать - книги Дойла ("Routing TCP/IP" в двух томах), "Interconnections" Перлман (создателя STP, чтоб она была здорова). У Juniper хорошие книги ("Junos enterprise routing/switching") и материалы для подготовки, да и экзамены дешевле, если сдавать надумаете.

Еще можете изучить имеющуюся документацию рабочей сети (схема, конфигурации), собрать виртуальную лабу (GNS3/IOL), поэкспериментировать, выяснить ключевые моменты работы соответствующих протоколов.

Если считается контрольная сумма UDP (проверьте сниффером), то сравните настройки Checksum offloading. Кроме того, сравните настройки GSO/GRO (generic receive/send offload), если эта технология используется.

Если я правильно понял задачу, то я бы на вашем месте добавил еще один влан в транк Ether4 (возможно, нетегированный, если в Mikrotik это возможно). И, соответственно, на устройстве, подключенном в этот порт. После этого создать L3-интерфейс для этого влана на Mikrotik и прописать на нем соответствующий адрес.

На всякий случай, не советую использовать vlan 1 для клиентского трафика в рабочей сети, особенно если у вас мультивендорное (в т.ч. cisco) окружение.

По Mikrotik не специалист.

Поделитесь, можно ли делать маску 255.255.0.0

Можно, но зачем?

что бы упростить сетевое взаимодействие

Не вполне понимаю, как, по-вашему, и что это должно упростить. Вы не указали, какие приложения и как используют вашу сеть.

не приведет ли это к увеличению нагрузки на сеть?

Одна "подсеть", в общем случае - один L2-домен, чем больше в нем хостов, тем больше вероятность возникновения сюрпризов, связанных с многоадресным и широковещательным трафиком.

Как Вы решали такие задачи?

Если есть возможность соединить различные отделы/филиалы при помощи маршрутизации (т.е. чтобы они находились в разных "подсетях"), то это, на мой взгляд, предпочтительный способ.

Есть такая статья, но там только модели "офисных" (branch) линеек рассмотрены, и то не все.

Есть ли в отправляемом пакете информация о количестве отправленных байт?

Если есть TCP-сегмент, инкапсулированный в IP-пакет, то длину полезной нагрузки (payload) TCP можно узнать так - из длины полезной нагрузки IP (вычисляется как разница полной длины IP пакета, Total Length, и длины заголовка, Internet Header Length) вычитаем длину заголовка TCP (поле Data Offset).

Если задача другая - узнать, сколько байт получилось отправить, то эту информацию (количество переданных байт), насколько помню, возвращает вызов send/write.

Если вопрос теоретический (ну мало ли, преподаватель проверяет ваши знания), то есть такая формула Матиса (Mathis), которая оценивает верхнюю границу производительности TCP в зависимости от MSS (т.е. и MTU), RTT и вероятности потери пакета. Подробнее здесь

Если вопрос прикладной, то я попросил бы вас прояснить, что за "скорость 1 Гбит/c" имеется в виду. Какова топология сети, между какими ее нодами нужна такая скорость, через какие устройства идет интересующий вас трафик, как именно эта скорость задается (т.е. или это просто гигабитный ethernet-интерфейс, или нужно устойчиво передавать пользовательские данные с этой скоростью).

На мой взгляд, когда есть отдельная компактная SAN-сеть, соединяющая сервера и дисковые полки, увеличение MTU имеет смысл. Если же предполагается, например, генерировать трафик в интернет, конечным пользователям, то, думаю, эффекта вы не заметите (MTU где-то на пользовательском доступе наверняка будет меньше вашего)

Проблема в следующем. Возникли жутки тормоза при печати документов. Они могут ставится в очередь и обрабатываться по несколько минут, а то и больше.

Проверьте при помощи wireshark, какие протоколы (в т.ч. номера портов TCP/UDP) используются при печати и соотнесите эти данные с настроенными правилами инспекции, может быть, дело в этом.

ситуация одинаковая:
- ПК не пингует ноут;
- ноут пингует ПК
для обоих случаев

Если от перемены машин по вланам ситуация не меняется, то, полагаю, маршрутизация тут ни при чем. Пока наиболее вероятными причинами видятся функциональность "безопасности" или какая-то специфичная проблема форвардинга (дублирующиеся MAC-адреса, проблемы с ARP).
Можно порекомендовать:
1) загрузить liveCD с ОС Linux на ноутбуке и пронаблюдать поведение
2) проверить отправление и доставку/блокирование пакетов при помощи сниффера трафика (wireshark, tcpdump).

Ethernet adapter Подключение по локальной сети:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Contr
Физический адрес. . . . . . . . . : 48-5B-39-1A-5C-5C
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Вот здесь не понял. Как должен ноутбук взаимодействовать с другой машиной, если на его интерфейсе (неактивном, кстати) не задан адрес?

Во-первых, наследие прошлого (legacy-системы). Сети, как и любую инфраструктуру, сложно модернизировать, поэтому совместимость стоит сохранять.

Второй, более тонкий момент. Например, вы - провайдер. У клиента есть множество устройств, которым нужна динамическая маршрутизация. Что делать? BGP, допустим, они не потянут. EIGRP проприетарный (жду разоблачающих комментариев про RFC). При использовании OSPF довольно затруднительно фильтровать префиксы, да и пускать посторонних в OSPF-домен чревато. RIP здесь вполне органичен.

Я читал, что VLAN'ы как раз и предназначены для решения данной задачи, у меня даже есть управляемый коммутатор hp 2650, где я могу группировать порты в VLAN, но что мне это дает? Ну разделил я порты на 1-10, 11-20, 21-30, 30-40 а дальше то что делать? Как мне разрешить трафик между VLAN'ами?

Переводите нужные порты в нужные вланы в access-режиме (untagged). Создаете для вланов L3-интерфейсы. Включаете роутинг. Теперь трафик между вланами должен маршрутизироваться.
Есть минус - насколько помню, 2650 не поддерживает ACL, так что фильтрацию трафика средствами коммутатора, полагаю, организовать не получится.

Подскажите в каком направлении двигаться.

В направлении точного описания проблемы и выяснения и, по возможности, устранения ее причины.

Происходит частая потеря пакетов между клиентами внутри сети.

Каких именно пакетов? Как вы проводите диагностику?

Клиенты работают по Ethernet.

Обратите внимание на состояние релевантных проблеме портов (ошибки, дуплекс).

Возможные варианты: кто-то шлет фреймы LLDP-MED с неактуальными данными, либо кто-то шлет фреймы с данным в своем формате, которые вашим ПО распознаются и обрабатываются как LLDP-MED. Посмотрите с помощью wireshark, какое именно устройство шлет эти фреймы.

Нужно сделать модель

В каком окружении предполагается моделирование и тестирование?

какой-то вариант новой модели на основе классической модели OSI

Что такое "классическая модель OSI"? Если есть классическая, то есть и модернистская или я чего-то не понял?

Мне советовали обратить внимание на маршрутизацию, делать ее более гибкой, что ли.

Я бы на вашем месте обратил внимание на SDN (Software-defined networking, стильно, модно, молодежно). Один контроллер общается с несколькими маршрутизаторами (не только в L3-смысле) и каждому устанавливает специфические записи в таблицу маршрутизации/форвардинга. Из плюсов - гибкость, программируемость, отсутствие проблем типа "ships in the night". Я бы даже предположил, что в сетях датацентров SDN применять наиболее логично (по сравнению,скажем, с WAN-сетями). Но и минусы присутствуют.

В какую еще сторону можно копать?

Сети Клоса (не уверен, корректный ли это термин, англоязычное название Clos network/fabric). Задание постоянного размера фрейма (проще прогнозировать утилизацию буферов). Отказ от вычисления контрольной суммы (передача этой обязанности высшим уровням "классической модели OSI"). Отказ от STP (или добавлением поля hop count в ethernet-фрейм, или назначением неравноценных ролей в смысле форвардинга портам коммутаторов, порты из одной категории могут направлять трафик только в порты другой категории)

Собрал топологию на GNS3:

По первому вопросу:

Будет ли клиент пинговать другого клиента с адресом 10.45.18.194 и почему?

Да, пинги проходят:

ClientA#ping 10.45.18.194 repeat 10

Type escape sequence to abort.
Sending 10, 100-byte ICMP Echos to 10.45.18.194, timeout is 2 seconds:
!!!!!!!!!!
Success rate is 100 percent (10/10), round-trip min/avg/max = 20/34/48 ms

Теперь самое интересное. 10.45.18.194 отсутствует в таблице маршрутизации Клиента А, поэтому icmp-запросы до 10.45.18.194 инкапсулируются в Ethernet-фреймы с адресом назначения маршрутизатора провайдера (00ff.ffff.ffff). Маршрутизатор провайдера при этом декапсулирует IP-пакет с ICMP-запросом, инкапсулирует его в Ethernet-фрейм со своим адресом (00ff.ffff.ffff) в качестве адреса источника и адресом Клиента Б (00bb.bbbb.bbbb) в качестве адреса назначения (это подтверждается дампами трафика). Клиент Б, получив ICMP-запрос, формирует ответ, отсылает ARP-запрос для определения MAC-адреса Клиента А (т.к. IP-адрес Клиента А находится в той же "подсети", что и адрес Клиента Б), и отсылает ответ непосредственно ему.

В отличие от обычной ситуации (когда при отстутствии ARP-записей теряются 1-2 пинга), в данном случае генерируется 3 ARP-запроса (Клиент А определяет MAC-адрес маршрутизатора провайдера, маршрутизатор провайдера определяет MAC-адрес Клиента Б, Клиент Б определяет MAC-адрес Клиента А), соответственно первоначально теряются 3 пинга.

Клиент на маршрутизаторе меняет конфигурацию интерфейса на такую:
Interface e0/0
Ip address 10.45.18.15 255.255.255.128
Ip address 10.45.19.15 255.255.255.0 sec
No shutdown
!
Будет ли адрес 10.45.19.15 присутствовать в ARP таблице маршрутизатора провайдера?

Во-первых, если просто назначить адрес и не генерировать никаких ARP-запросов, то, естественно, маршрутизатор провайдера просто не узнает о наличии такого адреса. Во-вторых, если сгенерировать, например, gratuitous arp reply (деактивировав и снова активировав интерфейс, shutdown, no shutdown), маршрутизатор провайдера получит ARP-пакет (т.к. ARP распространяется широковещательно), но вполне может не принять его во внимание, учитывая отсутствие маршрута до 10.45.19.0/24 через входящий интерфейс:

ISP#sh arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  10.45.18.5              -   00ff.ffff.ffff  ARPA   FastEthernet0/0
Internet  10.45.18.15            24   00aa.aaaa.aaaa  ARPA   FastEthernet0/0
Internet  10.45.18.194           22   00bb.bbbb.bbbb  ARPA   FastEthernet0/0
ISP#
*Mar  1 01:24:18.735: IP ARP: rcvd rep src 10.45.18.15 00aa.aaaa.aaaa, dst 10.45.18.15 FastEthernet0/0
*Mar  1 01:24:18.739: IP ARP rep filtered src 10.45.19.15 00aa.aaaa.aaaa, dst 10.45.19.15 ffff.ffff.ffff wrong cable, interface FastEthernet0/0
*Mar  1 01:24:18.739: IP ARP: rcvd rep src 10.45.18.15 00aa.aaaa.aaaa, dst 10.45.18.15 FastEthernet0/0
*Mar  1 01:24:18.739: IP ARP rep filtered src 10.45.19.15 00aa.aaaa.aaaa, dst 10.45.19.15 ffff.ffff.ffff wrong cable, interface FastEthernet0/0
ISP#sh arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  10.45.18.5              -   00ff.ffff.ffff  ARPA   FastEthernet0/0
Internet  10.45.18.15             0   00aa.aaaa.aaaa  ARPA   FastEthernet0/0
Internet  10.45.18.194           23   00bb.bbbb.bbbb  ARPA   FastEthernet0/0

Таким образом, экспериментальные ответы на ваши вопросы таковы:
1) да, пинги проходят
2) нет, ARP-записи не будет

Я лично полагаю, что практика (хотя бы такая) - лучший критерий истины. Другое дело, что тот, кто будет проверять ваши ответы, может считать по-другому.