[amper]

Имеется сеть разделенная на кучу (15 если точнее) виланов, собираюсь поднять на ней сервер на WIN2003 и загнать всех юзеров в домен. Соответственно на сервере должна быть сетевушка с поддержкой Vlan Tagging, т.е. на каждый VLAN по виртуальному интерфейсу.

 

Был опыт общения с WIN2000AS и сетевухой 3COM 980, так вот там регулярно возникали записи в event log-е вида: Duplicate computer name exists on the network (т.е. имя компа одинаково для всех виртуальных сетевых интерфейсов). В результате были глюки с master browser, некорректно работали шары... Что-то мне подсказывает, что в случае с Active Directory глюки могут быть еще страшнее... Кроме того, в случае добавления нового VLAN ID, т.е. создания еще одного подключения, 3ком-овский драйвер предлагал перезагрузить комп, после чего все соединения оказывались Disabled (очень мило когда сервер стоит в стойке и рулится удаленно)...

 

Внимание вопрос - существуют ли сетевухи (гигабитные) с поддержкой VLAN и нормальными драйверами, при которых не будет возникать подобных проблем? Или это не столько проблема драйверов, сколько проблема ОС? Может быть в 2003 виндах эта часть переработана и глюков не будет вообще?

 

Идеально, если бы сетевуха была встроенной в какую ни будь интеловскую материнку (с поддержкой CoreDuo).

[Мартен]

Внимание вопрос - существуют ли сетевухи (гигабитные) с поддержкой VLAN и нормальными драйверами, при которых не будет возникать подобных проблем?

Полно. У интеля хорошие сетевухи, Marvel/Yukon тоже ничего. Только надо ОС сменить.

Или это не столько проблема драйверов, сколько проблема ОС?

В точку. Забудьте вы уже про виндовс в телекоме, да еще в качестве роутера... На юниксах ничего перезагружать не надо.

[MaxSavin]

Хех, вспомним молодость...

 

Имеется сеть разделенная на кучу (15 если точнее) виланов, собираюсь поднять на ней сервер на WIN2003 и загнать всех юзеров в домен. Соответственно на сервере должна быть сетевушка с поддержкой Vlan Tagging, т.е. на каждый VLAN по виртуальному интерфейсу.

1. Правильно ли я понимаю, что под этим "сервер" подразумевается AD DC?

2. Планируется ли, что сервер так же будет выступать и роутером между этими 15 подсетями?

 

Вариант "1 - нет" не рассматриваем.

Вариант "1 - да, 2 - да" имеет рекомендуемый ответ "лучше убить себя". Имея 15 "виланов" для работы, а не "развлеченья для", роутингом должен заниматься отдельный девайс.

Вариант "1 - да, 2 - нет", в принципе, с натяжкой годиться, если хочется много секса, и не с женщиной (мужчиной, по вкусу). Нижепроцитированное

 

Был опыт общения с WIN2000AS и сетевухой 3COM 980, так вот там регулярно возникали записи в event log-е вида: Duplicate computer name exists on the network (т.е. имя компа одинаково для всех виртуальных сетевых интерфейсов). В результате были глюки с master browser, некорректно работали шары... Что-то мне подсказывает, что в случае с Active Directory глюки могут быть еще страшнее...

... недалеко от истины.

 

И, наконец, "правильный ответ" :) Собственно, классикой жанра для "серьезных" окружений является выделение под сервера отдельного (или нескольких, в зависимости от задач) vlan'а / подсети. Куда в том числе и помещается этот самый сервер, закрывается (если нужно) ACL'ями на L3 switch/что там используется для межсегментного роутинга. И - дальше все как обычно.

 

Или это не столько проблема драйверов, сколько проблема ОС? Может быть в 2003 виндах эта часть переработана и глюков не будет вообще?

Гм. Это не столько "проблема OS", сколько - нежелания читать документацию (и понимать принципы функционирования внедряемых сущностей) ;)

Изменено 16 ноября, 2006 пользователем MaxSavin

[amper]

Роутить эти 15 VLAN'ов мне не надо :) Оборудование на L3 менять тоже не буду... Мне нужен AC DC для клиентов из этих 15 VLAN'ов, и все! Основная задача - полная невозможность связи между клиентами напрямую, только через сервер. Не заморачиваясь с роутингом - это возможно? Роутинг в этом случае усложняет задачу, во-первых полоса между клиентами и сервером будет ограничена возможностями роутера, придется ставить DHCP перед роутером...

 

Мартен

Вопрос скорее в том, кто из производителей обеспечивает свое железо нормальными драйверами (под нормальными я понимаю поддержку Win2003 или в будующем Vista, и отсутствие описанных в первом сообщении проблем, кстати драйвера от 3COM 980, последний раз обновлялись в 2001 году...)

Изменено 16 ноября, 2006 пользователем amper

[MaxSavin]

Роутить эти 15 VLAN'ов мне не надо :) Оборудование на L3 менять тоже не буду...

Ясно :)

 

Мне нужен AC DC для клиентов из этих 15 VLAN'ов, и все! Основная задача - полная невозможность связи между клиентами напрямую, только через сервер. Не заморачиваясь с роутингом - это возможно?

В vlan'ах одна подсеть, или несколько? Если одна, и свитч поддерживает assymetric vlan, - то можно реализовать через них (в этом случае поддержка vlan на сервере опять же не требуется). Если разные (и менять желанья нет) - то "нормально" почти не реализуется (точнее говоря - можно, но костылей много нужно). Подробности можно посмотреть в принципах обнаружения DC в AD-среде.

 

Роутинг в этом случае усложняет задачу, во-первых полоса между клиентами и сервером будет ограничена возможностями роутера, придется ставить DHCP перед роутером...

Во-первых, l3-switch'и для этого и придуманы. Тем более что полоса скорее в сервер упрется. Для второго можно вполне использовать ip helper (dhcp relay agent).

Изменено 16 ноября, 2006 пользователем MaxSavin

[amper]

В vlan'ах одна подсеть, или несколько?

Разумеется несколько :) А насколько много костылей? Ведь "внедрить" L3 выльется в копейку...

 

Во-первых, l3-switch'и для этого и придуманы. Тем более что полоса скорее в сервер упрется. Для второго можно вполне использовать ip helper (dhcp relay agent).

Сейчас железо такое:

3x - Allied Telesyn AT-8024 в центре 3COM 4300... Т.е. по хорошему, в 4300 надо докупать гигабитный адаптер, подключать его по гигабиту к L3 Switch, и уже в этот свич, по еще одному гигабиту - подключать новый сервак, так как кроме всего прочего он планируется как файлопомойка...

 

1) Какой L3 свич, с 2х1GBIT UTP + 12(24)x100Mbit UTP, адекватными возмостями по настройке access list'ов (сейчас наверное все красиво, через вэб), можно взять хотя бы за 500$?

 

2) Сам свич не может быть DHCP helper'om? Если уж все делать красиво, то можно и первый сервак (на котором сейчас куча виртуальных адаптеров) посадить через L3 свич, тогда как бы и негде запускать DHCP relay agent... Или получаем половинчатое решение :(

[MaxSavin]

В vlan'ах одна подсеть, или несколько?

Разумеется несколько :) А насколько много костылей? Ведь "внедрить" L3 выльется в копейку...

Костылей - в зависимости от выбранного пути. Можно попробовать поставить и понаблюдать, как используемые клиентские OS будут реагировать на получение нескольких IP-адресов DC из разных ip-подсетей, к большей части которых у них нет маршрута. Для этого, впрочем, даже vlan'ы не нужны, можно в одном broadcast сегменте собрать стенд.

 

Во-первых, l3-switch'и для этого и придуманы. Тем более что полоса скорее в сервер упрется. Для второго можно вполне использовать ip helper (dhcp relay agent).

Сейчас железо такое:

3x - Allied Telesyn AT-8024 в центре 3COM 4300... Т.е. по хорошему, в 4300 надо докупать гигабитный адаптер, подключать его по гигабиту к L3 Switch, и уже в этот свич, по еще одному гигабиту - подключать новый сервак, так как кроме всего прочего он планируется как файлопомойка...

 

1) Какой L3 свич, с 2х1GBIT UTP + 12(24)x100Mbit UTP, адекватными возмостями по настройке access list'ов (сейчас наверное все красиво, через вэб), можно взять хотя бы за 500$?

 

2) Сам свич не может быть DHCP helper'om? Если уж все делать красиво, то можно и первый сервак (на котором сейчас куча виртуальных адаптеров) посадить через L3 свич, тогда как бы и негде запускать DHCP relay agent... Или получаем половинчатое решение :(

1. Примерно этот ценовой диапазон, например, имеет DES-3828.

 

2. Может. Вышеупомянутый 3828 такой функционал имеет.

 

По поводу dlink, разве что, настоятельно бы рекомендовал брать оборудование на тестирование, благо представительства это предлагают. Ибо с l3 у dlink исторически были не самые простые отношения, посему лучше проверить, а не "верить".

[amper]

Да я думаю с клиентами проблем не должно возникнуть, сейчас сервер имея одно имя и кучу ip никаких проблем у клиентов не вызывает... коннект идет туда, куда есть маршрут и все!

 

Больше пугают глюки на сервере, как он сам поведет себя когда увидит одно имя с разными адресами\интерфейсами ;)

 

Насчет L3 - а где бы почитать какой конкретно функционал должен предоставлять L3 свич? Как я понимаю некоторые фичи зависят от производителей... А с dlink'ом связываться что-то не хочется, может тогда уже лучше на б\у посмотреть?

[MaxSavin]

Да я думаю с клиентами проблем не должно возникнуть, сейчас сервер имея одно имя и кучу ip никаких проблем у клиентов не вызывает... коннект идет туда, куда есть маршрут и все!

 

Больше пугают глюки на сервере, как он сам поведет себя когда увидит одно имя с разными адресами\интерфейсами ;)

"Имена" бывают разные, как и способы их резолвинга. Мы же говорим о вполне конкретной процедуре поиска DC. Из "глубин времен" всплывает воспоминание, что получая несколько адресов на одно имя клиент (точнее, резольвер клиента) выбирает произвольный. А вот по поводу дальнейших действий - вариантов масса, и не все позитивные. Посему я и предлагаю провести эксперимент, благо для него ресурсов почти не требуется (2 машины + 4-5 сетевый адаптеров, думаю, достать не так сложно).

 

А вот за сам DC, скорее всего, переживать не стоит, уж со своими интерфейсами он как-нибудь разберется :)

 

Насчет L3 - а где бы почитать какой конкретно функционал должен предоставлять L3 свич? Как я понимаю некоторые фичи зависят от производителей... А с dlink'ом связываться что-то не хочется, может тогда уже лучше на б\у посмотреть?

Для данных целей необходимый функционал уже был упомянут ранее.

Что касается "просмотров" альтернативы - то никто не мешает, конечно, разве что сразу стоит иметь ввиду, что дешевого l3 не так уж и много.

Изменено 18 ноября, 2006 пользователем MaxSavin

[amper]

Кстати, а если нужно сделать частичный доступ между VLAN'ами например так:

VLAN2 - IP 192.168.20.100-200 имеют доступ к IP 192.168.10.1 из VLAN10

VLAN2 - IP 192.168.20.99 имеет доступ и к IP 192.168.10.1 из VLAN10, и к 192.168.11.1-255 из VLAN11...

 

Если я правильно понимаю, то первоначально создаем маршрутизацию между VLAN'ами, а потом IP фильтрами разрешаем только то, что нужно? Но вот столкнулся с тем, что некоторые L3 свичи ограничены в кол-ве фильтров:

 

An interface may have a maximum of one traffic filter, one policy filter, and one

priority filter, but the same traffic, policy or priority filter can be assigned to

more than one interface. Traffic and routing policy filters are applied to packets

received via the interface, whereas policy and priority filters are applied to

packets as they are transmitted. Routing filters are used in commands that

manipulate the passing of IP routing information in and out of the switch.

Из мануала AT-8624T

 

И как в одном фильтре все это описать? Нужно как минимум три на интерфейс VLAN11 - разрешить 192.168.20.99, разрешить 192.168.10.1 и запретить все остальное... или я чего-то недопонимаю?

[MaxSavin]

Кстати, а если нужно сделать частичный доступ между VLAN'ами например так:

VLAN2 - IP 192.168.20.100-200 имеют доступ к IP 192.168.10.1 из VLAN10

VLAN2 - IP 192.168.20.99 имеет доступ и к IP 192.168.10.1 из VLAN10, и к 192.168.11.1-255 из VLAN11...

 

Если я правильно понимаю, то первоначально создаем маршрутизацию между VLAN'ами, а потом IP фильтрами разрешаем только то, что нужно? Но вот столкнулся с тем, что некоторые L3 свичи ограничены в кол-ве фильтров:

 

An interface may have a maximum of one traffic filter, one policy filter, and one

priority filter, but the same traffic, policy or priority filter can be assigned to

more than one interface. Traffic and routing policy filters are applied to packets

received via the interface, whereas policy and priority filters are applied to

packets as they are transmitted. Routing filters are used in commands that

manipulate the passing of IP routing information in and out of the switch.

Из мануала AT-8624T

 

И как в одном фильтре все это описать? Нужно как минимум три на интерфейс VLAN11 - разрешить 192.168.20.99, разрешить 192.168.10.1 и запретить все остальное... или я чего-то недопонимаю?

Это просто вопрос терминологии. У AT под filter, насколько мне помнится, подразумевается набор patter'нов, которыми как раз и описываются непосредственно правила. Более внимательно курить документацию :)

[amper]

add ip filter

Syntax ADD IP FILter=filter-number [ENTry=1..255]

 

От жеж закрутили :) Действительно, у фильтра есть параметр number, и есть entry, под которым как раз и указываются конкретные "правила", а фильтр в целом - это по сути группировка правил в кучу...

 

Замечательно, если все эти фильтры еще не будут сильно снижать скорость, будет совсем прекрасно, дело за малым, выбить 1 куе и купить свич :)

 

P.S. А из этого списка на что можно было бы обратить внимание?

[anix]

Котроллере домена (AD) не может быть multi home.... Читайте книги по Windows Server и AD. При более чем одном интерфейсе, у АД съезжает крыша на предмет броузинга сети, ни как не лечится. AD надо ставить отдельно за рутером.

[MaxSavin]

Котроллере домена (AD) не может быть multi home.... Читайте книги по Windows Server и AD. При более чем одном интерфейсе, у АД съезжает крыша на предмет броузинга сети, ни как не лечится. AD надо ставить отдельно за рутером.

Гм, вот только в другую крайность-то ударяться не нужно. Книги - это хорошо, но не заменяют практики. Которая дает то, что может AD-машина быть сколь угодно интерфейснутой. Не без костылей, конечно, но вполне можно собрать рабочую схему. Принципиальный момент в том, что как раз у самого (самих) DC проблем из-за мультиинтерфейснутости минимум ("браузинг" это отдельная тема, которая, в общем-то, к функционированию AD-домена прямого отношения не имеет), проблемы будут скорее у клиентов, особенно есть нет связности между используемыми подсетями (и тут уже можно начинать изобретение костылей типа подсовывания клиентам named'а в качестве DNS (с отдачей "правильных" адресов DC в зависимости от адреса подсети клиента)).

 

Глобальная мысль, при этом, конечно же не меняется: очень желательно не устраивать "экзотики", дабы не иметь проблем.

[amper]

Почитал инет, все проблемы с Multihomed сводятся к тому, что будут проблемы с Master browser и видимостью компов в сетевом окружении - это так? Видимость не особо и нужна...

[amper]

Поэксперемениторвал с WIN2003Server R2 под VirtualPC, смешанные чувства... серверу строго пофиг на кол-во интерфейсов, а вот клиенты, поскольку обращаются к серверу через netbios имя огребают некоторые глюки, как правило связанные с браузингом сети...не могу понять, почему мелкософт так цепляется за уродцев типа нетбиоса, ведь есть же dns, есть ip, можно в конце концов keep-alive'ами поддерживать список активных компов, а то master browser, elections, анахронизм...

а файл сервер вообще убил - такой примитивизм, по возможностям - сильно ущербный фтп!

 

Я собственно говоря вот с каким вопросом - а что на предлагает линух в качестве сервера для 2000\XP виндов? Помню где-то читал про решения позволяющие раздавать групповые политики... что скажете? Как там дела с этим?

[anix]

Поэксперемениторвал с WIN2003Server R2 под VirtualPC, смешанные чувства... серверу строго пофиг на кол-во интерфейсов, а вот клиенты, поскольку обращаются к серверу через netbios имя огребают некоторые глюки, как правило связанные с браузингом сети...не могу понять, почему мелкософт так цепляется за уродцев типа нетбиоса, ведь есть же dns, есть ip, можно в конце концов keep-alive'ами поддерживать список активных компов, а то master browser, elections, анахронизм...

а файл сервер вообще убил - такой примитивизм, по возможностям - сильно ущербный фтп!

 

Я собственно говоря вот с каким вопросом - а что на предлагает линух в качестве сервера для 2000\XP виндов? Помню где-то читал про решения позволяющие раздавать групповые политики... что скажете? Как там дела с этим?

Если бы я не проверил невозможность AD multi home, я бы ничего не стал здесь писать. Да, проблем больше у клиентов, и чтобы не делать костылей, вланы лучше терменировать на чем нибудь другом! Под линукс есть что то на базе стандартного ldapa, в купе с самбой может держать домен. но стоит ли все это совмещать, вот в чем вопрос.

 

P.S. не помню где читал стать, но кажется на майкрософте или в одной из их умных книг, суть сводилась к следующему, что при переходе на win 2003 (и когда в сети будут одни win XP) можно будет забыть про netbios, все будет работать на dns ))) (имхо, пока не ощутил)

Изменено 25 ноября, 2006 пользователем anix

[Bobby]

Цитата(amper @ 24.11.2006, 12:53) quotecПоэксперемениторвал с WIN2003Server R2 под VirtualPC, смешанные чувства... серверу строго пофиг на кол-во интерфейсов, а вот клиенты, поскольку обращаются к серверу через netbios имя огребают некоторые глюки, как правило связанные с браузингом сети...не могу понять, почему мелкософт так цепляется за уродцев типа нетбиоса, ведь есть же dns, есть ip, можно в конце концов keep-alive'ами поддерживать список активных компов, а то master browser, elections, анахронизм... а файл сервер вообще убил - такой примитивизм, по возможностям - сильно ущербный фтп!Я собственно говоря вот с каким вопросом - а что на предлагает линух в качестве сервера для 2000\XP виндов? Помню где-то читал про решения позволяющие раздавать групповые политики... что скажете? Как там дела с этим?QuoteEndQuoteEEndЕсли бы я не проверил невозможность AD multi home, я бы ничего не стал здесь писать. Да, проблем больше у клиентов, и чтобы не делать костылей, вланы лучше терменировать на чем нибудь другом! Под линукс есть что то на базе стандартного ldapa, в купе с самбой может держать домен. но стоит ли все это совмещать, вот в чем вопрос.P.S. не помню где читал стать, но кажется на майкрософте или в одной из их умных книг, суть сводилась к следующему, что при переходе на win 2003 (и когда в сети будут одни win XP) можно будет забыть про netbios, все будет работать на dns ))) (имхо, пока не ощутил)

очень много фич завязано на нет биос, таких как репликация, рупповые политики и пр. Это основной протокол передачи файлов между WIN машинами... Так что от него врядли Мелкософт откажеться от нетбиоса, тяжелое наследие царского режима ))))

[mikevlz]

сам по себе протокол не страшен, страшны средства разрешения имен в адреса. для NT5.x первично NBT(NetBios over TCP/IP), для win9x - стандартный локатор RPC или как его там. Для мультихомеда в конференциях типа Ru.windows.2000 рекомендовали отвязку протокола(не помню какого) от всех сетевых интерфейсов кроме единственного. Отвязка идет правкой реестра, где и что не помню, но помню именно такое решение. гуглите.

[Maris]

amper zdaite na setifikat 70-290 i 70-291, inebudet uvas bolshe voprosov kak eto rabotajet, uvas proto otsutstujut fundomentalnije znanije po NT 5-6 , i politik active dir.

 

P.S. nada uchitavtj chto Windows lubit intel , i nebudet deshovix problem s hardware.

Ispolzavtj dla "biznes kritikal" setovku na mamke "pioner stail ;)" toze samoje s raid.

 

nestojet razmnozatj vlan`i na win interfeise, vi domain server prevrashajete v router , chto nafig nenuzna, s vilanami raberites do servera spomoshju swicha.

 

problemi s master brower, ka pravilo iza raznosherstnix workstation OS , reshajetsa wins`om.

 

Visperva opredelites cho vam nada active dir , ile chtob useri drug druga nevideli/nevideli.

dhcp pered routerom :))) akakaja raznica ?

 

"кстати драйвера от 3COM 980, последний раз обновлялись в 2001 году...)" eto kakraz gavarit o tom chto s dravami vso ok

 

 

BTW oglasite obsheje kolichestvo Workstation v domain