Jump to content
Калькуляторы

Дизайн корпоративной сети как правильно встроить manegement подсеть в общую сеть

Товарищи, подскажите правильное решение.

Есть корпоративная сеть, в ее центре стоит коммутатор Cisco SG300 (L3). На нем создан набор вланов для функционального деления сети (влан для видео наблюдения, влан управления, влан для телефонии, влан в сторону пограничного маршрутизатора и т.д.), при этом этот коммутатор является для всех вланов шлюзом по умолчанию.

Далее за центральным коммутатором стоят коммутаторы доступа Dlink DES-1100 (L2), в которые подключены клиенты (рабочии станции, телефоны и т.д.).

post-111378-032026900 1427017914_thumb.jpg

На схеме оборудование указано не то, что установлено. Представлена примерная часть сети.

 

Хочется получить на серверах и инфраструктурном оборудовании (везде, где возможно) manegement подсеть (vlan_mgm 111), чтобы ограничивать доступ к управлению серверов и инфраструктурного оборудования. Пример с рисунка - Server0 предоставляет свои ресурсы пользователям через интерфейс подключенный к vlan_user 222, а управление осуществляется через vlan_mgm 111.

 

Проблема в том, что такая топология не работает в случае, (черт, не могу объяснить нормально) на картинке это Server0 -- PC-admin. PC-admin не может получить доступ к адресу сервера Server0 192.168.111.2, я подозреваю, это связано с тем, что пакеты уходят по следующему пути 192.168.222.5->192.168.222.1->192.168.111.1->192.168.111.2 а возвращаются другим путем 192.168.222.2->192.168.222.5.

 

Отсюда вопрос - как же разрулить эту ситуацию? хочется и рыбку съесть, и косточкой не подавиться.

 

P.S. Навскидку нашел решение - PC-admin имеет адрес в manegement подсети, это решение мне кажется плохим при большом широковещательном домене manegement подсети. В какой-то момент эту подсеть придется делить на мелкие и проблема вернется.

Edited by gberc

Share this post


Link to post
Share on other sites

Добавь свой комп в манагемент влан, не насилуй мозг.

Либо настрой нормально маршрутизацию между двумя подсетями.

Share this post


Link to post
Share on other sites
Добавь свой комп в манагемент влан, не насилуй мозг.

Ок. у меня 1 сеть управления и добавить в нее свою машину легко. Но если у меня будет десяток сетей управления, то на свою машину мне придется добавить этот же десяток интерфейсов. Не очень красивое решение на мой взгляд.

Либо настрой нормально маршрутизацию между двумя подсетями.

Нормально настроить это как? Ткни носом, пожалуйста.

Share this post


Link to post
Share on other sites

Зачем тебе десяток? Все управление в одном влане.

Share this post


Link to post
Share on other sites

Нормально настроить это как? Ткни носом, пожалуйста.

Так, чтоб из других сегментов, из которых нужно "видеть" managment сегмент, он был виден (маршрутизировался).

А вообще, да. Зачем более 1го managment сегмента то?

Share this post


Link to post
Share on other sites

Если у меня мало хостов в сети управления, то решение с включением ПК админа в эту сеть я вижу логичным.

НО

Предположим, что у меня несколько сотен хостов в сети управления, разве будет правильным иметь такой большой широковещательный домен пусть и для управления?

А сеть и так маршрутизируется, например, для Server1 со схемы, нет никаких проблем.

Edited by gberc

Share this post


Link to post
Share on other sites

Предположим, что у меня несколько сотен хостов в сети управления, разве будет правильным иметь такой большой широковещательный домен пусть и для управления?

Несколько сотен свитчей/серверов в сети?

У меня около трехсот свитчей в одном management vlan, проблем не возникало

Share this post


Link to post
Share on other sites

Когда много хостов управления, значит уже сеть большая и должен быть L3/коммутатор как минимум. Настраиваешь в вланах управление, например 100-120, у них разные подсети, и все подсети терминируешь на l3-комутаторе или роутере. Далее доступ ограничиваешь например через ACL

Share this post


Link to post
Share on other sites

Когда много хостов управления, значит уже сеть большая и должен быть L3/коммутатор как минимум. Настраиваешь в вланах управление, например 100-120, у них разные подсети, и все подсети терминируешь на l3-комутаторе или роутере. Далее доступ ограничиваешь например через ACL

Вы не внимательны, на схеме и в сети есть L3/коммутатор в центре.

 

Ок. я понял, что правильным решением будет выдать адрес из сети управления на ПК админа.

Всем спасибо за участие.

Share this post


Link to post
Share on other sites
Ок. у меня 1 сеть управления и добавить в нее свою машину легко. Но если у меня будет десяток сетей управления, то на свою машину мне придется добавить этот же десяток интерфейсов. Не очень красивое решение на мой взгляд.

Их всё равно куда то придётся добавлять.

Раз с сервером/роутером у тебя не получается то решение с компом админа тоже рабочее.

 

Нормально настроить это как? Ткни носом, пожалуйста.

Чтобы пакеты ходили в обе стороны :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this