Комментарии 26
Вы всё это описываете сильно страшнее, чем оно есть в реальности )
и, нет, у вас сеть не операторского класса, как бы вы этого не хотели. Ни масштабы не дотягивают, ни используемые технологии. Так, средних размеров предприятия — как у небольшого банка, допустим. Но без заморочек с безопасностью.
Хоть бы 802.1x сделали, чтоб номера vlan-ов в конфиг не писать.
и, нет, у вас сеть не операторского класса, как бы вы этого не хотели. Ни масштабы не дотягивают, ни используемые технологии. Так, средних размеров предприятия — как у небольшого банка, допустим. Но без заморочек с безопасностью.
Хоть бы 802.1x сделали, чтоб номера vlan-ов в конфиг не писать.
Не приживается у нас 802.1x (в проводной сети, в беспроводной — конечно да, но об этом напишем как-нибудь потом).
Он хорош в том случае, если есть группы пользователей, условно, «Бухгалтерия», «Кадры», «Производство», «Продажи» и т. п., которые надо разнести по разным VLAN и предоставить соответствующий доступ.
Наша ситуация — есть, условно, «просто пользователи», «инженеры», «телефоны», «видеокамеры», «мультимедиа-оборудование», «другое». Причем группа «другое» — достаточно большая.
Он хорош в том случае, если есть группы пользователей, условно, «Бухгалтерия», «Кадры», «Производство», «Продажи» и т. п., которые надо разнести по разным VLAN и предоставить соответствующий доступ.
Наша ситуация — есть, условно, «просто пользователи», «инженеры», «телефоны», «видеокамеры», «мультимедиа-оборудование», «другое». Причем группа «другое» — достаточно большая.
1. Можете показать внешний вид web-приложения кроссового журнала, который у вас получился?
2. Расскажите подробнее про принцип маркировки патч-панелей, патчкордов. Что взято за идею?
2. Расскажите подробнее про принцип маркировки патч-панелей, патчкордов. Что взято за идею?
Сегодня к концу дня постараюсь ответить подробно.
1. Приложение выглядит так: youtu.be/TfTFcWdpuQs Не судите строго, я второй раз в жизни делаю видео с экрана. Серым прямоугольником закрыты реальные IP-адреса коммутаторов.
2. Наша СКС строилась по нескольким проектам в продолжение многих лет, поэтому принципы маркировки могут несколько отличаться. Маркировка на фото 1.633.R2.P03.11 расшифровывается так: 1 — здание, 633 — кроссовая, R2 — второй rack, P03 — третья патч-панель, 11 — одиннадцатая розетка. Что касается патч-кордов — используем самый простой вариант, сквозную нумерацию от 000 до 999 в пределах одной кроссовой. Лучше пока ничего не придумали.
2. Наша СКС строилась по нескольким проектам в продолжение многих лет, поэтому принципы маркировки могут несколько отличаться. Маркировка на фото 1.633.R2.P03.11 расшифровывается так: 1 — здание, 633 — кроссовая, R2 — второй rack, P03 — третья патч-панель, 11 — одиннадцатая розетка. Что касается патч-кордов — используем самый простой вариант, сквозную нумерацию от 000 до 999 в пределах одной кроссовой. Лучше пока ничего не придумали.
Кое что из описанного выше (переход на новые сетевые оборудования) приходится и мне пережить. Спасибо за советы и поделенный опыт.
обновили и унифицировали прошивки в IP-телефонах, чтобы телефон и коммутатор корректно опознавали друг друга по протоколу LLDP. Это необходимо для того, чтобы телефон понимал, в каком VLAN-е ему следует передавать голосовые фреймы, и в каком — фреймы подключенного через телефон оборудования.
Не совсем понял. Ну получил телефон по LLDP оборудование и порт в который он воткнут, как он по нему поймет какой у него vlan для голоса а какой для даты?
По DHCP с помощью опций прилетит. А вот как LLDP помогает — никак не могу вспомнить.
Еще раз. Не понял при чем здесь DHCP опции.
Коммутатор и телефон обменялись LLDP, как телефон узнает какой vlan у него для voip какой для data?
Коммутатор и телефон обменялись LLDP, как телефон узнает какой vlan у него для voip какой для data?
по LLDP получит доступ в нативный VLAN, в нем пошлет DHCP-запорс. а DHCP-сервер ему пошлёт:
— настройки сетевой карты в VoiceVLAN;
— опцию, содержащую IP-адрес АТС для регистрации;
— опцию, содержащую номера VoiceVLAN и DataVLAN.
Вроде бы так. Если я не прав — надеюсь, коллеги разъяснят.
А по поводу необходимости обновления прошивок телефонов тут все просто. Мне попадались китайские поделки, которые не умели VLAN-ы в заводской прошивке.
— настройки сетевой карты в VoiceVLAN;
— опцию, содержащую IP-адрес АТС для регистрации;
— опцию, содержащую номера VoiceVLAN и DataVLAN.
Вроде бы так. Если я не прав — надеюсь, коллеги разъяснят.
А по поводу необходимости обновления прошивок телефонов тут все просто. Мне попадались китайские поделки, которые не умели VLAN-ы в заводской прошивке.
Наверное не правы, вероятнее всего речь шла о LLDP-med.
Ух ты, и вправду!
Link Layer Discovery Protocol-Media Endpoint Discovery (LLDP-MED) — расширение стандарта LLDP, которое позволяет:
Автоматически обнаруживать сетевые политики (VLAN, 802.1p, DSCP),
Использовать более расширенное и автоматическое управление питанием на PoE хостах,
Отслеживать местоположения устройств и топологию, в том числе таких устройств как IP-телефоны,
Выполнять инвентаризацию устройств в сети и определение их характеристик
Отслеживать перемещения устройств и отправлять SNMP-сообщения на соответствующий управляющий хост.
Спасибо Вам! Узнал кое-что новое.
Link Layer Discovery Protocol-Media Endpoint Discovery (LLDP-MED) — расширение стандарта LLDP, которое позволяет:
Автоматически обнаруживать сетевые политики (VLAN, 802.1p, DSCP),
Использовать более расширенное и автоматическое управление питанием на PoE хостах,
Отслеживать местоположения устройств и топологию, в том числе таких устройств как IP-телефоны,
Выполнять инвентаризацию устройств в сети и определение их характеристик
Отслеживать перемещения устройств и отправлять SNMP-сообщения на соответствующий управляющий хост.
Спасибо Вам! Узнал кое-что новое.
Судя по команде voice vlan legacy enable, коммутатор еще и по CDP расскажет телефону какой номер voice vlan.
CDP — это больше к Cisco, я не знаю, открыли ли его сейчас, но он всю жизнь был проприетарным. А Huawei с LLDP работает.
LLDP (точнее, расширение LLDP-MED) допускает передачу любой информации через дополнительные поля TLV (type-length-value). Наши коммутаторы и телефоны используют поле 'network-policy'.
Про настройки можно здесь почитать: support.huawei.com/enterprise/en/doc/EDOC1000114005/f8e1b7dd/interoperation-between-switches-and-ip-phones-through-lldp-med
Про настройки можно здесь почитать: support.huawei.com/enterprise/en/doc/EDOC1000114005/f8e1b7dd/interoperation-between-switches-and-ip-phones-through-lldp-med
Скажите, а о чем статья? У Вас миграция не на новое оборудование, а просто обновление. Вот я видел миграцию на Huawei:
— привозят NE20, ставят вместо того, с чего мигрируют (сами понимаете). Нужно собирать мультильнки из серийных интерфейсов. а они не работают на Huawei, когда с дугой стороны не Huawei. не работают, и всё. трудолюбивые китайцы месяц пилят прошивку — потом начинает работать.
— привозят NE08, собирают бриджгруппу. а она не работает. не работает, и всё. трудолюбивые китайцы месяц пилят прошивку — потом начинает работать.
— привозят NE08, собирают OSPF. а он то работает, не работает, и всё. трудолюбивые китайцы пока ведут переписку.
про абзац с банальным SNMP, отстутствием местами на роутерах DHCP, нестабильной работой NQA — ну о чем Вы, сударь.
вот это миграция
— привозят NE20, ставят вместо того, с чего мигрируют (сами понимаете). Нужно собирать мультильнки из серийных интерфейсов. а они не работают на Huawei, когда с дугой стороны не Huawei. не работают, и всё. трудолюбивые китайцы месяц пилят прошивку — потом начинает работать.
— привозят NE08, собирают бриджгруппу. а она не работает. не работает, и всё. трудолюбивые китайцы месяц пилят прошивку — потом начинает работать.
— привозят NE08, собирают OSPF. а он то работает, не работает, и всё. трудолюбивые китайцы пока ведут переписку.
про абзац с банальным SNMP, отстутствием местами на роутерах DHCP, нестабильной работой NQA — ну о чем Вы, сударь.
вот это миграция
НЛО прилетело и опубликовало эту надпись здесь
До последних слов статьи ждал чего-нибудь нового… Нет, все уже давно проверено и в эксплуатации у сотен/тысяч инженеров.
Вы совершенно правы — такая миграция для опытной квалифицированной команды представляет собой обычную задачу.
Тем не менее, у наших заказчиков мы постоянно сталкиваемся с сомнениями и опасениями: «У нас нестандартная ситуация, очень сложная сеть, мы не можем провести сегментацию/миграцию/замену вендора/и т. п.» Одна из целей настоящей статьи — рассказать, что такие миграции можно делать, и это занимает конечный объем усилий.
Тем не менее, у наших заказчиков мы постоянно сталкиваемся с сомнениями и опасениями: «У нас нестандартная ситуация, очень сложная сеть, мы не можем провести сегментацию/миграцию/замену вендора/и т. п.» Одна из целей настоящей статьи — рассказать, что такие миграции можно делать, и это занимает конечный объем усилий.
Печально, что компания, которая позиционирует себя как лидера в области информационной безопасности в России, создаёт свою сетевую инфраструктуру на оборудовании компании Huawei, имеющей неоднозначную репутацию в мире в области информационной безопасности
Прочитал, как бы вернулся на пяток лет назад. « Кроссовские журналы « оказывается ещё живы. Это не надолго :)
Как только внедрите нормальный NAC, никакой журнал и маркировка кабелей больше не потребуется.
Мы отказались от всех журналов. Розетки подключены ВСЕ. Description на Port Interface достаточно. Всю остальную информацию поставляет NAC.
Dot1.X в LAN тоже идёт « со скипом «. Хаос у Windows клиентов, Массовый наплыв Apple, постепенный переход на Linux. Все это усложняет.Х. Мы « уходим назад « в MAB & Fingerprint.
Как только внедрите нормальный NAC, никакой журнал и маркировка кабелей больше не потребуется.
Мы отказались от всех журналов. Розетки подключены ВСЕ. Description на Port Interface достаточно. Всю остальную информацию поставляет NAC.
Dot1.X в LAN тоже идёт « со скипом «. Хаос у Windows клиентов, Массовый наплыв Apple, постепенный переход на Linux. Все это усложняет.Х. Мы « уходим назад « в MAB & Fingerprint.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как мы спроектировали и реализовали новую сеть на Huawei в московском офисе, часть 2