Сети для самых маленьких. Часть нулевая. Планирование. На схеме l1

Сети для самых маленьких. Часть нулевая. Планирование / Хабр

Это первая статья из серии «Сети для самых маленьких». Мы с товарищем thegluck долго думали с чего начать: маршрутизация, VLAN'ы, настройка оборудования. В итоге решили начать с вещи фундаментальной и, можно сказать, самой важной: планирование. Поскольку цикл рассчитан на совсем новичков, то и пройдём весь путь от начала до конца.

Предполагается, что вы, как минимум читали о эталонной модели OSI (то же на англ.), о стеке протоколов TCP/IP (англ.), знаете о типах существующих VLAN’ов (эту статью я настоятельно рекомендую к прочтению), о наиболее популярном сейчас port-based VLAN и о IP адресах (более подробно). Мы понимаем, что для новичков «OSI» и «TCP/IP» — это страшные слова. Но не переживайте, не для того, чтобы запугать вас, мы их используем. Это то, с чем вам придётся встречаться каждый день, поэтому в течение этого цикла мы постараемся раскрыть их смысл и отношение к реальности.

Начнём с постановки задачи. Есть некая фирма, занимающаяся, допустим, производством лифтов, идущих только вверх, и потому называется ООО «Лифт ми ап». Расположены они в старом здании на Арбате, и сгнившие провода, воткнутые в пожжёные и прожжёные коммутаторы времён 10Base-T не ожидают подключения новых серверов по гигабитным карточкам. Итак у них катастрофическая потребность в сетевой инфраструктуре и денег куры не клюют, что даёт вам возможность безграничного выбора. Это чудесный сон любого инженера. А вы вчера выдержали собеседование и в сложной борьбе по праву получили должность сетевого администратора. И теперь вы в ней первый и единственный в своём роде. Поздравляем! Что дальше? Следует несколько конкретизировать ситуацию.

1. В данный момент у компании есть два офиса: 200 квадратов на Арбате под рабочие места и серверную. Там представлены несколько провайдеров. Другой на Рублёвке.
2. Есть четыре группы пользователей: бухгалтерия (Б), финансово-экономический отдел (ФЭО), производственно-технический отдел (ПТО), другие пользователи (Д). А так же есть сервера (С), которые вынесены в отдельную группу. Все группы разграничены и не имеют прямого доступа друг к другу.
3. Пользователи групп С, Б и ФЭО будут только в офисе на Арбате, ПТО и Д будут в обоих офисах.

Прикинув количество пользователей, необходимые интерфейсы, каналы связи, вы готовите схему сети и IP-план. При проектировании сети следует стараться придерживаться иерархической модели сети, которая имеет много достоинств по сравнению с “плоской сетью”:

• упрощается понимание организации сети
• модель подразумевает модульность, что означает простоту наращивания мощностей именно там, где необходимо
• легче найти и изолировать проблему
• повышенная отказоустойчивость засчет дублирования устройств и/или соединений
• распределение функций по обеспечению работоспособности сети по различным устройствам.

Согласно этой модели, сеть разбивается на три логических уровня: ядро сети (Core layer: высокопроизводительные устройства, главное назначение — быстрый транспорт), уровень распространения (Distribution layer: обеспечивает применение политик безопасности, QoS, агрегацию и маршрутизацию в VLAN, определяет широковещательные домены), и уровень доступа (Access-layer: как правило, L2 свичи, назначение: подключение конечных устройств, маркирование трафика для QoS, защита от колец в сети (STP) и широковещательных штормов, обеспечение питания для PoE устройств).

В таких масштабах, как наш, роль каждого устройства размывается, однако логически разделить сеть можно. Составим приблизительную схему:

На представленной схеме ядром (Core) будет маршрутизатор 2811, коммутатор 2960 отнесём к уровню распространения (Distribution), поскольку на нём агрегируются все VLAN в общий транк. Коммутаторы 2950 будут устройствами доступа (Access). К ним будут подключаться конечные пользователи, офисная техника, сервера.

Именовать устройства будем следующим образом: сокращённое название города (msk) — географическое расположение (улица, здание) (arbat) — роль устройства в сети + порядковый номер. Соответственно их ролям и месту расположения выбираем hostname: Маршрутизатор 2811: msk-arbat-gw1 (gw=GateWay=шлюз) Коммутатор 2960: msk-arbat-dsw1 (dsw=Distribution switch) Коммутаторы 2950: msk-arbat-aswN, msk-rubl-asw1 (asw=Access switch)

Документация сети

Вся сеть должна быть строго документирована: от принципиальной схемы, до имени интерфейса. Прежде, чем приступить к настройке, я бы хотел привести список необходимых документов и действий: • Схемы сети L1, L2, L3 в соответствии с уровнями модели OSI (Физический, канальный, сетевой) • План IP-адресации = IP-план. • Список VLAN • Подписи (description) интерфейсов • Список устройств (для каждого следует указать: модель железки, установленная версия IOS, объем RAM\NVRAM, список интерфейсов) • Метки на кабелях (откуда и куда идёт), в том числе на кабелях питания и заземления и устройствах • Единый регламент, определяющий все вышеприведённые параметры и другие.

Жирным выделено то, за чем мы будем следить в рамках программы-симулятора. Разумеется, все изменения сети нужно вносить в документацию и конфигурацию, чтобы они были в актуальном состоянии.

Говоря о метках/наклейках на кабели, мы имеем ввиду это:

На этой фотографии отлично видно, что промаркирован каждый кабель, значение каждого автомата на щитке в стойке, а также каждое устройство.

Подготовим нужные нам документы:

Список VLAN№ VLAN VLAN name Примечание

1	default	Не используется
2	Management	Для управления устройствами
3	Servers	Для серверной фермы
4-100		Зарезервировано
101	PTO	Для пользователей ПТО
102	FEO	Для пользователей ФЭО
103	Accounting	Для пользователей Бухгалтерии
104	Other	Для других пользователей

Каждая группа будет выделена в отдельный влан. Таким образом мы ограничим широковещательные домены. Также введём специальный VLAN для управления устройствами. Номера VLAN c 4 по 100 зарезервированы для будущих нужд.

IP-планIP-адрес Примечание VLAN 172.16.0.0/16 172.16.0.0/24 Серверная ферма 172.16.1.0/24 Управление 172.16.2.0/24 Сеть Point-to-Point 172.16.3.0/24 ПТО 172.16.4.0/24 ФЭО 172.16.5.0/24 Бухгалтерия 172.16.6.0/24 Другие пользователи

3
172.16.0.1	Шлюз
172.16.0.2	Web
172.16.0.3	File
172.16.0.4	Mail
172.16.0.5 — 172.16.0.254	Зарезервировано
2
172.16.1.1	Шлюз
172.16.1.2	msk-arbat-dswl
172.16.1.3	msk-arbat-aswl
172.16.1.4	msk-arbat-asw2
172.16.1.5	msk-arbat-asw3
172.16.1.6	msk-rubl-aswl
172.16.1.6 — 172.16.1.254	Зарезервировано
172.16.2.1	Шлюз
172.16.2.2 — 172.16.2.254	Зарезервировано
101
172.16.3.1	Шлюз
172.16.3.2 — 172.16.3.254	Пул для пользователей
102
172.16.4.1	Шлюз
172.16.4.2 — 172.16.4.254	Пул для пользователей
103
172.16.5.1	Шлюз
172.16.5.2 — 172.16.5.254	Пул для пользователей
104
172.16.6.1	Шлюз
172.16.6.2 — 172.16.6.254	Пул для пользователей

Выделение подсетей в общем-то произвольное, соответствующее только числу узлов в этой локальной сети с учётом возможного роста. В данном примере все подсети имеют стандартную маску /24 (/24=255.255.255.0) — зачастую такие и используются в локальных сетях, но далеко не всегда. Советуем почитать о классах сетей. В дальнейшем мы обратимся и к бесклассовой адресации (cisco). Мы понимаем, что ссылки на технические статьи в википедии — это моветон, однако они дают хорошее определение, а мы попробуем в свою очередь перенести это на картину реального мира. Под сетью Point-to-Point подразумеваем подключение одного маршрутизатора к другому в режиме точка-точка. Обычно берутся адреса с маской 30 (возвращаясь к теме бесклассовых сетей), то есть содержащие два адреса узла. Позже станет понятно, о чём идёт речь.

План подключения оборудования по портам

Разумеется, сейчас есть коммутаторы с кучей портов 1Gb Ethernet, есть коммутаторы с 10G, на продвинутых операторских железках, стоящих немалые тысячи долларов есть 40Gb, в разработке находится 100Gb (а по слухам уже даже есть такие платы, вышедшие в промышленное производство). Соответственно, вы можете выбирать в реальном мире коммутаторы и маршрутизаторы согласно вашим потребностям, не забывая про бюджет. В частности гигабитный свич сейчас можно купить незадорого (20-30 тысяч) и это с запасом на будущее (если вы не провайдер, конечно). Маршрутизатор с гигабитными портами стоит уже ощутимо дороже, чем со 100Mbps портами, однако оно того стоит, потому что FE-модели (100Mbps FastEthernet), устарели и их пропускная способность очень невысока. Но в программах эмуляторах/симуляторах, которые мы будем использовать, к сожалению, есть только простенькие модели оборудования, поэтому при моделировании сети будем отталкиваться от того, что имеем: маршрутизатор cisco2811, коммутаторы cisco2960 и 2950.

Имя устройства Порт Название VLAN Access Trunk

msk-arbat-gw1	FE0/1	UpLink
	FE0/0	msk-arbat-dsw1		2,3,101,102,103,104
msk-arbat-dsw1	FE0/24	msk-arbat-gw1		2,3,101,102,103,104
	GE1/1	msk-arbat-asw1		2,3
	GE1/2	msk-arbat-asw3		2,101,102,103,104
	FE0/1	msk-rubl-asw1		2,101,104
msk-arbat-asw1	GE1/1	msk-arbat-dsw1		2,3
	GE1/2	msk-arbat-asw2		2,3
	FE0/1	Web-server	3
	FE0/2	File-server	3
msk-arbat-asw2	GE1/1	msk-arbat-asw1		2,3
	FE0/1	Mail-Server	3
msk-arbat-asw3	GE1/1	msk-arbat-dsw1		2,101,102,103,104
	FE0/1-FE0/5	PTO	101
	FE0/6-FE0/10	FEO	102
	FE0/11-FE0/15	Accounting	103
	FE0/16-FE0/24	Other	104
msk-rubl-asw1	FE0/24	msk-arbat-dsw1		2,101,104
	FE0/1-FE0/15	PTO	101
	FE0/20	administrator	104

Почему именно так распределены VLAN'ы, мы объясним в следующих частях.

Excel-документ со списком VLAN, IP, портов

Схемы сети

На основании этих данных можно составить все три схемы сети на этом этапе. Для этого можно воспользоваться Microsoft Visio, каким-либо бесплатным приложением, но с привязкой к своему формату, или редакторами графики (можно и от руки, но это будет сложно держать в актуальном состоянии :)).

Не пропаганды опен сорса для, а разнообразия средств ради, воспользуемся Dia. Я считаю его одним из лучших приложений для работы со схемами под Linux. Есть версия для Виндоус, но, к сожалению, совместимости в визио никакой.

L1

То есть на схеме L1 мы отражаем физические устройства сети с номерами портов: что куда подключено.

L2 На схеме L2 мы указываем наши VLAN’ы

L3

В нашем примере схема третьего уровня получилась довольно бесполезная и не очень наглядная, из-за наличия только одного маршрутизирующего устройства. Но со временем она обрастёт подробностями.

Dia-файлы со схемами сети: L1, L2, L3

Как видите, информация в документах избыточна. Например, номера VLAN повторяются и на схеме и в плане по портам. Тут как бы кто на что горазд. Как вам удобнее, так и делайте. Такая избыточность затрудняет обновление в случае изменения конфигурации, потому что нужно исправиться сразу в нескольких местах, но с другой стороны, облегчает понимание.

К этой первой статье мы не раз ещё вернёмся в будущем, равно как и вам придётся всегда возвращаться к тому, что вы изначально напланировали. Собственно задание для тех, кто пока только начинает учиться и готов приложить для этого усилия: много читать про вланы, ip-адресацию, найти программы Packet Tracer и GNS3. Что касается фундаментальных теоретических знаний, то советуем начать читать Cisco press: раз, два, три (русский язык). Это то, что вам совершенно точно понадобится знать. В следующей части всё будет уже по-взрослому, с видео, мы будем учиться подключаться к оборудованию, разбираться с интерфейсом и расскажем, что делать нерадивому админу, забывшему пароль. P.S. Спасибо соавтору статьи — пользователю thegluck. P.P.S Тем, кто имеет, что спросить, но не имеет возможности свой вопрос здесь задать, милости просим в ЖЖ

habr.com

Как создавать понятные логические (L3) схемы сети / Хабр

Cамая большая проблема, с которой я сталкиваюсь при работе с сетями предприятий — это отсутствие чётких и понятных логических схем сети. В большинстве случаев я сталкиваюсь с ситуациями, когда заказчик не может предоставить никаких логических схем или диаграмм. Сетевые диаграммы (далее L3-схемы) являются чрезвычайно важными при решении проблем, либо планировании изменений в сети предприятия. Логические схемы во многих случаях оказываются более ценными, чем схемы физических соединений. Иногда мне встречаются «логически-физически-гибридные» схемы, которые практически бесполезны. Если вы не знаете логическую топологию вашей сети, вы слепы. Как правило, умение изображать логическую схему сети не является общим навыком. Именно по этой причине я пишу эту статью про создание чётких и понятных логических схем сети.

Какая информация должна быть представлена на L3-схемах?

Для того, чтобы создать схему сети, вы должны иметь точное представление о том, какая информация должна присутствовать и на каких именно схемах. В противном случае вы станете смешивать информацию и в итоге получится очередная бесполезная «гибридная» схема. Хорошие L3-схемы содержат следующую информацию:

• подсети
  • VLAN ID (все)
  • названия VLAN'ов
  • сетевые адреса и маски (префиксы)
• L3-устройства
  • маршрутизаторы, межсетевые экраны (далее МСЭ) и VPN-шлюзы (как минимум)
  • наиболее значимые серверы (например, DNS и пр.)
  • ip-адреса этих серверов
  • логические интерфейсы
• информацию протоколов маршрутизации

Какой информации НЕ должно быть на L3-схемах?

Перечисленной ниже информации не должно быть на сетевых схемах, т.к. она относится к другим уровням [модели OSI, прим. пер.] и, соответственно, должна быть отражена на других схемах:

• вся информация L2 и L1 (в общем случае)
• L2-коммутаторы (может быть представлен только интерфейс управления)
• физические соединения между устройствами

Используемые обозначения

Как правило, на логических схемах используются логические символы. Большинство из них не требуют пояснений, но т.к. я уже видел ошибки их применения, то позволю себе остановиться и привести несколько примеров:

• Подсеть, представленная как трубка или линия:
• VRF или другая не известная точно зона представляется в виде облака:

Какая информация необходима для создания L3-схемы?

Для того, чтобы создать логическую схему сети, понадобится следующая информация:

• Схема L2 (или L1) — представление физических соединений между устройствами L3 и коммутаторами
• Конфигурации устройств L3 — текстовые файлы либо доступ к GUI, и т.д.
• Конфигурации устройств L2 — текстовые файлы либо доступ к GUI, и т.д.

Пример

В данном примере мы будем использовать простую сеть. В ней будут присутствовать коммутаторы Cisco и МСЭ Juniper Netscreen. Нам предоставлена схема L2, также как и конфигурационные файлы большинства представленных устройств. Конфигурационные файлы пограничных маршрутизаторов ISP не предоставлены, т.к. в реальной жизни такую информацию ISP не передаёт. Ниже представлена L2-топология сети:

А здесь представлены файлы конфигурации устройств. Оставлена только необходимая информация:

asw1

!vlan 210 name Servers1!vlan 220 name Servers2!vlan 230 name Servers3!vlan 240 name Servers4!vlan 250 name In-mgmt!interface GigabitEthernet0/1 switchport mode trunk switchport trunk encapsulation dot1q!interface GigabitEthernet0/2 switchport mode trunk switchport trunk encapsulation dot1q!interface vlan 250 ip address 192.168.10.11 255.255.255.128!ip default-gateway 192.168.10.1

asw2

!vlan 210 name Servers1!vlan 220 name Servers2!vlan 230 name Servers3!vlan 240 name Servers4!vlan 250 name In-mgmt!interface GigabitEthernet0/1 switchport mode trunk switchport trunk encapsulation dot1q!interface GigabitEthernet0/2 switchport mode trunk switchport trunk encapsulation dot1q!interface vlan 250 ip address 192.168.10.12 255.255.255.128!ip default-gateway 192.168.10.1

asw3

!vlan 210 name Servers1!vlan 220 name Servers2!vlan 230 name Servers3!vlan 240 name Servers4!vlan 250 name In-mgmt!interface GigabitEthernet0/1 switchport mode trunk switchport trunk encapsulation dot1q!interface GigabitEthernet0/2 switchport mode trunk switchport trunk encapsulation dot1q!interface vlan 250 ip address 192.168.10.13 255.255.255.128!ip default-gateway 192.168.10.1

csw1

!vlan 200 name in-transit!vlan 210 name Servers1!vlan 220 name Servers2!vlan 230 name Servers3!vlan 240 name Servers4!vlan 250 name In-mgmt!interface GigabitEthernet0/1 switchport mode trunk switchport trunk encapsulation dot1q!interface GigabitEthernet0/2 switchport mode trunk switchport trunk encapsulation dot1q channel-group 1 mode active!interface GigabitEthernet0/3 switchport mode trunk switchport trunk encapsulation dot1q channel-group 1 mode active!interface GigabitEthernet0/4 switchport mode trunk switchport trunk encapsulation dot1q!interface GigabitEthernet0/5 switchport mode trunk switchport trunk encapsulation dot1q!interface GigabitEthernet0/6 switchport mode trunk switchport trunk encapsulation dot1q!interface Port-channel 1 switchport mode trunk switchport trunk encapsulation dot1q!interface vlan 200 ip address 10.0.0.29 255.255.255.240 standby 1 ip 10.0.0.28!interface vlan 210 ip address 192.168.0.2 255.255.255.128 standby 2 ip 192.168.0.1!interface vlan 220 ip address 192.168.0.130 255.255.255.128 standby 3 ip 192.168.0.129!interface vlan 230 ip address 192.168.1.2 255.255.255.128 standby 4 ip 192.168.1.1!interface vlan 240 ip address 192.168.1.130 255.255.255.128 standby 5 ip 192.168.1.129!interface vlan 250 ip address 192.168.10.2 255.255.255.128 standby 6 ip 192.168.10.1!ip route 0.0.0.0 0.0.0.0 10.0.0.17

csw2

!vlan 200name in-transit!vlan 210name Servers1!vlan 220name Servers2!vlan 230name Servers3!vlan 240name Servers4!vlan 250name In-mgmt!interface GigabitEthernet0/1switchport mode trunkswitchport trunk encapsulation dot1q!interface GigabitEthernet0/2switchport mode trunkswitchport trunk encapsulation dot1qchannel-group 1 mode active!interface GigabitEthernet0/3switchport mode trunkswitchport trunk encapsulation dot1qchannel-group 1 mode active!interface GigabitEthernet0/4switchport mode trunkswitchport trunk encapsulation dot1q!interface GigabitEthernet0/5switchport mode trunkswitchport trunk encapsulation dot1q!interface GigabitEthernet0/6switchport mode trunkswitchport trunk encapsulation dot1q!interface Port-channel 1switchport mode trunkswitchport trunk encapsulation dot1q!interface vlan 200ip address 10.0.0.30 255.255.255.240standby 1 ip 10.0.0.28!interface vlan 210ip address 192.168.0.3 255.255.255.128standby 2 ip 192.168.0.1!interface vlan 220ip address 192.168.0.131 255.255.255.128standby 3 ip 192.168.0.129!interface vlan 230ip address 192.168.1.3 255.255.255.128standby 4 ip 192.168.1.1!interface vlan 240ip address 192.168.1.131 255.255.255.128standby 5 ip 192.168.1.129!interface vlan 250ip address 192.168.10.3 255.255.255.128standby 6 ip 192.168.10.1!ip route 0.0.0.0 0.0.0.0 10.0.0.17

fw1

set interface ethernet0/1 zone untrustset interface ethernet0/1.101 tag 101 zone dmzset interface ethernet0/1.102 tag 102 zone mgmtset interface ethernet0/2 zone trustset interface ethernet0/1 ip 10.0.0.1/28set interface ethernet0/1 manage-ip 10.0.0.2set interface ethernet0/1.101 ip 10.0.0.33/28set interface ethernet0/1.102 ip 10.0.0.49/28set interface ethernet0/2 ip 10.0.0.17/28set interface ethernet0/2 manage-ip 10.0.0.18set vrouter trust-vr route 0.0.0.0/0 interface ethernet0/1 gateway 10.0.0.12

fw2

set interface ethernet0/1 zone untrustset interface ethernet0/1.101 tag 101 zone dmzset interface ethernet0/1.102 tag 102 zone mgmtset interface ethernet0/2 zone trustset interface ethernet0/1 ip 10.0.0.1/28set interface ethernet0/1 manage-ip 10.0.0.3set interface ethernet0/1.101 ip 10.0.0.33/28set interface ethernet0/1.102 ip 10.0.0.49/28set interface ethernet0/2 ip 10.0.0.17/28set interface ethernet0/2 manage-ip 10.0.0.19set vrouter trust-vr route 0.0.0.0/0 interface ethernet0/1 gateway 10.0.0.12

outsw1

!vlan 100 name Outside!vlan 101 name DMZ!vlan 102 name Mgmt!interface GigabitEthernet1/0 description To-Inet-rtr1 switchport mode access switchport access vlan 100!interface GigabitEthernet1/1 switchport mode trunk switchport trunk encapsulation dot1q!interface GigabitEthernet1/3 switchport mode trunk switchport trunk encapsulation dot1q channel-group 1 mode active!interface GigabitEthernet1/4 switchport mode trunk switchport trunk encapsulation dot1q channel-group 1 mode active!interface Port-channel 1 switchport mode trunk switchport trunk encapsulation dot1q!interface vlan 102 ip address 10.0.0.50 255.255.255.240!ip default-gateway 10.0.0.49

outsw2

!vlan 100 name Outside!vlan 101 name DMZ!vlan 102 name Mgmt!interface GigabitEthernet1/0 description To-Inet-rtr2 switchport mode access switchport access vlan 100!interface GigabitEthernet1/1 switchport mode trunk switchport trunk encapsulation dot1q!interface GigabitEthernet1/3 switchport mode trunk switchport trunk encapsulation dot1q channel-group 1 mode active!interface GigabitEthernet1/4 switchport mode trunk switchport trunk encapsulation dot1q channel-group 1 mode active!interface Port-channel 1 switchport mode trunk switchport trunk encapsulation dot1q!interface vlan 102 ip address 10.0.0.51 255.255.255.240!ip default-gateway 10.0.0.49

Сбор информации и её визуализация

Хорошо. Теперь, когда мы имеем всю необходимую информацию, можно приступать к визуализации.Процесс отображения шаг за шагом

1. Сбор информации:
   1. Для начала откроем файл конфигурации (в данном случае ASW1).
   2. Возьмём оттуда каждый ip-адрес из разделов интерфейсов. В данном случае есть только один адрес (192.168.10.11) с маской 255.255.255.128. Имя интерфейса — vlan250, и имя vlan 250 — In-mgmt.
   3. Возьмём все статические маршруты из конгфигурации. В данном случае есть только один (ip default-gateway), и он указывает на 192.168.10.1.
2. Отображение:
   1. Теперь давайте отобразим информацию, которую мы собрали. Во-первых, нарисуем устройство ASW1. ASW1 является коммутатором, поэтому используем символ коммутатора.
   2. Нарисуем подсеть (трубку). Назначим ей имя In-mgmt, VLAN-ID 250 и адрес 192.168.10.0/25.
   3. Соединим ASW1 и подсеть.
   4. Вставляем текстовое поле между символами ASW1 и подсети. Отобразим в нём имя логического интерфейса и ip-адрес. В данном случае имя интерфейса будет vlan250, и последний октет ip-адреса — .11 (это является общей практикой — отображать только последний октет ip-адреса, т.к. ip-адрес сети уже присутствует на схеме).
   5. Также в сети In-mgmt есть другое устройство. Или, как минимум, должно быть. Нам ещё неизвестно имя этого устройства, но его IP-адрес 192.168.10.1. Мы узнали это потому, что ASW1 указывает на этот адрес как на шлюз по-умолчанию. Поэтому давайте отобразим это устройство на схеме и дадим ему временное имя "??". Также добавим его адрес на схему — .1 (кстати, я всегда выделяю неточную/неизвестную информацию красным цветом, чтобы глядя на схему можно было сразу понять, что на ней требует уточнения).

На этом этапе мы получаем схему, подобную этой:

Повторите этот процесс шаг за шагом для каждого сетевого устройства. Соберите всю информацию, относящуюся к IP, и отобразите на этой же схеме: каждый ip-адрес, каждый интерфейс и каждый статический маршрут. В процессе ваша схема станет очень точной. Убедитесь, что устройства, которые упомянуты, но пока неизвестны, отображены на схеме. Точно так же, как мы делали ранее с адресом 192.168.10.1. Как только вы выполните всё перечисленное для всех известных сетевых устройств, можно начать выяснение неизвестной информации. Вы можете использовать для этого таблицы MAC и ARP (интересно, стоит ли писать следующий пост, рассказывающий подробно об этом этапе?).

В конечном счёте мы будем иметь схему наподобие этой:

Заключение

Нарисовать логическую схему сети можно очень просто, если вы обладаете соответствующими знаниями. Это продолжительный процесс, выполняемый вручную, но это отнюдь не волшебство. Как только у вас есть L3-схема сети, достаточно нетрудно поддерживать её в актуальном состоянии. Получаемые преимущества стоят приложенных усилий:

• вы можете планировать изменения быстро и точно;
• решение проблем занимает гораздо меньше времени, чем до этого. Представим, что кому-то нужно решить проблему недоступности сервиса для 192.168.0.200 до 192.168.1.200. После просмотра L3-схемы можно с уверенностью сказать, что МСЭ не является причиной данной проблемы.
• Вы можете легко соблюдать корректность правил МСЭ. Я видел ситуации, когда МСЭ содержали правила для трафика, который никогда бы не прошёл через этот МСЭ. Этот пример отлично показывает, что логическая топология сети неизвестна.
• Обычно как только L3-схема сети создана, вы сразу заметите, какие участки сети не имеют избыточности и т.д. Другими словами, топология L3 (а также избыточность) является такой же важной как избыточность на физическом уровне.

habr.com

Сети для самых маленьких. Часть нулевая. Планирование / LinkMeUp

Это первая статья из серии «Сети для самых маленьких». Мы с Максимом aka Gluck долго думали с чего начать: маршрутизация, VLAN'ы, настройка оборудования. В итоге решили начать с вещи фундаментальной и, можно сказать, самой важной: планирование. Поскольку цикл рассчитан на совсем новичков, то и пройдём весь путь от начала до конца.

Предполагается, что вы, как минимум, читали о эталонной модели OSI (то же на англ.), о стеке протоколов TCP/IP (англ.), знаете о типах существующих VLAN’ов (эту статью я настоятельно рекомендую к прочтению), о наиболее популярном сейчас port-based VLAN и о IP адресах (более подробно). Мы понимаем, что для новичков «OSI» и «TCP/IP» — это страшные слова. Но не переживайте, не для того, чтобы запугать вас, мы их используем. Это то, с чем вам придётся встречаться каждый день, поэтому в течение этого цикла мы постараемся раскрыть их смысл и отношение к реальности.

Начнём с постановки задачи. Есть некая фирма, занимающаяся, допустим, производством лифтов, идущих только вверх, и потому называется ООО «Лифт ми ап». Расположены они в старом здании на Арбате, и сгнившие провода, воткнутые в пожжёные и прожжёные коммутаторы времён 10Base-T не ожидают подключения новых серверов по гигабитным карточкам. Итак, у них катастрофическая потребность в сетевой инфраструктуре и денег куры не клюют, что даёт вам возможность безграничного выбора. Это чудесный сон любого инженера. А вы вчера выдержали собеседование, и в сложной борьбе по праву получили должность сетевого администратора. И теперь вы в ней первый и единственный в своём роде. Поздравляем! Что дальше? Следует несколько конкретизировать ситуацию:

1. В данный момент у компании есть два офиса: 200 квадратов на Арбате под рабочие места и серверную. Там представлены несколько провайдеров. Другой на Рублёвке.
2. Есть четыре группы пользователей: бухгалтерия (Б), финансово-экономический отдел (ФЭО), производственно-технический отдел (ПТО), другие пользователи (Д). А так же есть сервера ©, которые вынесены в отдельную группу. Все группы разграничены и не имеют прямого доступа друг к другу.
3. Пользователи групп С, Б и ФЭО будут только в офисе на Арбате, ПТО и Д будут в обоих офисах.

Прикинув количество пользователей, необходимые интерфейсы, каналы связи, вы готовите схему сети и IP-план.

При проектировании сети следует стараться придерживаться иерархической модели сети, которая имеет много достоинств по сравнению с “плоской сетью”:

• упрощается понимание организации сети
• модель подразумевает модульность, что означает простоту наращивания мощностей именно там, где необходимо
• легче найти и изолировать проблему
• повышенная отказоустойчивость за счет дублирования устройств и/или соединений
• распределение функций по обеспечению работоспособности сети по различным устройствам.

Согласно этой модели, сеть разбивается на три логических уровня: ядро сети (Core layer: высокопроизводительные устройства, главное назначение — быстрый транспорт), уровень распространения (Distribution layer: обеспечивает применение политик безопасности, QoS, агрегацию и маршрутизацию в VLAN, определяет широковещательные домены), и уровень доступа (Access-layer: как правило, L2 свичи, назначение: подключение конечных устройств, маркирование трафика для QoS, защита от колец в сети (STP) и широковещательных штормов, обеспечение питания для PoE устройств).

В таких масштабах, как наш, роль каждого устройства размывается, однако логически разделить сеть можно. Составим приблизительную схему:

На представленной схеме ядром (Core) будет маршрутизатор 2811, коммутатор 2960 отнесём к уровню распространения (Distribution), поскольку на нём агрегируются все VLAN в общий транк. Коммутаторы 2950 будут устройствами доступа (Access). К ним будут подключаться конечные пользователи, офисная техника, сервера.

Именовать устройства будем следующим образом: сокращённое название города (msk) — географическое расположение (улица, здание) (arbat) — роль устройства в сети + порядковый номер. Соответственно их ролям и месту расположения выбираем hostname: Маршрутизатор 2811: msk-arbat-gw1 (gw=GateWay=шлюз) Коммутатор 2960: msk-arbat-dsw1 (dsw=Distribution switch) Коммутаторы 2950: msk-arbat-aswN, msk-rubl-asw1 (asw=Access switch)

Документация сети

Вся сеть должна быть строго документирована: от принципиальной схемы, до имени интерфейса. Прежде, чем приступить к настройке, я бы хотел привести список необходимых документов и действий:

• Схемы сети L1, L2, L3 в соответствии с уровнями модели OSI (Физический, канальный, сетевой)
• План IP-адресации = IP-план
• Список VLAN
• Подписи (description) интерфейсов
• Список устройств (для каждого следует указать: модель железки, установленная версия IOS, объем RAM\NVRAM, список интерфейсов)
• Метки на кабелях (откуда и куда идёт), в том числе на кабелях питания и заземления и устройствах
• Единый регламент, определяющий все вышеприведённые параметры и другие

Жирным выделено то, за чем мы будем следить в рамках программы-симулятора. Разумеется, все изменения сети нужно вносить в документацию и конфигурацию, чтобы они были в актуальном состоянии.

Говоря о метках/наклейках на кабели, мы имеем ввиду это:

На этой фотографии отлично видно, что промаркирован каждый кабель, значение каждого автомата на щитке в стойке, а также каждое устройство.

Подготовим нужные нам документы:

Список VLAN№ VLANVLAN nameПримечание

1	default	Не используется
2	Management	Для управления устройствами
3	Servers	Для серверной фермы
4-100		Зарезервировано
101	PTO	Для пользователей ПТО
102	FEO	Для пользователей ФЭО
103	Accounting	Для пользователей Бухгалтерии
104	Other	Для других пользователей

Каждая группа будет выделена в отдельный влан. Таким образом мы ограничим широковещательные домены. Также введём специальный VLAN для управления устройствами. Номера VLAN c 4 по 100 зарезервированы для будущих нужд.IP-планIP-адресПримечаниеVLAN172.16.0.0/16172.16.0.0/24Серверная ферма172.16.1.0/24Управление172.16.2.0/24Сеть Point-to-Point172.16.3.0/24ПТО172.16.4.0/24ФЭО172.16.5.0/24Бухгалтерия172.16.6.0/24Другие пользователи

3
172.16.0.1	Шлюз
172.16.0.2	Web
172.16.0.3	File
172.16.0.4	Mail
172.16.0.5 — 172.16.0.254	Зарезервировано
2
172.16.1.1	Шлюз
172.16.1.2	msk-arbat-dsw1
172.16.1.3	msk-arbat-asw1
172.16.1.4	msk-arbat-asw2
172.16.1.5	msk-arbat-asw3
172.16.1.6	msk-rubl-aswl
172.16.1.6 — 172.16.1.254	Зарезервировано
172.16.2.1	Шлюз
172.16.2.2 — 172.16.2.254	Зарезервировано
101
172.16.3.1	Шлюз
172.16.3.2 — 172.16.3.254	Пул для пользователей
102
172.16.4.1	Шлюз
172.16.4.2 — 172.16.4.254	Пул для пользователей
103
172.16.5.1	Шлюз
172.16.5.2 — 172.16.5.254	Пул для пользователей
104
172.16.6.1	Шлюз
172.16.6.2 — 172.16.6.254	Пул для пользователей

Выделение подсетей в общем-то произвольное, соответствующее только числу узлов в этой локальной сети с учётом возможного роста. В данном примере все подсети имеют стандартную маску /24 (/24=255.255.255.0) — зачастую такие и используются в локальных сетях, но далеко не всегда. Советуем почитать о классах сетей. В дальнейшем мы обратимся и к бесклассовой адресации (cisco). Мы понимаем, что ссылки на технические статьи в википедии — это моветон, однако они дают хорошее определение, а мы попробуем в свою очередь перенести это на картину реального мира. Под сетью Point-to-Point подразумеваем подключение одного маршрутизатора к другому в режиме точка-точка. Обычно берутся адреса с маской 30 (возвращаясь к теме бесклассовых сетей), то есть содержащие два адреса узла. Позже станет понятно, о чём идёт речь.План подключения оборудования по портамРазумеется, сейчас есть коммутаторы с кучей портов 1Gb Ethernet, есть коммутаторы с 10G, на продвинутых операторских железках, стоящих немалые тысячи долларов есть 40Gb, в разработке находится 100Gb (а по слухам уже даже есть такие платы, вышедшие в промышленное производство). Соответственно, вы можете выбирать в реальном мире коммутаторы и маршрутизаторы согласно вашим потребностям, не забывая про бюджет. В частности гигабитный свич сейчас можно купить незадорого (20-30 тысяч) и это с запасом на будущее (если вы не провайдер, конечно). Маршрутизатор с гигабитными портами стоит уже ощутимо дороже, чем со 100Mbps портами, однако оно того стоит, потому что FE-модели (100Mbps FastEthernet), устарели и их пропускная способность очень невысока. Но в программах эмуляторах/симуляторах, которые мы будем использовать, к сожалению, есть только простенькие модели оборудования, поэтому при моделировании сети будем отталкиваться от того, что имеем: маршрутизатор cisco2811, коммутаторы cisco2960 и 2950.Имя устройстваПортНазваниеVLANAccessTrunk

msk-arbat-gw1	FE0/1	UpLink
	FE0/0	msk-arbat-dsw1		2,3,101,102,103,104
msk-arbat-dsw1	FE0/24	msk-arbat-gw1		2,3,101,102,103,104
	GE1/1	msk-arbat-asw1		2,3
	GE1/2	msk-arbat-asw3		2,101,102,103,104
	FE0/1	msk-rubl-asw1	2,101,104
msk-arbat-asw1	GE1/1	msk-arbat-dsw1		2,3
	GE1/2	msk-arbat-asw2		2,3
	FE0/1	Web-server	3
	FE0/2	File-server	3
msk-arbat-asw2	GE1/1	msk-arbat-asw1		2,3
	FE0/1	Mail-Server	3
msk-arbat-asw3	GE1/1	msk-arbat-dsw1		2,101,102,103,104
	FE0/1-FE0/5	PTO	101
	FE0/6-FE0/10	FEO	102
	FE0/11-FE0/15	Accounting	103
	FE0/16-FE0/24	Other	104
msk-rubl-asw1	FE0/24	msk-arbat-dsw1	2,101,104
	FE0/1-FE0/15	PTO	101
	FE0/20	administrator	104

Почему именно так распределены VLAN'ы, мы объясним в следующих частях.

Excel-документ со списком VLAN, IP, портов

Схемы сети

На основании этих данных можно составить все три схемы сети на этом этапе. Для этого можно воспользоваться Microsoft Visio, каким-либо бесплатным приложением, но с привязкой к своему формату, или редакторами графики (можно и от руки, но это будет сложно держать в актуальном состоянии :)).

Не пропаганды опен сорса для, а разнообразия средств ради, воспользуемся Dia. Я считаю его одним из лучших приложений для работы со схемами под Linux. Есть версия для Виндоус, но, к сожалению, совместимости в визио никакой.

L1

То есть на схеме L1 мы отражаем физические устройства сети с номерами портов: что куда подключено.

L2На схеме L2 мы указываем наши VLAN’ы

L3

В нашем примере схема третьего уровня получилась довольно бесполезная и не очень наглядная, из-за наличия только одного маршрутизирующего устройства. Но со временем она обрастёт подробностями.

Dia-файлы со схемами сети: L1, L2, L3

Как видите, информация в документах избыточна. Например, номера VLAN повторяются и на схеме и в плане по портам. Тут как бы кто на что горазд. Как вам удобнее, так и делайте. Такая избыточность затрудняет обновление в случае изменения конфигурации, потому что нужно исправиться сразу в нескольких местах, но с другой стороны, облегчает понимание.

К этой первой статье мы не раз ещё вернёмся в будущем, равно как и вам придётся всегда возвращаться к тому, что вы изначально напланировали. Собственно задание для тех, кто пока только начинает учиться и готов приложить для этого усилия: много читать про вланы, ip-адресацию, найти программы Packet Tracer и GNS3. Что касается фундаментальных теоретических знаний, то советуем начать читать Cisco press. Это то, что вам совершенно точно понадобится знать. В следующей части всё будет уже по-взрослому, с видео, мы будем учиться подключаться к оборудованию, разбираться с интерфейсом и расскажем, что делать нерадивому админу, забывшему пароль. P.S. Спасибо соавтору статьи — Максиму aka gluck. P.P.S Тем, кто имеет, что спросить, но не имеет возможности свой вопрос здесь задать, милости просим в ЖЖ

linkmeup.ru

Сети для самых маленьких: Часть нулевая. Планирование

Статья опубликована на хабре.======

Все выпуски

Сети для самых маленьких. Часть третья. Статическая маршрутизацияСети для самых маленьких: Часть вторая. КоммутацияСети для самых маленьких. Часть первая (которая после нулевой). Подключение к оборудованию ciscoСети для самых маленьких: Часть нулевая. Планирование

Это первая статья из серии "Сети для самых маленьких". Мы с товарищем thegluck долго думали с чего начать: маршрутизация, VLAN'ы, настройка оборудования.В итоге решили начать с вещи фундаментальной и, можно сказать, самой важной: планирование. Поскольку цикл рассчитан на совсем новичков, то и пройдём весь путь от начала до конца.

Предполагается, что вы, как минимум читали о эталонной модели OSI (то же на англ.), о стеке протоколов TCP/IP (англ.), знаете о типах существующих VLAN’ов (эту статью я настоятельно рекомендую к прочтению), о наиболее популярном сейчас port-based VLAN и о IP адресах (более подробно). Мы понимаем, что для новичков "OSI" и "TCP/IP" - это страшные слова. Но не переживайте, не для того, чтобы запугать вас, мы их используем. Это то, с чем вам придётся встречаться каждый день, поэтому в течение этого цикла мы постараемся раскрыть их смысл и отношение к реальности.

Начнём с постановки задачи. Есть некая фирма, занимающаяся, допустим, производством лифтов, идущих только вверх и потому называется ООО "Лифт ми ап". Расположены они в старом здании на Арбате, и сгнившие провода, воткнутые в пожжёные и прожжёные коммутаторы времён 10Base-T не ожидают подключения новых серверов по гигабитным карточкам. Итак у них катастрофическая потребность в сетевой инфраструктуре и денег куры не клюют, что даёт вам возможность безграничного выбора. Это чудесный сон любого инженера. А вы вчера в сложной борьбе выдержали собеседование на должность сетевого администратора. И теперь вы в ней первый и единственный в своём роде. Поздравляем! Что дальше?Следует несколько конкретизировать ситуацию.

1. В данный момент у компании есть два офиса: 200 квадратов на Арбате под рабочие места и серверную. Там представлены несколько провайдеров. Другой на Рублёвке.
2. Есть четыре группы пользователей: бухгалтерия (Б), финансово-экономический отдел (ФЭО), производственно-технический отдел (ПТО), другие пользователи (Д). А так же есть сервера (С), которые вынесены в отдельную группу. Все группы разграничены и не имеют прямого доступа друг к другу.
3. Пользователи групп С, Б и ФЭО будут только в офисе на Арбате, ПТО и Д будут в обоих офисах.

Прикинув количество пользователей, необходимые интерфейсы, каналы связи, вы готовите схему сети и IP-план.При проектировании сети следует стараться придерживаться иерархической модели сети, которая имеет много достоинств по сравнению с “плоской сетью”:

• упрощается понимание организации сети
• модель подразумевает модульность, что означает простоту наращивания мощностей именно там, где необходимо
• легче найти и изолировать проблему
• повышенная отказоустойчивость за счет дублирования устройств и\или соединений
• распределение функций по обеспечению работоспособности сети по различным устройствам.

Согласно этой модели, сеть разбивается на три логических уровня: ядро сети (Core layer: высокопроизводительные устройства, главное назначение - быстрый транспорт), уровень распространения (Distribution layer: обеспечивает применение политик безопасности, QoS, агрегацию и маршрутизацию в VLAN, определяет широковещательные домены), и уровень доступа (Access-layer: как правило, L2 свичи, назначение: подключение конечных устройств, маркирование трафика для QoS, защита от колец в сети (STP) и широковещательных штормов, обеспечение питания для PoE устройств).

В таких масштабах, как наш, роль каждого устройства размывается, однако логически разделить сеть можно.Набросаем схему будущей сети:

На представленной схеме ядром (Core) будет маршрутизатор 2811, коммутатор 2960 отнесём к уровню распространения (Distribution), поскольку на нём агрегируются все VLAN в общий транк. Коммутаторы 2950 будут устройствами доступа (Access). К ним будут подключаться конечные пользователи, офисная техника, сервера.

Именовать устройства будем следующим образом: сокращённое название города (msk) - географическое расположение (улица, здание) (arbat) - роль устройства в сети + порядковый номер.Соответственно их ролям и месту расположения выбираем hostname:Маршрутизатор 2811: msk-arbat-gw1 (gw=GateWay=шлюз)Коммутатор 2960: msk-arbat-dsw1 (dsw=Distribution switch)Коммутаторы 2950: msk-arbat-aswN, msk-rubl-asw1 (asw=Access switch)

Документация сети

Вся сеть должна быть строго документирована: от принципиальной схемы, до имени интерфейса.Прежде, чем приступить к настройке, я бы хотел привести список необходимых документов и действий:• Схемы сети L1, L2, L3 в соответствии с уровнями модели OSI (Физический, канальный, сетевой)• План IP-адресации = IP-план.• Список VLAN• Подписи (description) интерфейсов• Список устройств (для каждого следует указать: модель железки, установленная версия IOS, объем RAM\NVRAM, список интерфейсов)• Метки на кабелях (откуда и куда идёт), в том числе на кабелях питания и заземления и устройствах• Единый регламент, определяющий все вышеприведённые параметры и другие.

Говоря о метках/наклейках на кабели, мы имеем ввиду это:

На этой фотографии отлично видно, что промаркирован каждый кабель, значение каждого автомата на щитке в стойке, а также каждое устройство.

Жирным выделено то, за чем мы будем следить в рамках программы-симулятора. Разумеется, все изменения сети нужно вносить в документацию и конфигурацию, чтобы они были в актуальном состоянии.

Подготовим нужные нам документы:

Список VLAN

Каждая группа будет выделена в отдельный влан. Таким образом мы ограничим их широковещательные домены. Также введём специальный VLAN для управления устройствами.Номера VLAN по 100 зарезервированы для будущих нужд.

IP-план

Выделение подсетей в общем-то произвольное, соответствующее только числу узлов в этой локальной сети с учётом возможного роста. В данном примере все подсети имеют маску /24 (/24=255.255.255.0) - это сеть класса C - зачастую такие и используются в локальных сетях. Советуем почитать о классах сетей. В дальнейшем мы обратимся и к бесклассовой адресации. Мы понимаем, что ссылки на технические статьи в википедии - это моветон, однако они дают хорошее определение, а мы попробуем в свою очередь перенести это на картину реального мира.Под сетью Point-to-Point подразумеваем подключение одного маршрутизатора к другому в режиме точка-точка. Обычно берутся адреса с маской 30 (возвращаясь к тебе бесклассовых сетей), то есть содержащие два адреса узла. Позже станет понятно, о чём идёт речь.

План подключения оборудования по портам

Разумеется, сейчас есть коммутаторы с кучей портов 1Gb Ethernet, есть коммутаторы с 10G, на продвинутых операторских железках, стоящих немалые тысячи долларов есть 40Gb, в разработке находится 100Gb (а по слухам уже даже есть такие платы, вышедшие в промышленное производство). Соответственно, вы можете выбирать в реальном мире коммутаторы и маршрутизаторы согласно вашим потребностям, не забывая про бюджет. В частности гигабитный свич сейчас можно купить незадорого (20-30 тысяч) и это с запасом на будущее (если вы не провайдер, конечно). Маршрутизатор с гигабитными портами стоит уже ощутимо дороже, чем со 100Mbps портами, однако оно того стоит, потому что FE-модели (100Mbps FastEthernet), устарели и их пропускная способность очень невысока.Но в программах эмуляторах/симуляторах,которые мы будем использовать, к сожалению, есть только простенькие модели оборудования, поэтому при моделировании сети будем отталкиваться от того, что имеем:

Почему именно так распределены VLAN'ы, мы объясним в следующих частях.

Excel-документ со списком VLAN, IP, портов

Схемы сети

На основании этих данных можно составить все три схемы сети на этом этапе. Для этого можно воспользоваться Microsoft Visio, каким-либо бесплатным приложением, но с привязкой к своему формату, или редакторами графики (можно и от руки, но это будет сложно держать в актуальном состоянии :)).

Не пропаганды опен сорса для, а разнообразия средств ради, воспользуемся Dia. В линуксе, я считаю, его одним из лучших приложений для работы со схемами. Есть версия для Виндоус, но, к сожалению, совместимости в визио никакой.

L1

То есть на схеме L1 мы отражаем физические устройства сети с номерами портов: что куда подключено.

L2

На схеме L2 мы указываем наши VLAN’ы

L3

В нашем примере схема третьего уровня получилась довольно бесполезная и ненаглядная, из-за наличия только одного маршрутизирующего устройства. Но со временем она обрастёт подробностями.

Dia-файлы со схемами сети: L1, L2, L3

Как видите, информация в файлах избыточна. Например, номера VLAN повторяются и на схеме и в плане по портам. Тут как бы кто на что горазд. Как вам удобнее, так и делайте. Такая избыточность затрудняет обновление в случае изменения конфигурации, потому что нужно исправиться сразу в нескольких местах, но с другой стороны, облегчает понимание.

К этой первой статье мы не раз ещё вернёмся в будущем, равно как и вам придётся всегда возвращаться к тому, что вы изначально напланировали.Собственно задание для тех, кто пока только начинает учиться и готов приложить для этого усилия: много читать про вланы, ip-адресацию, найти программы Packet Tracer и GNS3.Что касается фундаментальных теоретических знаний, то советую начать читать Cisco press: раз, два, три (русский язык). Это то, что вам совершенно точно понадобится знать.В следующей части мы будем учиться подключаться к оборудованию, разбираться с интерфейсом и расскажем, что делать нерадивому админу, забывшему пароль.

eucariot.livejournal.com

---

• 
  Дроссель на схеме
• 
  Автоэлектрика схемы
• 
  Сварочный инвертор своими руками схемы
• 
  Гальванометр на схеме
• 
  Как подключить стабилитрон в схему
• 
  Обозначение на схеме диод шоттки
• 
  Схемы стропильной системы двухскатной крыши
• 
  Трехфазный автомат на схеме
• 
  На схеме счетчик
• 
  Блок питания для питания схемы
• 
  Схемы домов двухэтажных