Сети для самых маленьких. Часть 0. Планирование

Добавлено 4 ноября 2017 в 22:00

Это первая статья из серии «Сети для самых маленьких». Мы с Максимом aka Gluck долго думали с чего начать: маршрутизация, VLAN'ы, настройка оборудования. В итоге решили начать с вещи фундаментальной и, можно сказать, самой важной: планирование. Поскольку цикл рассчитан на совсем новичков, то и пройдём весь путь от начала до конца.

Предполагается, что вы, как минимум, читали о эталонной модели OSI, о стеке протоколов TCP/IP, знаете о типах существующих VLAN’ов, о наиболее популярном сейчас port-based VLAN и о IP адресах. Мы понимаем, что для новичков «OSI» и «TCP/IP» — это страшные слова. Но не переживайте, не для того, чтобы запугать вас, мы их используем. Это то, с чем вам придётся встречаться каждый день, поэтому в течение этого цикла мы постараемся раскрыть их смысл и отношение к реальности.

Эскиз сети
Эскиз сети

Начнём с постановки задачи. Есть некая фирма, занимающаяся, допустим, производством лифтов, идущих только вверх, и потому называется ООО «Лифт ми ап». Расположены они в старом здании на Арбате, и сгнившие провода, воткнутые в пожжёные и прожжёные коммутаторы времён 10Base-T не ожидают подключения новых серверов по гигабитным карточкам. Итак, у них катастрофическая потребность в сетевой инфраструктуре и денег куры не клюют, что даёт вам возможность безграничного выбора. Это чудесный сон любого инженера. А вы вчера выдержали собеседование, и в сложной борьбе по праву получили должность сетевого администратора. И теперь вы в ней первый и единственный в своём роде. Поздравляем! Что дальше?

Следует несколько конкретизировать ситуацию:

  1. В данный момент у компании есть два офиса: 200 квадратов на Арбате под рабочие места и серверную. Там представлены несколько провайдеров. Другой на Рублёвке.
  2. Есть четыре группы пользователей: бухгалтерия (Б), финансово-экономический отдел (ФЭО), производственно-технический отдел (ПТО), другие пользователи (Д). А так же есть сервера (С), которые вынесены в отдельную группу. Все группы разграничены и не имеют прямого доступа друг к другу.
  3. Пользователи групп С, Б и ФЭО будут только в офисе на Арбате, ПТО и Д будут в обоих офисах.

Прикинув количество пользователей, необходимые интерфейсы, каналы связи, вы готовите схему сети и IP-план.

При проектировании сети следует стараться придерживаться иерархической модели сети, которая имеет много достоинств по сравнению с “плоской сетью”:

  • упрощается понимание организации сети
  • модель подразумевает модульность, что означает простоту наращивания мощностей именно там, где необходимо
  • легче найти и изолировать проблему
  • повышенная отказоустойчивость за счет дублирования устройств и/или соединений
  • распределение функций по обеспечению работоспособности сети по различным устройствам.

Согласно этой модели, сеть разбивается на три логических уровня: ядро сети (Core layer: высокопроизводительные устройства, главное назначение — быстрый транспорт), уровень распространения (Distribution layer: обеспечивает применение политик безопасности, QoS, агрегацию и маршрутизацию в VLAN, определяет широковещательные домены), и уровень доступа (Access-layer: как правило, L2 свичи, назначение: подключение конечных устройств, маркирование трафика для QoS, защита от колец в сети (STP) и широковещательных штормов, обеспечение питания для PoE устройств).

В таких масштабах, как наш, роль каждого устройства размывается, однако логически разделить сеть можно.

Составим приблизительную схему:

Приблизительная схема сети
Приблизительная схема сети

На представленной схеме ядром (Core) будет маршрутизатор 2811, коммутатор 2960 отнесём к уровню распространения (Distribution), поскольку на нём агрегируются все VLAN в общий транк. Коммутаторы 2950 будут устройствами доступа (Access). К ним будут подключаться конечные пользователи, офисная техника, сервера.

Именовать устройства будем следующим образом: сокращённое название города (msk) — географическое расположение (улица, здание) (arbat) — роль устройства в сети + порядковый номер.

Соответственно их ролям и месту расположения выбираем hostname:

  • маршрутизатор 2811: msk-arbat-gw1 (gw=GateWay=шлюз);
  • коммутатор 2960: msk-arbat-dsw1 (dsw=Distribution switch);
  • коммутаторы 2950: msk-arbat-aswN, msk-rubl-asw1 (asw=Access switch).

Документация сети

Вся сеть должна быть строго документирована: от принципиальной схемы, до имени интерфейса.

Прежде, чем приступить к настройке, я бы хотел привести список необходимых документов и действий:

  • схемы сети L1, L2, L3 в соответствии с уровнями модели OSI (физический, канальный, сетевой);
  • план IP-адресации = IP-план;
  • список VLAN;
  • подписи (description) интерфейсов;
  • список устройств (для каждого следует указать: модель железки, установленная версия IOS, объем RAM\NVRAM, список интерфейсов);
  • метки на кабелях (откуда и куда идёт), в том числе на кабелях питания и заземления и устройствах;
  • единый регламент, определяющий все вышеприведённые параметры и другие.

Жирным выделено то, за чем мы будем следить в рамках программы-симулятора. Разумеется, все изменения сети нужно вносить в документацию и конфигурацию, чтобы они были в актуальном состоянии.

Говоря о метках/наклейках на кабели, мы имеем ввиду это:

Маркировка кабелей и устройств
Маркировка кабелей и устройств

На этой фотографии отлично видно, что промаркирован каждый кабель, значение каждого автомата на щитке в стойке, а также каждое устройство.

Маркировка кабелей заземлени
Маркировка кабелей заземления

Подготовим нужные нам документы:

Список VLAN

Каждая группа будет выделена в отдельный влан. Таким образом мы ограничим широковещательные домены. Также введём специальный VLAN для управления устройствами. Номера VLAN c 4 по 100 зарезервированы для будущих нужд.

Список VLAN
№ VLANVLAN nameПримечание
1defaultНе используется
2ManagementДля управления устройствами
3ServersДля серверной фермы
4-100 Зарезервировано
101PTOДля пользователей ПТО
102FEOДля пользователей ФЭО
103AccountingДля пользователей Бухгалтерии
104OtherДля других пользователей

IP-план

Выделение подсетей в общем-то произвольное, соответствующее только числу узлов в этой локальной сети с учётом возможного роста. В данном примере все подсети имеют стандартную маску /24 (/24=255.255.255.0) — зачастую такие и используются в локальных сетях, но далеко не всегда. Советуем почитать о классах сетей. В дальнейшем мы обратимся и к бесклассовой адресации (cisco). Мы понимаем, что ссылки на технические статьи в википедии — это моветон, однако они дают хорошее определение, а мы попробуем в свою очередь перенести это на картину реального мира.

Под сетью Point-to-Point подразумеваем подключение одного маршрутизатора к другому в режиме точка-точка. Обычно берутся адреса с маской 30 (возвращаясь к теме бесклассовых сетей), то есть содержащие два адреса узла. Позже станет понятно, о чём идёт речь.

IP-план
IP-адресПримечаниеVLAN
172.16.0.0/16  
172.16.0.0/24Серверная ферма3
172.16.0.1Шлюз 
172.16.0.2Web 
172.16.0.3File 
172.16.0.4Mail 
172.16.0.5 — 172.16.0.254Зарезервировано 
172.16.1.0/24Управление2
172.16.1.1Шлюз 
172.16.1.2msk-arbat-dsw1 
172.16.1.3msk-arbat-asw1 
172.16.1.4msk-arbat-asw2 
172.16.1.5msk-arbat-asw3 
172.16.1.6msk-rubl-aswl 
172.16.1.6 — 172.16.1.254Зарезервировано 
172.16.2.0/24Сеть Point-to-Point 
172.16.2.1Шлюз 
172.16.2.2 — 172.16.2.254Зарезервировано 
172.16.3.0/24ПТО101
172.16.3.1Шлюз 
172.16.3.2 — 172.16.3.254Пул для пользователей 
172.16.4.0/24ФЭО102
172.16.4.1Шлюз 
172.16.4.2 — 172.16.4.254Пул для пользователей 
172.16.5.0/24Бухгалтерия103
172.16.5.1Шлюз 
172.16.5.2 — 172.16.5.254Пул для пользователей 
172.16.6.0/24Другие пользователи104
172.16.6.1Шлюз 
172.16.6.2 — 172.16.6.254Пул для пользователей 

План подключения оборудования по портам

Разумеется, сейчас есть коммутаторы с кучей портов 1Gb Ethernet, есть коммутаторы с 10G, на продвинутых операторских железках, стоящих немалые тысячи долларов есть 40Gb, в разработке находится 100Gb (а по слухам уже даже есть такие платы, вышедшие в промышленное производство). Соответственно, вы можете выбирать в реальном мире коммутаторы и маршрутизаторы согласно вашим потребностям, не забывая про бюджет. В частности гигабитный свич сейчас можно купить незадорого (20-30 тысяч) и это с запасом на будущее (если вы не провайдер, конечно). Маршрутизатор с гигабитными портами стоит уже ощутимо дороже, чем со 100Mbps портами, однако оно того стоит, потому что FE-модели (100Mbps FastEthernet), устарели и их пропускная способность очень невысока.

Но в программах эмуляторах/симуляторах, которые мы будем использовать, к сожалению, есть только простенькие модели оборудования, поэтому при моделировании сети будем отталкиваться от того, что имеем: маршрутизатор cisco2811, коммутаторы cisco2960 и 2950.

Имя устройстваПортНазваниеVLAN
AccessTrunk
msk-arbat-gw1FE0/1UpLink  
 FE0/0msk-arbat-dsw1 2,3,101,102,103,104
 
msk-arbat-dsw1FE0/24msk-arbat-gw1 2,3,101,102,103,104
 GE1/1msk-arbat-asw1 2,3
 GE1/2msk-arbat-asw3 2,101,102,103,104
 FE0/1msk-rubl-asw1 2,101,104
 
msk-arbat-asw1GE1/1msk-arbat-dsw1 2,3
 GE1/2msk-arbat-asw2 2,3
 FE0/1Web-server3 
 FE0/2File-server3 
 
msk-arbat-asw2GE1/1msk-arbat-asw1 2,3
 FE0/1Mail-Server3 
 
msk-arbat-asw3GE1/1msk-arbat-dsw1 2,101,102,103,104
 FE0/1-FE0/5PTO101 
 FE0/6-FE0/10FEO102 
 FE0/11-FE0/15Accounting103 
 FE0/16-FE0/24Other104 
 
msk-rubl-asw1FE0/24msk-arbat-dsw1 2,101,104
 FE0/1-FE0/15PTO101 
 FE0/20administrator104 

Почему именно так распределены VLAN'ы, мы объясним в следующих частях.

Схемы сети

На основании этих данных можно составить все три схемы сети на этом этапе. Для этого можно воспользоваться Microsoft Visio, каким-либо бесплатным приложением, но с привязкой к своему формату, или редакторами графики (можно и от руки, но это будет сложно держать в актуальном состоянии :)).

Не пропаганды опен сорса для, а разнообразия средств ради, воспользуемся Dia. Я считаю его одним из лучших приложений для работы со схемами под Linux. Есть версия для Виндоус, но, к сожалению, совместимости в визио никакой.

L1

То есть на схеме L1 мы отражаем физические устройства сети с номерами портов: что куда подключено.

Схема сети на уровне L1
Схема сети на уровне L1

L2

На схеме L2 мы указываем наши VLAN’ы.

Схема сети на уровне L2
Схема сети на уровне L2

L3

В нашем примере схема третьего уровня получилась довольно бесполезная и не очень наглядная, из-за наличия только одного маршрутизирующего устройства. Но со временем она обрастёт подробностями.

Схема сети на уровне L3
Схема сети на уровне L3

Как видите, информация в документах избыточна. Например, номера VLAN повторяются и на схеме и в плане по портам. Тут как бы кто на что горазд. Как вам удобнее, так и делайте. Такая избыточность затрудняет обновление в случае изменения конфигурации, потому что нужно исправиться сразу в нескольких местах, но с другой стороны, облегчает понимание.

К этой первой статье мы не раз ещё вернёмся в будущем, равно как и вам придётся всегда возвращаться к тому, что вы изначально напланировали. Собственно задание для тех, кто пока только начинает учиться и готов приложить для этого усилия: много читать про вланы, ip-адресацию, найти программы Packet Tracer и GNS3. Что касается фундаментальных теоретических знаний, то советуем начать читать Cisco press. Это то, что вам совершенно точно понадобится знать. В следующей части всё будет уже по-взрослому, с видео, мы будем учиться подключаться к оборудованию, разбираться с интерфейсом и расскажем, что делать нерадивому админу, забывшему пароль.

Теги

CiscoL1L2L3VLANСДСМСетевое оборудованиеСети для самых маленьких

На сайте работает сервис комментирования DISQUS, который позволяет вам оставлять комментарии на множестве сайтов, имея лишь один аккаунт на Disqus.com.

В случае комментирования в качестве гостя (без регистрации на disqus.com) для публикации комментария требуется время на премодерацию.


  • 2020-11-09sd

    Coll, thx!