Jump to content

Дизайн корпоративной сети как правильно встроить manegement подсеть в общую сеть

Товарищи, подскажите правильное решение.

Есть корпоративная сеть, в ее центре стоит коммутатор Cisco SG300 (L3). На нем создан набор вланов для функционального деления сети (влан для видео наблюдения, влан управления, влан для телефонии, влан в сторону пограничного маршрутизатора и т.д.), при этом этот коммутатор является для всех вланов шлюзом по умолчанию.

Далее за центральным коммутатором стоят коммутаторы доступа Dlink DES-1100 (L2), в которые подключены клиенты (рабочии станции, телефоны и т.д.).

post-111378-032026900 1427017914_thumb.jpg

На схеме оборудование указано не то, что установлено. Представлена примерная часть сети.

 

Хочется получить на серверах и инфраструктурном оборудовании (везде, где возможно) manegement подсеть (vlan_mgm 111), чтобы ограничивать доступ к управлению серверов и инфраструктурного оборудования. Пример с рисунка - Server0 предоставляет свои ресурсы пользователям через интерфейс подключенный к vlan_user 222, а управление осуществляется через vlan_mgm 111.

 

Проблема в том, что такая топология не работает в случае, (черт, не могу объяснить нормально) на картинке это Server0 -- PC-admin. PC-admin не может получить доступ к адресу сервера Server0 192.168.111.2, я подозреваю, это связано с тем, что пакеты уходят по следующему пути 192.168.222.5->192.168.222.1->192.168.111.1->192.168.111.2 а возвращаются другим путем 192.168.222.2->192.168.222.5.

 

Отсюда вопрос - как же разрулить эту ситуацию? хочется и рыбку съесть, и косточкой не подавиться.

 

P.S. Навскидку нашел решение - PC-admin имеет адрес в manegement подсети, это решение мне кажется плохим при большом широковещательном домене manegement подсети. В какой-то момент эту подсеть придется делить на мелкие и проблема вернется.

Edited by gberc

Share this post


Link to post
Share on other sites

Добавь свой комп в манагемент влан, не насилуй мозг.

Либо настрой нормально маршрутизацию между двумя подсетями.

Share this post


Link to post
Share on other sites

Добавь свой комп в манагемент влан, не насилуй мозг.

Ок. у меня 1 сеть управления и добавить в нее свою машину легко. Но если у меня будет десяток сетей управления, то на свою машину мне придется добавить этот же десяток интерфейсов. Не очень красивое решение на мой взгляд.

Либо настрой нормально маршрутизацию между двумя подсетями.

Нормально настроить это как? Ткни носом, пожалуйста.

Share this post


Link to post
Share on other sites

Нормально настроить это как? Ткни носом, пожалуйста.

Так, чтоб из других сегментов, из которых нужно "видеть" managment сегмент, он был виден (маршрутизировался).

А вообще, да. Зачем более 1го managment сегмента то?

Share this post


Link to post
Share on other sites

Если у меня мало хостов в сети управления, то решение с включением ПК админа в эту сеть я вижу логичным.

НО

Предположим, что у меня несколько сотен хостов в сети управления, разве будет правильным иметь такой большой широковещательный домен пусть и для управления?

А сеть и так маршрутизируется, например, для Server1 со схемы, нет никаких проблем.

Edited by gberc

Share this post


Link to post
Share on other sites

Предположим, что у меня несколько сотен хостов в сети управления, разве будет правильным иметь такой большой широковещательный домен пусть и для управления?

Несколько сотен свитчей/серверов в сети?

У меня около трехсот свитчей в одном management vlan, проблем не возникало

Share this post


Link to post
Share on other sites

Когда много хостов управления, значит уже сеть большая и должен быть L3/коммутатор как минимум. Настраиваешь в вланах управление, например 100-120, у них разные подсети, и все подсети терминируешь на l3-комутаторе или роутере. Далее доступ ограничиваешь например через ACL

Share this post


Link to post
Share on other sites

Когда много хостов управления, значит уже сеть большая и должен быть L3/коммутатор как минимум. Настраиваешь в вланах управление, например 100-120, у них разные подсети, и все подсети терминируешь на l3-комутаторе или роутере. Далее доступ ограничиваешь например через ACL

Вы не внимательны, на схеме и в сети есть L3/коммутатор в центре.

 

Ок. я понял, что правильным решением будет выдать адрес из сети управления на ПК админа.

Всем спасибо за участие.

Share this post


Link to post
Share on other sites

Ок. у меня 1 сеть управления и добавить в нее свою машину легко. Но если у меня будет десяток сетей управления, то на свою машину мне придется добавить этот же десяток интерфейсов. Не очень красивое решение на мой взгляд.

Их всё равно куда то придётся добавлять.

Раз с сервером/роутером у тебя не получается то решение с компом админа тоже рабочее.

 

Нормально настроить это как? Ткни носом, пожалуйста.

Чтобы пакеты ходили в обе стороны :)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.