1) Нужна еще отдельная подсеть под телефонию, нехорошо гонять телефонный трафик в общей сети, особенно, если никто не заморачивается TLS+SRTP или OpenVPN между телефонами и АТС. 2) Нужна отдельная подсеть под умное сетевое оборудование (традиционно: management vlan), нехорошо, когда есть доступ из общей сети к вебмордам свичей и маршрутизаторов. 3) Нужна отдельная подсеть под сеть безопасности, куда вынести СКУД, камеры, сервер СКУД и сервер видеонаблюдения. Держать их в общей сети тоже неправильно. 4) Усложняем задачу: Теперь у нас не один офис, а ЦОД и 3-4 распределенных офиса. Тогда, что-бы не упарываться в NAT, нам нужно выделить минимум по 5 непересекающихся подсетей в каждом офисе. В итоге, по мере масштабирования, такая схема разрастется до охренительно большого количества отдельных подсетей, в которых все будут путаться.
поэтому никто не выносит скуд и камеры, все крутится внутри видел в одной госконторе класс ц поделен на подсети для инторнета, телефонов, управление и все это для одного филиала, а их много я пожелал рака анальной жопы тому, кто это все проектировал
@@yurityumin2216 ну я в перерывах между изучением трафик инжиниринга в ospf с помощью p/n бита в nssa зонах и mpls te смотрю данные видео Сергея Геннадиевича и мне хорошо.
Через списки доступа (или ACL) на маршрутизаторе. По этой теме есть много текста и видео. Но тоже было бы интересно послушать эту тему от Геннадьевича.
Отлично рассказываешь! Расскажи про L2, L3 L3-коммутаторы. Расскажи про устройство Cisco, которое ставят перед портом с белым Ip. Что-то там L7 Cisco... Спасибо!
Можно про мониторинг рассказать в очередном видосе. Мониторинг серверной инфраструктуры это отдельная тема, интересно было бы про мониторинг именно сети. Что мониторите, что не мониторите умышленно, какие протоколы используете, есть ли централизованный сбор логов по сетевому оборудованию, есть ли анализ логов, что в качестве системы мониторинга, какие есть проблемы мониторинга и т. д.
Разделяй и властвуй. Всё чётко и понятно,спасибо Хотелось бы увидеть про то какое железо покупать в 2020 для среднего офиса (точки доступа,коммутаторы для access сегмента,etc) 👍
Стандартная проблема с сетями типа 192.168.1.0 - это когда уже построена корп. сеть, но нужно подключать клиентов по впн и сети пересекаются (т.е. и там и там 192.168.1.0). Как решить не ломая корп сеть? (на клиентских роутерах изменить подсеть тоже не вариант - привет МГТС, который не оставляет пароли в админку роутера).
врятли будет такое, что трафика будет конский. Пользователи в среднем едят 2-3 мб/c и это 300 пользаков должны пойти на ресурс за портом одновременно. Тут как не очень хорошее решение это port-channel(объединение 2х интерфейсов в логический единый интерфейс), но балансировка у него скудная, закуп свича с 10гб портом это самое хорошее решение, либо распределение нагрузки по разным портам(с назначением отдельного влана и отдельной подсети для серверов к примеру).
для этого используется свитч л3 и маршрутизация между вланами это конечно если фаерволл не нужен иначе свитч с портом 10гбит и какой-нибудь мощный маршрутизатор на х86
Сейчас же, вроде, модно маршрутизировать вланы на коммутаторе, ибо коммутатор работает намного быстрее маршрутизатора. Или я не в тренде? Ну и вопрос- как правильно организовать подсеть для iSCSI? Т.е. как правильно добавить эту подсеть на контроллер домена и где там можно споткнуться? В начальных цисках есть какая-то функция оптимизации iSCSI-трафика- стоящая фича или нет?
@@Power_Lamer ага тип того. Влан сущность не маршрутизируемая, а то что на вашем 3com L3 свитче можно было влан интерфейсы создавать и вешать туда адреса, вовсе не значит что “вланы маршрутизировались”
Здравствуйте Сергей , скажите пожалуйста у вас есть учебные курсы по настройки сети ,настройка серверов и настройка межсетевых экранов я очень хочу научится.
Есть две неплохие книги. CCNA ICND1 и CCNA ICND2 (Официальное руководство Cisco по подготовке к сертификационным экзаменам). Они на русском языке и можно найти в сети.
Не понятно немного. Если сервера и пользователи в разных вланах, а пользователям надо доступ на сервер, то как это сделать? Ну или если сервер и СХД в разных вланах а серверу нужен доступ в СХД. P.s. с вланами только начинаю разбираться, полный чайник ещё:)
2020г. сеть меньше чем 1G моветон. когда надо гонять большей трафик обычо гоняют на L2. если надо L3 о 1G хватит. не хватает 1G то обычно админ уже знает что делать.
![“อาร์ต พศุตม์” เกือบเอี่ยวทุกคดีดัง เอ๊ะไว้ก่อน ไม่มีอะไรได้มาง่ายๆ | แฉ 16 ต.ค. 67 [2/3] | GMM25](http://i.ytimg.com/vi/0Gx-0-kUBv8/mqdefault.jpg)
Продолжайте пожалуйста тему сетей, особенно про Cisco. Это очень интересно.
1) Нужна еще отдельная подсеть под телефонию, нехорошо гонять телефонный трафик в общей сети, особенно, если никто не заморачивается TLS+SRTP или OpenVPN между телефонами и АТС.
2) Нужна отдельная подсеть под умное сетевое оборудование (традиционно: management vlan), нехорошо, когда есть доступ из общей сети к вебмордам свичей и маршрутизаторов.
3) Нужна отдельная подсеть под сеть безопасности, куда вынести СКУД, камеры, сервер СКУД и сервер видеонаблюдения. Держать их в общей сети тоже неправильно.
4) Усложняем задачу: Теперь у нас не один офис, а ЦОД и 3-4 распределенных офиса. Тогда, что-бы не упарываться в NAT, нам нужно выделить минимум по 5 непересекающихся подсетей в каждом офисе. В итоге, по мере масштабирования, такая схема разрастется до охренительно большого количества отдельных подсетей, в которых все будут путаться.
поэтому никто не выносит скуд и камеры, все крутится внутри
видел в одной госконторе класс ц поделен на подсети для инторнета, телефонов, управление и все это для одного филиала, а их много
я пожелал рака анальной жопы тому, кто это все проектировал
у меня в университете 1 влан на каждую аудиторию\группу пользователей.
получается около 500 вланов
IPAM позволяет не путаться. мне норм, удобно
Добрый день. Спасибо за урок, очень познавательно! Сейчас как раз готовлюсь к CCIE, очень актуально!
Кто готовится к ccie, проходил это несколько лет назад.
@@yurityumin2216 ну я в перерывах между изучением трафик инжиниринга в ospf с помощью p/n бита в nssa зонах и mpls te смотрю данные видео Сергея Геннадиевича и мне хорошо.
Спасибо! Еще бы раскрыть тему по маршрутизации в плане разрешений. Как зарезать или открыть доступ к тем или иным сетям
Через списки доступа (или ACL) на маршрутизаторе. По этой теме есть много текста и видео. Но тоже было бы интересно послушать эту тему от Геннадьевича.
Доступно и понятно. Спасибо
Спасибо, очень интересно, а можно про микротик по подробнее, ну там на 60-80 пользователей, и плюс на пару серверов
Отлично рассказываешь! Расскажи про L2, L3 L3-коммутаторы. Расскажи про устройство Cisco, которое ставят перед портом с белым Ip. Что-то там L7 Cisco... Спасибо!
Сергей Геннадьевич очень крутой формат!.Хочется еще видео на данную тематику ))
Можно про мониторинг рассказать в очередном видосе. Мониторинг серверной инфраструктуры это отдельная тема, интересно было бы про мониторинг именно сети. Что мониторите, что не мониторите умышленно, какие протоколы используете, есть ли централизованный сбор логов по сетевому оборудованию, есть ли анализ логов, что в качестве системы мониторинга, какие есть проблемы мониторинга и т. д.
Стандарт на zabbix, netflow и т.д
Хороший вопрос. Было бы интересно про это послушать.
я ,прожал гребанный колокольчик ,хотя половина из сказанного не понял ,но было интересно !)
Спасибо за видео!
Офигенско, может поподробнее о 802,1X?
Разделяй и властвуй.
Всё чётко и понятно,спасибо
Хотелось бы увидеть про то какое железо покупать в 2020 для среднего офиса (точки доступа,коммутаторы для access сегмента,etc)
👍
вы лучший и самый интересный ютубер у меня тоже есть недо серверная для игры на которой я зарабатаваю
Спасибо Вам Сергей Геннадьевич))))
Интересно 🤔👌
Стандартная проблема с сетями типа 192.168.1.0 - это когда уже построена корп. сеть, но нужно подключать клиентов по впн и сети пересекаются (т.е. и там и там 192.168.1.0). Как решить не ломая корп сеть? (на клиентских роутерах изменить подсеть тоже не вариант - привет МГТС, который не оставляет пароли в админку роутера).
В бэстпрактис маршрутизаторов написано просто не использоаать их :)
Полезная информация 👍
Давно бы так! Ждем to be continued....
Не хватает примеров с оборудованием какое использовать на какое количество пользователей
А если трафик между вланами конский к примеру, а порт у маршрутизатора гигабитный
врятли будет такое, что трафика будет конский. Пользователи в среднем едят 2-3 мб/c и это 300 пользаков должны пойти на ресурс за портом одновременно.
Тут как не очень хорошее решение это port-channel(объединение 2х интерфейсов в логический единый интерфейс), но балансировка у него скудная, закуп свича с 10гб портом это самое хорошее решение, либо распределение нагрузки по разным портам(с назначением отдельного влана и отдельной подсети для серверов к примеру).
для этого используется свитч л3 и маршрутизация между вланами
это конечно если фаерволл не нужен
иначе свитч с портом 10гбит и какой-нибудь мощный маршрутизатор на х86
Сейчас же, вроде, модно маршрутизировать вланы на коммутаторе, ибо коммутатор работает намного быстрее маршрутизатора. Или я не в тренде? Ну и вопрос- как правильно организовать подсеть для iSCSI? Т.е. как правильно добавить эту подсеть на контроллер домена и где там можно споткнуться? В начальных цисках есть какая-то функция оптимизации iSCSI-трафика- стоящая фича или нет?
Маршрутизировать вланы на коммутаторе это чтото новенькое конечно
@@inestaque что, правда? Был у меня коммутатор 3com 2008 года, так он вполне себе умел такие фокусы.
@@Power_Lamer ага тип того. Влан сущность не маршрутизируемая, а то что на вашем 3com L3 свитче можно было влан интерфейсы создавать и вешать туда адреса, вовсе не значит что “вланы маршрутизировались”
@@inestaque зачёт.
@@inestaque L3 маршрутирирует без проблем
Здравствуйте Сергей , скажите пожалуйста у вас есть учебные курсы по настройки сети ,настройка серверов и настройка межсетевых экранов я очень хочу научится.
я не делаю учебные курсы, только платные консультации или консалтинг
Если есть сервер видеонаблюденияя со 100 камерами, куда его лучше запихнуть чтоб не грузил сетку
Отдельный Алан и отдельная пдсеть
Ну скорее не мы привыкли-а нам выделили их
Посоветуйте что-нибудь почитать по сетям. Пробовал несколько раз олиферов но что-то как-то не получается.
Есть две неплохие книги. CCNA ICND1 и CCNA ICND2 (Официальное руководство Cisco по подготовке к сертификационным экзаменам). Они на русском языке и можно найти в сети.
8:36 Кстати ☝️ так и сейчас смотрю.
Физически все сети подвешены на один интерфейс на маршрутизаторе? На этом интерфейсе 4 ИП адреса с каждой подсети?
да
да. В терминологии Cisco это subinterfaces (подинтерфейсы, сабинтерфейсы)
Топ
Asa не любит саб интерфейсы. По этому в корпортивке не накидывают с ксзи сабинтерфейсы.
Хуйня это все, если сделано рукожопо то и работать будет криво. У меня 12 лет асы на Сабах работают и норм.
@@Сергей-Геннадьевич ксзи разворачивали чтобы так утвержадть?
@@unnamedunnamed1382 не нах мне такое счастье
Не понятно немного. Если сервера и пользователи в разных вланах, а пользователям надо доступ на сервер, то как это сделать? Ну или если сервер и СХД в разных вланах а серверу нужен доступ в СХД.
P.s. с вланами только начинаю разбираться, полный чайник ещё:)
это не вланы, это маршрутизация. 98% случав проблем не возникает. 1% проблем говнософт и 1% придурь в голове или у админа или у руководства.
чтобы трафик гулял между вланами, нужно устройство 3 уровня либо коммутатор L3, либо маршрутизатор.
А если нам нужно гонять большой трафик между вланами. То это получается все пойдёт через один порт маршрутизатора
2020г. сеть меньше чем 1G моветон. когда надо гонять большей трафик обычо гоняют на L2. если надо L3 о 1G хватит. не хватает 1G то обычно админ уже знает что делать.
@@unknownunknown-sn4kk использовать коммутатор l3
@@unknownunknown-sn4kk трафик на л2 гоняют между влан?. Вай батенька с такими знаниями ..... .ставят л3 и накидывают маршрутизацию с accec
@@unnamedunnamed1382 сам придумал сам додумал сам ответил сам поржал) молодец
Tacacs+ или radius что лучше Сергей Геннадьевич?
Первый современный вариант
2:19 -а не 172.31.255.255 случайно?
👍
+
Сразу извиняюсь, что не смотрел полностью, а пролистал, но а как же - 100.64.0.0/10?
выпивший походу
192.168.0.0/24 идёт
А не лучше ли использовать для сети хранения данных fibre channel 8gb и более?
потому что он пиздец как дорогой и в IP не интегрируеться