Сеть для малого бизнеса на оборудовании Cisco. Часть 1

[guru430033]

Мне кажется, статья не совсем для Хабра. Это уровень курсовой работы учащегося колледжа, не более.

[Hebelz]

Ну учащимся в колледже тоже нужен материал :) Я достаточно часто использовал хабр как ресурс знаний во время учебы, да и подобных статей которые будут полезны эникеям по Цискам я не нашел

[haxmax]

Первый раз вижу веб-интерфейс циски. Симпатичный

[Hebelz]

Еще на высших моделях есть морда по-новее, она еще симпатичнее, думаю как-то и до ее доберемся

[Grey4ip]

Было бы хорошо описать, как сделать то же самое в консоли + настройка SSH, обновление прошивки. И про лицензии подробнее.

[Hebelz]

На этих устройствах достаточно скудный функционал консоли. Можно, конечно, вручную писать конфиги, но зачем если есть приятный веб-интерфейс

[AkaZLOY]

C каких пор на циске скудный функционал консоли?

[zuek]

Подтверждаю — на SG250 действительно консоль сильно урезали — даже метрики RSTP не отображаются в том же объёме, что в вэбке. Я не сетевик — это информация от приглашённых аутсорсеров-цискарей, которые впервые увидели "младшеньких" и впустую убили почти час, пытаясь настроить всё из консоли. Для них же откровением стал "AutoIT" (не путать с виндовым автоматизатором) — приблуда, помогающая мониторить и обновлять оборудование Cisco (по крайней мере, линейку для малого бизнеса — бесплатно).

[Hebelz]

Это серия предназначенная для штучного гибкого развертывания, из-за жтого сильная потребность в консоли отпадает, есть с десяток комманд, но они касаются только ВЛАНок и аццесс листов.

[oller]

У знакомого Sg550 штук 10, померла большая часть, дохнет кулер и по перегреву

[munche]

RV серия сейчас вообще без консоли (была в очень старых версиях прошивки у некоторых меделей). Циско не хочет там CLI делать.
На SG и SF есть консоль, но урезана, т.к. это все таки не чистая циска, а линксис и тут не IOS.
После каталистов тяжело смолбизнесы настраивать. В коммунити циски тоже не особо активны представители циски, даже на англоязычной ветке, про российскую вообще молчу.

[mickvav]

Самое интересное для малого бызнеса не раскрыто — солько оно будет стоить в сравнении с решением на оборудовании других вендоров? Микротик если воткнуть, не к ночи будь помянут, небось и дешевле и проще выйдет — там вполне можно без свича обойтись, и лицензии на ВПН не нужны, да и веб-морда не менее няшная.
Не утверждаю что оно лучше и правильнее, но автор вообще молчит о других вариантах, как будто на Cisco свет клином сошелся.

[shteyner]

Собственно тут просто за априори взяли циски, от сюда и пляшут.
Но да, как по мне, для малого бизнеса бесполезная тема, но может красиво раскроют переход к среднему, с хотя бы с парой сотен компьютеров, сотней камер и парочкой СХД и нескольких единиц другого серверного оборудования.

[Hebelz]

Именно это и есть в планах. Огромный плюс циски с СБ сегменте, это то что невозможно угадать насколько быстро у заказчика дела полетят вверх. Уже не раз на практике сталкивался с тем, что конторка на 15 компов и 2 сканера через год становится неплохой такой фирмой с 5 филиалами, парочкой серверов, ВоИП телефонией, приобретает на склад сканеры в кол-ве 100 штук и т.д… Так же огромный плюсом в сторону циска это их (хотя даже чаще дистрибуторов) отношение к рекламации, с возможностью ее решить до 2-х дней

[Hebelz]

В начале статьи я обозначил, что это не статья про выбор вендора или экономический просчет идеального решения для фирмы, а статья о том, как заставить работать именно Циско. О подборе оборудования существует куча статей, это статья исключительно о Циско

[Iffann]

длинк, нетгир вытащат влегкую все задачи статьи.
и вообще в рф малый бизнес сидит на хомяковских решениях :) хорошо, если микротик роутером.

[Hebelz]

Я в статье не обсуждаю выбор вендора, я лишь рассказываю что и как можно сделать на качественном профессиональном оборудовании, а не на полудомашних пельменях. Ну а малому бизнесу в рф могу только посочувствовать

[CheBurashka]

Решил вот начать пользоваться вланами, но есть проблема — провайдер между нашими удалёнными точками выделил влан (то есть все наши точки соединяются с помощью провайдерского влана). Какие варианты могут быть ещё, кроме доплаты провайдеру за доп.вланы?

[Hebelz]

Про схемы объеденения филиалов буду рассказывать в следующих частях, тема довольно обширная. Так что подписывайтесь и следите ;)

[DaemonGloom]

Есть два основных варианта.
1) Поднять VPN и все ваши vlan'ы завернуть в него.
2) Поднять QinQ или иной способ навесить две метки vlan одновременно. Тогда провайдер будет смотреть на верхнюю и спокойно передавать на другую вашу точку, где маршрутизатор верхнюю метку снимет и посмотрит уже на нужную.

[CheBurashka]

Спасибо, правильно я понял, что в разрыв придется доп.устройства ставить между кабелем влан и свитчом (например микротик)? Сейчас схема такая — во всех филиалах концы с вланом воткнуты в свитчи циско sg250 (как в посте)

[DaemonGloom]

Если верить документации, то sg250 должен уметь QinQ сам. Страница 222.
www.cisco.com/c/dam/en/us/td/docs/switches/lan/csbms/250_/2_4/admin_guide/english/AG_Tesla_250.pdf

[CheBurashka]

спасибо, почитаю про qinq. при беглом гуглинге — я так понял что это провайдер должен у себя заворачивать мои вланы, то есть qinq делается со стороны провайдера только?

[DaemonGloom]

Нет, можно и на вашей стороне. Как понял, для sg250 надо перевести порт в режим customer. Но с smb серией cisco дел не имел, тут уже подробнее не подскажу.

[CheBurashka]

Спасибо, сейчас хоть есть какое то направление куда смотреть, будем изучать

[kiberpsyx]

А мне вот очень понравилось, прочёл с удовлльствием. До этого Cisco не пользовался, а здесь прям всё просто и по полочкам. Hebelz продолжайте, пожалуйста :)

[Hebelz]

Благодарю, приятно слышать

[gaidukav]

Это наверное такая новая мода пошла — делать скриншоты с максимального экрана в HD, а затем тут сжимать картинку почти в три раза чтоб её невозможны было разглядеть?
Ширина колонки с текстом на хабре 780px, неужели так сложно подготовить картинки под такую ширину чтоб БЕЗ масштабирования?

[Hebelz]

Извиняюсь, на будущее поправлю. Все картинки в ПНГ, по правой кнопочке можно открыть полный размер.

[anthtml]

Имхо, делать со старта такой офис сразу на кошках и писать про сэкономить для заказчика, в наших реалиях, как-то перебор. Особенно в части брать 48 poe свитч — которые у кошек по цене крыла боинга.
Я бы лучше взял 2 24ки, одну с пое, вторую без и исходя из этого прикидывал, было бы как минимум в 1.5раза дешевше.
И да, желательно бы в статье увидеть примерный расчет данной конфигурации в сравнении mikrotik/cisco т.к. обычно в сети до 150 хостов рулят первые, а более 150 уже вторые

[Hebelz]

Ну, во-первых не ститаю цифру в 1,5к долларов какой-то невообразимой инвестицией в бизнес, вполне адекватные деньги. Да, два свитча можно было бы взять, но не раз накалывался на то, что камер, точек доступа и прочей ПоЕ лабуды становится больше, чем вообще возможно представить, а ЛАН-хостов остается мало, отсюда и выбор 48-ПоЕ, так как лучше емного переплатить в начале, чем потом докупать ради 3-4 портов еще один свитч. Дмскутироват о том, кто где рулит можно долго, но опять же при подходе именно бизнесовом (стремяшееся к нулю время простоя из-за поломки) циске нет равных.

[zuek]

Ради пары PoE-потребителей проще PoE-блок питания приколхозить — именно малому бизнесу это — оптимальное решение. Для "менее мелкого" бизнеса (те самые "пара серверов", NAS и VoIP с несколькими сотнями пользователей) — уже да, надо сегментировать по типам устройств, при чём банального сегментирования по VLAN не хватит — у SG250 процессоры не справляются с одновременным потоком видео с камер и бэкапом серверов (по мониторингу, загрузка CPU уходит в предел где-то при четырёх гигабитных сессиях) — надо или более дорогие железки ставить, или изолировать физически непересекающиеся потоки на разных свитчах.

[Hebelz]

Ооооочень сомневаюсь(уверен, пробовал) что 4 потока гиговых ЦП утилят под сотку. А инжекторы это колхоз, от которого нужно избавляться, да и цисковские инжекторы по цене тоже около 100 баксов, так что не вижу смысла сэкономить пару соток на свитче, а потом их тратить на инжекторы, ну а о использовании каких-то алишных адаптеров даже задумываться не стоит, мы же строим надежную сеть

[zuek]

Инжекторы зачастую идут в комплекте с камерами (встречал у D-Link и ST) и добавляют к стоимости оных совсем не $100, плюс, мне кажется весьма логичным видео вынести на отдельный физический свитч, хоть SF220-24P-K9-EU, хоть LGS124P-EU — по-моему, и дешевле, и надёжнее (в случае сетевых аномалий, видео не пострадает, и не будет создавать лишнюю нагрузку на оборудование).
А по поводу утилизации — увы, это из личного опыта, правда там сеть была чуть-чуть посложнее — шесть 48/50-портовых SG250, в двух кольцевых стэках (не уверен, как это называется у Cisco — термин от 3Com из начала нулевых), так при запуске бэкапов на двух серверах (с четырьмя объединёнными сетевухами на каждом) в пределах одного стэка, доступность других узлов в этом стэке резко падала, при этом утилизацию CPU монитор показывал 100%. Но повторюсь — я не сетевик (я чем-то типа руководителя IT был), "шайтан-машину" настраивал не я — мне приходилось лишь пару раз аварийно разруливать затыки в сети, ну и мониторить обстановку для постановки задач людям более сведущим. Не исключено, что большую нагрузку создавала необходимость обрабатывать "объединение" интерфейсов, раскиданных по двум физическим коммутаторам ("для отказоустойчивости" — отключение любого одного свитча в любом стеке не нарушало работоспособности сети) — это как раз случай, когда инфраструктура переросла возможности сетевого ядра, изначально построенного на цисках, "с запасом".

[anthtml]

Наоборот таки, на старте обычно считают каждую копейку и не рискуют вкладываться сразу в энтерпрайз сегмент.
Количество камер, да с течением времени в офисе может немного увеличиваться, если заказчик хочет следить за работниками, если это просто охранка, то обычно система сразу ставится на перекрытие всех входов-выходов и основных коридоров — рост не сильно большой
Точки доступа при правильном радиоанализе тоже обычно сразу же покрывают всю территорию офиса, либо изначально прописывается полное покрытие (типо сейчас ставим 2 в офисе, через полгода 2 на складе, через год 4 в цеху)
Пока не сталкивался с типичной офисной сеткой где poe-хостов больше чем обычных, если только у каждого юзера не стоит по ip телефону в разрыв LANа

[ivalnew]

У меня вопрос. Вы писали выше про рекламацию. Это реально на SMB сериях?? Мы в некоторых точках и филиалах ставим SG, но это скорее вызвано тем, что быстрее пойти в магазин и купить на замену SG из наличия, чем ставить туда 2960 и если что-то случится ждать пока привезут замену. Хотя с SG проблем не было ещё, правда у нас их не больше десятка и им года по 2 всего, а то и меньше.

[Hebelz]

Не могу ничего сказать про СНГ, но в Европе все дистрибуторы Циски имеют подменный фонд, да и сам производитель рекламации проводит достаточно быстро

[ivalnew]

Я наверное неправильно выразился. Для enterprise подменка есть всегда. Также ли это с smb? Просто насколько я знаю при smb тебе не обязаны менять железку пока не пройдет экспертиза СЦ, собственно поэтому это и smb. Я ошибаюсь?

[Hebelz]

Если честно, не вникал в вопрос подменка это обязаловка или доброта душевная дилеров, не мой головняк. Но работаем с 3 дилерами и у всех есть подменка и в smb

[kakvampredlojenie]

В целом полезная статья, мне зашла. Для тех кто только вкатывается самое оно. Единственное что рассмотрел бы подобную историю НЕ из веб-интерфейса, думаю объяснять почему всё на практике настраивается из командной строки не нужно.

[Hebelz]

Выше уже упоминал, что функционал консоли в этом модельном ряде достаточно скудный

[ivalnew]

На начальных моделях SG консоли вообще нет

[kakvampredlojenie]

А ну тогда прошу прощения, начальные модели никогда не трогал.