Сети для маленьких


Статья опубликована на хабре.
Это первая статья из серии «Сети для самых маленьких». Мы с товарищем thegluck долго думали с чего начать: маршрутизация, VLAN’ы, настройка оборудования.
В итоге решили начать с вещи фундаментальной и, можно сказать, самой важной: планирование. Поскольку цикл рассчитан на совсем новичков, то и пройдём весь путь от начала до конца.

Предполагается, что вы, как минимум читали о эталонной модели OSI (то же на англ.), о стеке протоколов TCP/IP (англ.), знаете о типах существующих VLAN’ов (эту статью я настоятельно рекомендую к прочтению), о наиболее популярном сейчас port-based VLAN и о IP адресах (более подробно). Мы понимаем, что для новичков «OSI» и «TCP/IP» — это страшные слова. Но не переживайте, не для того, чтобы запугать вас, мы их используем. Это то, с чем вам придётся встречаться каждый день, поэтому в течение этого цикла мы постараемся раскрыть их смысл и отношение к реальности.

Схема сети


Начнём с постановки задачи. Есть некая фирма, занимающаяся, допустим, производством лифтов, идущих только вверх и потому называется ООО «Лифт ми ап». Расположены они в старом здании на Арбате, и сгнившие провода, воткнутые в пожжёные и прожжёные коммутаторы времён 10Base-T не ожидают подключения новых серверов по гигабитным карточкам. Итак у них катастрофическая потребность в сетевой инфраструктуре и денег куры не клюют, что даёт вам возможность безграничного выбора. Это чудесный сон любого инженера. А вы вчера в сложной борьбе выдержали собеседование на должность сетевого администратора. И теперь вы в ней первый и единственный в своём роде. Поздравляем! Что дальше?

Следует несколько конкретизировать ситуацию.

  1. В данный момент у компании есть два офиса: 200 квадратов на Арбате под рабочие места и серверную. Там представлены несколько провайдеров. Другой на Рублёвке.
  2. Есть четыре группы пользователей: бухгалтерия (Б), финансово-экономический отдел (ФЭО), производственно-технический отдел (ПТО), другие пользователи (Д). А так же есть сервера (С), которые вынесены в отдельную группу. Все группы разграничены и не имеют прямого доступа друг к другу.
  3. Пользователи групп С, Б и ФЭО будут только в офисе на Арбате, ПТО и Д будут в обоих офисах.

Прикинув количество пользователей, необходимые интерфейсы, каналы связи, вы готовите схему сети и IP-план.
При проектировании сети следует стараться придерживаться иерархической модели сети, которая имеет много достоинств по сравнению с “плоской сетью”:


  • упрощается понимание организации сети
  • модель подразумевает модульность, что означает простоту наращивания мощностей именно там, где необходимо
  • легче найти и изолировать проблему
  • повышенная отказоустойчивость за счет дублирования устройств иили соединений
  • распределение функций по обеспечению работоспособности сети по различным устройствам.

Согласно этой модели, сеть разбивается на три логических уровня: ядро сети (Core layer: высокопроизводительные устройства, главное назначение — быстрый транспорт), уровень распространения (Distribution layer: обеспечивает применение политик безопасности, QoS, агрегацию и маршрутизацию в VLAN, определяет широковещательные домены), и уровень доступа (Access-layer: как правило, L2 свичи, назначение: подключение конечных устройств, маркирование трафика для QoS, защита от колец в сети (STP) и широковещательных штормов, обеспечение питания для PoE устройств).

В таких масштабах, как наш, роль каждого устройства размывается, однако логически разделить сеть можно.
Набросаем схему будущей сети:

Схема сети

На представленной схеме ядром (Core) будет маршрутизатор 2811, коммутатор 2960 отнесём к уровню распространения (Distribution), поскольку на нём агрегируются все VLAN в общий транк. Коммутаторы 2950 будут устройствами доступа (Access). К ним будут подключаться конечные пользователи, офисная техника, сервера.


Именовать устройства будем следующим образом: сокращённое название города (msk) — географическое расположение (улица, здание) (arbat) — роль устройства в сети + порядковый номер.
Соответственно их ролям и месту расположения выбираем hostname:
Маршрутизатор 2811: msk-arbat-gw1 (gw=GateWay=шлюз)
Коммутатор 2960: msk-arbat-dsw1 (dsw=Distribution switch)
Коммутаторы 2950: msk-arbat-aswN, msk-rubl-asw1 (asw=Access switch)

Документация сети

Вся сеть должна быть строго документирована: от принципиальной схемы, до имени интерфейса.
Прежде, чем приступить к настройке, я бы хотел привести список необходимых документов и действий:
Схемы сети L1, L2, L3 в соответствии с уровнями модели OSI (Физический, канальный, сетевой)
План IP-адресации = IP-план.
Список VLAN
Подписи (description) интерфейсов
• Список устройств (для каждого следует указать: модель железки, установленная версия IOS, объем RAMNVRAM, список интерфейсов)
• Метки на кабелях (откуда и куда идёт), в том числе на кабелях питания и заземления и устройствах
• Единый регламент, определяющий все вышеприведённые параметры и другие.

Говоря о метках/наклейках на кабели, мы имеем ввиду это:


Метки на кабелях
На этой фотографии отлично видно, что промаркирован каждый кабель, значение каждого автомата на щитке в стойке, а также каждое устройство.

Метки на кабелях

Жирным выделено то, за чем мы будем следить в рамках программы-симулятора. Разумеется, все изменения сети нужно вносить в документацию и конфигурацию, чтобы они были в актуальном состоянии.

Подготовим нужные нам документы:

Список VLAN

VLAN

Каждая группа будет выделена в отдельный влан. Таким образом мы ограничим их широковещательные домены. Также введём специальный VLAN для управления устройствами.
Номера VLAN по 100 зарезервированы для будущих нужд.

IP-план

IP-план

Выделение подсетей в общем-то произвольное, соответствующее только числу узлов в этой локальной сети с учётом возможного роста. В данном примере все подсети имеют маску /24 (/24=255.255.255.0) — это сеть класса C — зачастую такие и используются в локальных сетях. Советуем почитать о классах сетей. В дальнейшем мы обратимся и к бесклассовой адресации. Мы понимаем, что ссылки на технические статьи в википедии — это моветон, однако они дают хорошее определение, а мы попробуем в свою очередь перенести это на картину реального мира.
Под сетью Point-to-Point подразумеваем подключение одного маршрутизатора к другому в режиме точка-точка. Обычно берутся адреса с маской 30 (возвращаясь к тебе бесклассовых сетей), то есть содержащие два адреса узла. Позже станет понятно, о чём идёт речь.


План подключения оборудования по портам

Разумеется, сейчас есть коммутаторы с кучей портов 1Gb Ethernet, есть коммутаторы с 10G, на продвинутых операторских железках, стоящих немалые тысячи долларов есть 40Gb, в разработке находится 100Gb (а по слухам уже даже есть такие платы, вышедшие в промышленное производство). Соответственно, вы можете выбирать в реальном мире коммутаторы и маршрутизаторы согласно вашим потребностям, не забывая про бюджет. В частности гигабитный свич сейчас можно купить незадорого (20-30 тысяч) и это с запасом на будущее (если вы не провайдер, конечно). Маршрутизатор с гигабитными портами стоит уже ощутимо дороже, чем со 100Mbps портами, однако оно того стоит, потому что FE-модели (100Mbps FastEthernet), устарели и их пропускная способность очень невысока.
Но в программах эмуляторах/симуляторах,которые мы будем использовать, к сожалению, есть только простенькие модели оборудования, поэтому при моделировании сети будем отталкиваться от того, что имеем:

план подключения по портам

Почему именно так распределены VLAN’ы, мы объясним в следующих частях.


Excel-документ со списком VLAN, IP, портов

Схемы сети

На основании этих данных можно составить все три схемы сети на этом этапе. Для этого можно воспользоваться Microsoft Visio, каким-либо бесплатным приложением, но с привязкой к своему формату, или редакторами графики (можно и от руки, но это будет сложно держать в актуальном состоянии :)).

Не пропаганды опен сорса для, а разнообразия средств ради, воспользуемся Dia. В линуксе, я считаю, его одним из лучших приложений для работы со схемами. Есть версия для Виндоус, но, к сожалению, совместимости в визио никакой.

L1

Схема сети L1

То есть на схеме L1 мы отражаем физические устройства сети с номерами портов: что куда подключено.

L2

На схеме L2 мы указываем наши VLAN’ы

Схема сети L2

Источник: www.linuxjournal.su

UPD://Уже опубликованные выпуски
0. Сети для самых маленьких: Часть нулевая. Планирование
1. Сети для самых маленьких. Часть первая (которая после нулевой). Подключение к оборудованию cisco
2. Сети для самых маленьких: Часть вторая. Коммутация
3. Сети для самых маленьких: Часть третья. Статическая маршрутизация


На хабре уже была попытка пользователя zepps начать серию публикаций о настройке оборудования cisco и практической стороне сетевых технологий, но, к сожалению, на первых двух статьях дело остановилось. Это было время моего становления, как специалиста в этой области и zepps сурово обломил меня отсутсвием продолжения.
Многократно пользователи здесь публиковали отрывочные топики о теоретической составляющей, решение сложных задач, куски из википедии или xgu.ru, но более менее цельной серии с информацией, которая непонятна после чтения цисковских книг при отсутсвии практики таки не было.
Поэтому мне пришло в голову снять несколько обучающих роликов с подробным описанием, начиная с настройки VLAN на свитчах, заканчивая… пока не знаю, чем заканчивая (может, OSPF, BGP, а может и чуточку дальше). Теории будет немного, в основном практика на PacketTracer и GNS3, с перечислением более или мене часто встречающихся трудностей.

Отдельно замечу, что серия будет для начинающих свой путь, которым просто непонтяно чем отличается trunk от access’a и half-duplex от full-duplex’a.
Мне интересно, нужно ли читателям хабра это? Если да, то в каком виде: подробная статья или видеоруководство.
Возможно, кто-то пожелает быть соавтором статьи, дабы более полно и всесторонне осветить вопрос.
Прошу в комментах делиться мнением и пожеланиями. Незарегистрированные на хабре могут обсудить это в этой публикации в моём ЖЖ, в котором данная серия появится в любом случае.
Кроме того, может, кто-то посоветует хорошую программу для записи видео с экрана?


Источник: Системное администрирование

Источник: security-corp.org

Статья расположена на хабре.
Это 1-ая статья из серии «Сети для самых малеханьких». Мы с товарищем thegluck долго думали с чего начать: маршрутизация, VLAN’ы, настройка оборудования.
В итоге решили начать с вещи базисной и, можно сказать, важной: планирование. Потому что цикл рассчитан на совсем новичков, то и пройдём весь путь от начала до конца.

Предполагается, что вы, как минимум читали о эталонной модели OSI (то же на англ.), о стеке протоколов TCP/IP (англ.), осознаете о типах имеющихся VLAN’ов (эту статью я безотступно рекомендую к чтению), о более популярном сейчас port-based VLAN и о IP адресах (более кропотливо). Мы понимаем, что для новичков «OSI» и «TCP/IP» — это стршные слова.

Но не переживайте, не для того, чтобы запугать вас, мы их используем. Это то, с чем для вас придётся встречаться каждый день, поэтому в течение этого цикла мы попытаемся раскрыть их смысл и отношение к реальности.

Начнём с постановки задачи. Есть некая компания, занимающаяся, допустим, созданием лифтов, идущих только ввысь и потому называется ООО «Лифт ми ап».


Расположены они в старом здании на Арбате, и сгнившие провода, воткнутые в пожжёные и прожжёные коммутаторы времён 10Base-T не ожидают подключения новых серверов по гигабитным карточкам. Итак у их трагическая потребность в сетевой инфраструктуре и средств куры не клюют, что даёт для вас возможность бескрайнего выбора.

Это чудесный сон хоть какого инженера. А вы вчера в сложной борьбе выдержали собеседование на должность сетевого администратора. И на данный момент вы в ней 1-ый и единственный в своём роде. Поздравляем!

Что дальше?

Следует несколько конкретизировать ситуацию.

  1. В данный момент у компании есть два кабинета: Двести квадратов на Арбате под рабочие места и серверную. Там представлены несколько провайдеров. Другой на Рублёвке.
  2. Есть четыре группы юзеров: бухгалтерия (Б), финансово-экономический отдел (ФЭО), производственно-технический отдел (ПТО), другие пользователи (Д). А так же есть сервера (С), которые вынесены в отдельную группу. Все группы разграничены и не имеют прямого доступа друг к другу.
  3. Пользователи групп С, Б и ФЭО будут только в кабинете на Арбате, ПТО и Д будут в обоих кабинетах.

Прикинув количество юзеров, нужные интерфейсы, каналы связи, вы готовите схему сети и IP-план.
При проектировании сети следует стараться придерживаться иерархической модели сети, которая имеет много плюсов по сравнению с “плоской сетью”:

  • упрощается понимание организации сети
  • модель подразумевает модульность, что означает простоту наращивания мощностей непосредственно там, где необходимо
  • легче найти и изолировать делему
  • завышенная отказоустойчивость за счет дублирования устройств илибо соединений
  • распределение функций по обеспечению работоспособности сети по различным устройствам.

Согласно этой модели, сеть разбивается на три логических уровня: ядро сети (Core layer: высокопроизводительные устройства, главное назначение — быстрый транспорт), уровень распространения (Distribution layer: обеспечивает применение политик безопасности, QoS, агрегацию и маршрутизацию в VLAN, определяет широковещательные домены), и уровень доступа (Access-layer: обычно, L2 свичи, назначение: подключение конечных устройств, маркирование трафика для QoS, защита от колец в сети (STP) и широковещательных штормов, обеспечение питания для PoE устройств).

В таких масштабах, как наш, роль каждого устройства размывается, но логически поделить сеть можно.
Набросаем схему будущей сети:

На представленной схеме ядром (Core) будет маршрутизатор 2811, коммутатор Две тыщи девятьсот шестьдесят отнесём к уровню распространения (Distribution), потому что на нём агрегируются все VLAN в общий транк. Коммутаторы Две тыщи девятьсот 50 будут устройствами доступа (Access). К ним будут подключаться конечные пользователи, офисная техника, сервера.

Именовать устройства будем следующим образом: сокращённое название города (msk) — географическое размещение (улица, здание) (arbat) — роль устройства в сети + порядковый номер.
Соответственно их ролям и месту расположения выбираем hostname:
Маршрутизатор 2811: msk-arbat-gw1 (gw=GateWay=шлюз)
Коммутатор 2960: msk-arbat-dsw1 (dsw=Distribution switch)
Коммутаторы 2950: msk-arbat-aswN, msk-rubl-asw1 (asw=Access switch)

Документация сети

Вся сеть должна быть строго документирована: от принципиальной схемы, до имени интерфейса.
Ранее, чем приступить к настройке, я бы вожделел привести список подходящих документов и действий:
Схемы сети L1, L2, L3 в согласовании с уровнями модели OSI (Физический, канальный, сетевой)
План IP-адресации = IP-план.
Список VLAN
Подписи (description) интерфейсов
• Список устройств (для каждого следует указать: модель железки, установленная версия IOS, объем RAMNVRAM, список интерфейсов)
• Метки на кабелях (откуда и куда идёт), в том числе на кабелях питания и заземления и устройствах
• Единый регламент, определяющий все вышеприведённые свойства и другие.

Говоря о метках/наклейках на кабели, мы имеем ввиду это:

На этой фото отлично видно, что промаркирован каждый кабель, значение каждого автомата на щитке в стойке, также каждое устройство.

Жирным выделено то, за чем мы будем глядеть в рамках программы-симулятора. Разумеется, все конфигурации сети нужно вносить в документацию и конфигурацию, чтобы они были в актуальном состоянии.

Подготовим нужные нам документы:

Список VLAN

Неважно какая группа будет выделена в отдельный влан. Таким образом мы ограничим их широковещательные домены. Также введём особенный VLAN для управления устройствами.
Номера VLAN по 100 зарезервированы для будущих нужд.

IP-план

Выделение подсетей в общем-то случайное, соответствующее только числу узлов в этой локальной сети с учётом возможного роста. В данном примере все подсети имеют маску /24 (/24=255.255.255.0) — это сеть класса C — нередко такие и употребляются в локальных сетях.

Советуем почитать о классах сетей. В дальнейшем мы обратимся и к бесклассовой адресации. Мы понимаем, что ссылки на технические статьи в википедии — это моветон, но они дают не нехорошее определение, а мы попробуем в свою очередь перенести это на картину реального мира.
Под сетью Point-to-Point подразумеваем подключение 1-го маршрутизатора к другому в режиме точка-точка. Обычно берутся адреса с маской 30 (возвращаясь к тебе бесклассовых сетей), другими словами содержащие два адреса узла. Позже станет понятно, о чём идёт речь.

План подключения оборудования по портам

Разумеется, сейчас есть коммутаторы с кучей портов 1Gb Ethernet, есть коммутаторы с 10G, на продвинутых операторских железках, стоящих немалые тысячи баксов есть 40Gb, в разработке находится 100Gb (а по слухам уже даже есть такие платы, вышедшие в промышленное создание). Соответственно, вы можете выбирать в реальном мире коммутаторы и маршрутизаторы согласно вашим потребностям, не забывая про бюджет.

А конкретно гигабитный свич сейчас можно приобрести незадорого (20-30 тысяч) и это с запасом на будущее (если вы не провайдер, естественно). Маршрутизатор с гигабитными портами стоит уже ощутимо дороже, чем со 100Mbps портами, но оно того стоит, потому что FE-модели (100Mbps FastEthernet), устарели и их пропускная способность очень невысока.
Но в программах эмуляторах/симуляторах,которые мы будем использовать, к огорчению, есть только обыкновенные модели оборудования, поэтому при моделировании сети будем отталкиваться от того, что имеем:

Маршрутизация

Почему непосредственно так распределены VLAN’ы, мы объясним в следующих частях.

Excel-документ со списком VLAN, IP, портов

Схемы сети

На основании этих данных можно составить все три схемы сети на этом шаге. Для этого можно воспользоваться Microsoft Visio, хоть каким бесплатным приложением, но с привязкой к собственному формату, или редакторами графики (можно и от руки, но это будет тяжело держать в актуальном состоянии ).

Не пропаганды опен сорса для, а контраста средств ради, воспользуемся Dia. В линуксе, я считаю, его одним из лучших приложений для работы со схемами. Есть версия для Виндоус, но, к огорчению, сопоставимости в визио никакой.

L1

Другими словами на схеме L1 мы отражаем физические устройства сети с номерами портов: что куда подключено.

L2

На схеме L2 мы указываем наши VLAN’ы

L3

В нашем примере схема третьего уровня вышла довольно бесполезная и ненаглядная, из-за наличия только 1-го маршрутизирующего устройства. Но со временем она обрастёт подробностями.

Dia-файлы со схемами сети: L1, L2, L3

Как видите, информация в файлах избыточна. Например, номера VLAN повторяются и на схеме и в плане по портам. Тут как бы кто на что горазд. Как для вас удобнее, так и делайте.

Такая избыточность затрудняет обновление в случае конфигурации конфигурации, потому что нужно исправиться слету в нескольких местах, но с другой стороны, упрощает понимание.

К этой первой статье мы не раз ещё вернёмся в предстоящем, равно как и для вас придётся всегда возвращаться к тому, что вы сначала напланировали.
Практически задание для тех, кто пока только начинает учиться и готов приложить для этого усилия: много читать про вланы, найти программы Packet Tracer и GNS3.
В следующей части мы будем учиться подключаться к оборудованию, разбираться с интерфейсом и поведаем, что делать нерадивому админу, забывшему пароль.

Источник: hpunix.org

Источник: avg-it.ru


Leave a Comment

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.