Рост компании — неминуемый процесс, рано или поздно приходящий ко всем. Увеличение количества клиентов, открытие новых отделов, слияния, поглощения — всё это увеличивает количество компьютеров, принтеров и других устройств в сети.
С количеством устройств в сети приближающемся к ста, сетевой администратор начинает испытывать проблемы с идентификацией потоков трафика, адресацией устройств, безопасностью сети, количеством широковещательного трафика (особенно если сеть состоит из Windows машин, что сегодня является стандартом).
Перечисленные проблемы решаются сегментацией сети. Сегментация — разбиение одной локальной сети на сегменты, каждый сегмент имеет свой адрес сети и свой шлюз по умолчанию (физически это может быть одно устройство). Практически сегментировав сеть мы получаем несколько сетей из одной, как если бы использовали несколько коммутаторов для каждой группы устройств.
Для сегментации сети используется технология VLAN, мы будем использовать её реализацию 802.1Q, известную как port-based VLAN. 802.1Q позволяет распределить VLAN по портам коммутатора. Имеются и другие реализации VLAN, которые мы затрагивать не будем. Заметим, что 802.1Q поддерживается не всем оборудованием. Но, как правило, “умные” коммутаторы это умеют.
Технологически протокол 802.1Q вставляет в Ethernet-фрейм 4 байта, 12 бит из которых являются идентификатором VLAN (VID). Соответственно, максимальное количество VLAN в этой технологии может быть 4096.
Информации и руководств по сегментированию сети очень много. Но все статьи содержат только технологическую часть работы, а планирование и адресация остаётся за кадром. В этой статье я хочу показать именно “бумажную” часть работы, а на технологическую отвести меньше усилий.
Что нужно перед проведением сегментации:
- Четкое понимание адресации сети, маски, network address, broadcast address.В этом поможет IP Калькулятор Онлайн.
- Принцип логического разделения сети: по отделам, этажам, типу трафика и т.д. В одном сегменте рекомендуется держать не более 126 устройств.
- Коммутаторы, поддерживающие 802.1Q. Маршрутизатор с поддержкой 802.1Q.
Первым делом необходимо выработать принцип деления сети. Как правило, сначала выделяют control plane и data plane. В control plane выделяют management трафик (управление гипервизорами, консоли серверов, управление сетевым оборудованием), data plane — бизнес данные (RDP, 1C, SMB). К control plane сегменту доступ должен быть только с компьютеров системных администраторов, соответственно, эти машины тоже необходимо выделить в отдельный сегмент. И так далее, в зависимости от уровней доступа (инженерам не нужен доступ к машинам руководства и т.д.). Оставьте 20% запас для возможного расширения или изменения структуры сегментации.
У меня получилась такая структура:
После выделения сегментов необходимо озадачиться адресацией этих сегмент. Эта работа наиболее трудоемка и требует понимания уровней доступа и возможного роста сети, а так же логики адресации.
На картинке видно, какие адреса я выделил для своих сегментов. Объясню почему. Control plane у меня оказался в синей части таблицы. Management сегмент — сетевое оборудование, консоли серверов, ИБП и т.д. занял сеть 192.18.32.0/25 (192.168.32.1 — 192.168.32.126). VLAN остался дефолтный — так называемый Native VLAN. Это сделано специально. В случае некорректной работы коммутатора, поломки VLAN’ов или полного отказа коммутатора всегда можно будет поставить любой другой коммутатор и увидеть сервера.
В итоге весь control plane занимает сеть 192.168.32.0/23. А конкретно виртуальные машины, например, 192.168.33.0/25. Таким образом, теперь чтобы разрешить доступ к control plane всему отделу ИТ в фаерволе нужно прописать следующее: разрешить доступ к сети 192.168.32.0/23 из сети 192.168.34.0/25. А доступ к Management от главных админов: разрешить доступ к 192.168.32.0/25 от 192.168.34.0/27. Таким образом, близким по назначению сегментам нужно давать адреса из соседних диапазонов, чтобы в будущем можно было одним правилом задействовать несколько потоков трафика.
В связи с этим несколько советов из личного опыта:
- Оставляйте резерв для адресов и сегментов. Злую шутку сыграет момент, когда выяснится, что в сети есть ещё один тип устройств, который необходимо засунуть третьим в вашу таблицу сегментации. Придется переделывать всё, что ниже: все сегменты, все DHCP-сервера, фаерволы, правила приоритезации и т.д.
- Адресацию начинайте с четного октета. Так будет удобнее выделять трафик по адресам. Например, первый сегмент первой группы- 192.168.112.0/24, второй — 192.168.113.0/24, третий — 192.168.114.0/24. Первый сегмент второй группы — 192.168.116.64/27, второй — 192.168.116.96/27. Таким образом, первая группа полностью будет описываться адресом 192.168.112.0/22 и для резерва останется подсеть 192.168.115.0/24. А вторая группа полностью — 192.168.116.64/26. Так же можно гибко отфильтровать каждый сегмент каждой группы.
- Экономьте адреса! Это сейчас вам кажется, что их слишком много. Не выдавайте под сегмент с 12 устройствами всю 24 подсеть. Даже с возможностью роста в 500% будет достаточно 26 маски.
- Не забывайте о возможных партнерах со схожей адресацией. Перед выбором адресов обязательно узнайте у админов из смежных организаций о их адресации. Не выбирайте адреса из подсетей 192.168.0.0/24, 192.168.1.0/24, т.к. их очень любят использовать производители оборудования, и в случае появления в сети DIR-300, которым один из сотрудников захочет раздать WiFi в своем кабинете, его DHCP сервер с 192.168.0.0/24 подарит вам массу эмоций.
Практическая часть
Работать будем с оборудованием Mikrotik (RB951G-2HnD, хотя все девайсы комплектуются одним ПО, поэтому все сказанное будет справедливо и для других моделей) и D-Link, очень распространненных в секторе SMB.
Схема сети:
Итак, у нас есть маршрутизатор Mirotik, коммутатор D-Link DES-3200 и 3 рабочих станции, которые должны принадлежать разным сегментам.
На маршрутизаторе необходимо создать три виртуальных интерфейса VLAN. Имя: vlan15 vlan17, VID 15-17:
interface vlan add name=vlan15 vlan- > interface vlan add name=vlan16 vlan- > interface vlan add name=vlan17 vlan- >
Затем, необходимо каждому виртуальному интерфейсу присвоить IP-адрес.
ip address add address=192.168.15.1/24 interface=vlan15
ip address add address=192.168.16.1/24 interface=vlan16
ip address add address=192.168.17.1/24 interface=vlan17
Затем необходимо настроить DHCP-сервер на каждом интерфейсе, но это выходит за рамки этой статьи.
Настройка коммутатора.
Пусть маршрутизатор подключен к коммутатору 26 портом, поэтому на этот порт должны приходить все VLAN’ы транком (тэгированные в терминологии D-Link’a). С маршрутизатора все 3 VLAN’a мы отдали. Создаем нужный VLAN и делаем порт с нужным компьютером акцесным (нетегированный по-длинковски).
Перед этим ОБЯЗАТЕЛЬНО необходимо убарть с этого порта native VLAN (1), поставив порт в положение Not Member при редактировании VLAN 1. Некоторые модели коммутатора просто не дадут сделать порт нетегированным, пока на нем нетегированно отдается какой-либо другой влан.
На этом настройка одного из сегментов закончена, остальные настраиваются точно так же. Мы получили 3 сети в пределах одного коммутатора (на самом деле 4, ведь есть ещё Native VLAN). В пределах одной сети трафик ничем не ограничен (только настройками конечных устройств), а между сетями трафик ходит через маршрутизатор, на котором можно настроить правила фильтрации трафика, приоритезацию, различные сетевые настройки для каждого сегмента в его DHCP-сервере и так далее.
Read this article in English
В повседневной работе очень часто появляется необходимость определить коммутатор и порт, к которому подключен пользователь или какое-то устройство. Для этого необязательно искать его визуально. Достаточно лишь узнать MAC адрес.
Секрет в том, что каждый коммутатор хранит информацию о всех МАС адресах, которые проявляют хоть какую-то сетевую активность за последние несколько минут. Необходимо просто грамотно этим воспользоваться.
Итак, допустим, что необходимо найти порт коммутатора, в который подключен пользователь Иванов. Достоверно известно, что ip адрес его компьютера 192.168.10.100
Возможно 2 варианта определения MAC адреса:
- Непосредственно на компьютере пользователя выполнить в командной строке команду ipconfig /all
Или
- Узнать МАС адрес удаленно, зная ip адрес компьютера пользователя. Это возможно при условии, что есть доступ к маршрутизатору Cisco или межсетевому экрану Cisco ASA, которое является шлюзом по умолчанию для хоста. ARP таблица на этих устройствах будет содержать соответствие МАС и IP адресов.
Для поиска используется команда sh arp | inc x.x.x.x, где х.х.х.х – ip адрес интересующего хоста.
R-DELTACONFIG-1# sh arp | inc 192.168.10.100
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.10.100 236 78ac.c0bb.74f2 ARPA Vlan10
Устройство с ip адресом 192.168.10.100 имеет МАС адрес 78ac.c0bb.74f2 и находится во Vlan 10.
Определив МАС адрес устройства, можно продолжить поиск его непосредственного месторасположения на коммутаторе.
Команда show mac address-table (иногда пишется с дополнительным дефисом вместо пробела show mac — address-table) показывает список всех МАС адресов активных устройств, которые подключены к коммутатору.
SW-DELTACONFIG-1# sh mac address-table
Mac Address Table
——————————————-
Vlan Mac Address Type Ports
—- ———— ——— ——
1 1111.1111.1111 DYNAMIC Fa0/1
2 2222.2222.2222 DYNAMIC Fa0/2
3 3333.3333.3333 DYNAMIC Fa0/3
4 4444.4444.4444 DYNAMIC Fa0/4
Из-за большого количества записей, которые обычно присутствуют в этой таблице, рекомендуется использовать фильтр по нужному МАС адресу, причем достаточно последних 4х символов. В нашем случае поиск МАС адреса 78ac.c0bb. 74f2 выглядит так:
SW-DELTACONFIG-1#sh mac address-table | inc 74f2
10 78ac.c0bb.74f2 DYNAMIC Gi0/1
Строка вывода показывает, что хост находится в Vlan 10 и подключен к порту коммутатора Gigabitethernet 0/1.
Если у вас небольшой офис и вся сеть организована только на одном единственном коммутаторе, то поиск окончен. Однако, если под управлением есть несколько устройств, то может быть так, что к найденному порту текущего коммутатора подключен не конечный хост, а другой коммутатор. В этом случае необходимо повторить поиск в таблице МАС адресов соседнего коммутатора.
Если в сети офиса их несколько, то определить имя и адрес управления нужного нам соседнего коммутатора помогут команды sh cdp neighbors, которая покажется имена и связанные порты всех коммутаторов Cisco, подключенных к текущему и sh cdp neighbors detail, в выводе которой дополнительно указаны ip адреса для управления соседними коммутаторами
SW-DELTACONFIG-1# sh cdp neighbors
Capability Codes: R — Router, T — Trans Bridge, B — Source Route Bridge
S — Switch, H — Host, I — IGMP, r — Repeater, P — Phone
Device ID Local Intrfce Holdtme Capability Platform Port ID
SW-TEST-2
Gig 0/1 123 S I WS-C3560G- Gig 0/18
Device ID (SW-TEST-2) – имя соседнего устройства
Local Intrfce (Gig 0/1) – локальный интерфейс, куда подключен соседний коммутатор
Port >соседнего коммутатора.
SW-DELTACONFIG-1# sh cdp nei detail
————————-
Device >SW-TEST-2
Entry address(es):
IP address: 192.168.1.202
Platform: cisco WS-C2960-24TT-L, Capabilities: Switch IGMP
Interface: GigabitEthernet0/1 , Port >GigabitEthernet0/18
Holdtime : 144 sec
Теперь необходимо зайти на соседний коммутатор SW-TEST-2 с адресом управления 192.168.1.202 и произвести на нем поиск нужного нам МАС адреса.
При должной сноровке указанный метод позволит находить хосты в сети любых размеров не более чем за пару минут, не вставая с рабочего места.
У меня есть две D-LINK-переключатели в моей сети, и я, кажется, неправильно разместил их IP-адреса, поэтому я не могу их удалять.
Что я могу сделать?
У обоих отключено DHCP.
У меня порт сканировал мою сеть, а порт 80 (т. е. веб-интерфейсы коммутаторов) не открыт ни на одном IP-адресе, который я вижу: /
У меня есть MAC-адреса обоих устройств.
Я pinged multicast моей подсети ( 192.168.0.255 ), а затем сделал
, но MAC-адреса не указаны.
Я попытался настроить IP подключенного компьютера на
, поскольку IP-адреса переключателей, по-видимому, 10.90.90.90 и повторяются выше, без везения.
Кто-нибудь знает, как сбросить заводские настройки любого из этих переключателей
Изменить: Оба коммутатора работают в режиме онлайн и полностью функциональны, я просто администратор обращаюсь к ним!
4 ответа
Я думаю, что это должен быть D-LINK DGS -1210. (не D-LINK DSG -1210?)
Если DHCP-клиент на этих коммутаторах отключен, вы не можете быть уверены в том, на каком IP-адресе. Вы можете попробовать бесплатный Netscanner от Softperfect (мой любимый для Windows) или использовать nmap 192.168.0.0/16 -sP в Linux (где 192.168.0.x — ваша текущая сеть). Если это не работает, вы можете попробовать то же самое на 10.90.90.x .
Но, может быть, вам удастся сделать заводские сбросы на этих устройствах.
В руководстве (у вас есть один?) он утверждает, что вы можете нажать кнопку сброса (на передней панели) в течение 5 секунд, чтобы перейти к значениям по умолчанию.
Сайт поддержки для них здесь . Существует также возможность загрузить руководство.
После сброса устройства он будет на 10.90.90.90.