gberc Опубликовано 22 марта, 2015 (изменено) · Жалоба Товарищи, подскажите правильное решение. Есть корпоративная сеть, в ее центре стоит коммутатор Cisco SG300 (L3). На нем создан набор вланов для функционального деления сети (влан для видео наблюдения, влан управления, влан для телефонии, влан в сторону пограничного маршрутизатора и т.д.), при этом этот коммутатор является для всех вланов шлюзом по умолчанию. Далее за центральным коммутатором стоят коммутаторы доступа Dlink DES-1100 (L2), в которые подключены клиенты (рабочии станции, телефоны и т.д.). На схеме оборудование указано не то, что установлено. Представлена примерная часть сети. Хочется получить на серверах и инфраструктурном оборудовании (везде, где возможно) manegement подсеть (vlan_mgm 111), чтобы ограничивать доступ к управлению серверов и инфраструктурного оборудования. Пример с рисунка - Server0 предоставляет свои ресурсы пользователям через интерфейс подключенный к vlan_user 222, а управление осуществляется через vlan_mgm 111. Проблема в том, что такая топология не работает в случае, (черт, не могу объяснить нормально) на картинке это Server0 -- PC-admin. PC-admin не может получить доступ к адресу сервера Server0 192.168.111.2, я подозреваю, это связано с тем, что пакеты уходят по следующему пути 192.168.222.5->192.168.222.1->192.168.111.1->192.168.111.2 а возвращаются другим путем 192.168.222.2->192.168.222.5. Отсюда вопрос - как же разрулить эту ситуацию? хочется и рыбку съесть, и косточкой не подавиться. P.S. Навскидку нашел решение - PC-admin имеет адрес в manegement подсети, это решение мне кажется плохим при большом широковещательном домене manegement подсети. В какой-то момент эту подсеть придется делить на мелкие и проблема вернется. Изменено 22 марта, 2015 пользователем gberc Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 22 марта, 2015 · Жалоба Добавь свой комп в манагемент влан, не насилуй мозг. Либо настрой нормально маршрутизацию между двумя подсетями. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gberc Опубликовано 23 марта, 2015 · Жалоба Добавь свой комп в манагемент влан, не насилуй мозг. Ок. у меня 1 сеть управления и добавить в нее свою машину легко. Но если у меня будет десяток сетей управления, то на свою машину мне придется добавить этот же десяток интерфейсов. Не очень красивое решение на мой взгляд. Либо настрой нормально маршрутизацию между двумя подсетями. Нормально настроить это как? Ткни носом, пожалуйста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dIMbI4 Опубликовано 23 марта, 2015 · Жалоба Зачем тебе десяток? Все управление в одном влане. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bomberman Опубликовано 23 марта, 2015 · Жалоба Нормально настроить это как? Ткни носом, пожалуйста. Так, чтоб из других сегментов, из которых нужно "видеть" managment сегмент, он был виден (маршрутизировался). А вообще, да. Зачем более 1го managment сегмента то? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gberc Опубликовано 23 марта, 2015 (изменено) · Жалоба Если у меня мало хостов в сети управления, то решение с включением ПК админа в эту сеть я вижу логичным. НО Предположим, что у меня несколько сотен хостов в сети управления, разве будет правильным иметь такой большой широковещательный домен пусть и для управления? А сеть и так маршрутизируется, например, для Server1 со схемы, нет никаких проблем. Изменено 23 марта, 2015 пользователем gberc Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 23 марта, 2015 · Жалоба Предположим, что у меня несколько сотен хостов в сети управления, разве будет правильным иметь такой большой широковещательный домен пусть и для управления? Несколько сотен свитчей/серверов в сети? У меня около трехсот свитчей в одном management vlan, проблем не возникало Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Hirurgus Опубликовано 23 марта, 2015 · Жалоба Когда много хостов управления, значит уже сеть большая и должен быть L3/коммутатор как минимум. Настраиваешь в вланах управление, например 100-120, у них разные подсети, и все подсети терминируешь на l3-комутаторе или роутере. Далее доступ ограничиваешь например через ACL Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gberc Опубликовано 23 марта, 2015 · Жалоба Когда много хостов управления, значит уже сеть большая и должен быть L3/коммутатор как минимум. Настраиваешь в вланах управление, например 100-120, у них разные подсети, и все подсети терминируешь на l3-комутаторе или роутере. Далее доступ ограничиваешь например через ACL Вы не внимательны, на схеме и в сети есть L3/коммутатор в центре. Ок. я понял, что правильным решением будет выдать адрес из сети управления на ПК админа. Всем спасибо за участие. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 23 марта, 2015 · Жалоба Ок. у меня 1 сеть управления и добавить в нее свою машину легко. Но если у меня будет десяток сетей управления, то на свою машину мне придется добавить этот же десяток интерфейсов. Не очень красивое решение на мой взгляд. Их всё равно куда то придётся добавлять. Раз с сервером/роутером у тебя не получается то решение с компом админа тоже рабочее. Нормально настроить это как? Ткни носом, пожалуйста. Чтобы пакеты ходили в обе стороны :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...