аукцион / FPR / donate / услуги / RSS / распечатать / вход 
Мой мир
Вконтакте
Одноклассники

[2 декабря 2019 | 6 декабря 2019 | 17 декабря 2019]

Составление IP-плана для малого предприяния

Недавно помогал одному системному администратору настраивать маршрутизатор одной не безызвестной компании. И решил до прихода к нему получить детальное техническое задание, чтобы не решать массу параллельных вопросов по приходу и не оставить человека обиженным. Но в очередной раз столкнулся с тем, что у начинающих сисадминов странное понимание топологии своей сети и то, что они не доверяют таким проверенным механизмам как DHCP и стремятся использовать статические IP-адреса. По этому когда я запросил у человека IP-план сети он развёл руки и сказал, что нет такого и, что у него везде всё руками прописано. Забавно, что даже имена серверов были внесены в файлы hosts на компах руками.

По этому я бы хотел написать небольшую заметку о том как я развожу локальные сети и намечаю IP-план. Для начала необходимо определить будут ли использоваться VLAN, есть ли необходимость в дополнительной изоляции подсетей, будут ли использоваться устройства без выхода в интернет и нужны ли дополнительные управляемые коммутаторы. Уже после этого можно строить IP-план. Он пригодится даже для маленьких компаний, в которых нет необходимости жестких ограничений и нет параноидальной системы безопасности. Вот о таких сетях я и хочу поговорить.

В небольших компаниях редко используется два провайдера, по этому подойдёт практически любой роутер. В нашем же случае было два провайдера и около полусотни сетевых устройств. Ранее переключение осуществлялось ручным перетыканием кабеля локальной сети в один из двух роутеров. Также использовалось несколько неуправляемых свитчей соединённых грозью. Всё это хозяйство заменили Cisco 1911 с дополнительной сетевой четырёхпортовой платой и Cisco Catalist 2960-48. После монтажа всё приобрело красивый и эстетичный вид.

Но вернёмся к IP-плану. Так как устройств не много, то я выделю под неё подсеть класса C состоящую из 256 адресов. Для наглядности я всё сведу в таблицу.

Группа IP Назначение
192.168.*.1 Шлюз.
192.168.*.2 Свитч ядра сети.
192.168.*.3 Сервер Hyper-V.
192.168.*.4-19 Физические устройства, серверы, точки доступа.
192.168.*.20-29 Виртуальные серверы.
192.168.*.30-49 IP-телефония и/или встраиваемые устройства с выходом в интернет.
192.168.*.50-100 Внешние пользователи PPTP и/или L2TP.
192.168.*.101-191 Внутренние пользователи получающие адреса по DHCP.
192.168.*.192-249 Принт-серверы, сетевые МФУ, иные сетевые устройства которым запрещён выход в интернет.
192.168.*.250-254 Резерв для дополнительных свитчей и роутеров без доступа к интернету.
192.168.*.255 Бродкастовый адрес.

Для небольшой компании подобного IP-плана более чем достаточно. В случае если компания содержит большое количество сотрудников, которых необходимо «развести» по разным изолированым подсетям, или есть серверная ферма, или большое количество удалённых пользователей, то будет совершенно иной IP-план. В нём нужно будет выделить несколько VLAN в которых будут работать эти устройства и компьютеры.

Во время написания статьи друзья спрашивали почему подсеть для устройств не имеющих выход в интернет имеет такую странную адресацию от 192 до 255. Дело в том, что при написании ACL для Cisco сложно оперировать диапазонами IP-адресов. Может быть у меня нет такого опыта, но задать диапазон я могу используя object-groups и это сразу уменьшает читаемость кода. Так же можно было добавить 50 запрещающих правил, которые могут никогда не сработать при типовой настройке сети. И я банально выделил подсеть из 64 IP-адресов которым будет запрещён доступ в интернет всего одной строчкой.

deny ip 192.168.*.192 0.0.0.63 any

Возможно я продолжу описание подобных вопросов в качестве заметок для заказчиков админов, дабы не обьяснять на пальцах целый час, что же я от них хочу получить.

Тэги: ИТ, Cisco

Отредактировано:2020-09-07 06:02:28




12 комментариев
Имя: Алексей 🖉
И в такой маленькой компании есть отдельный сисадмин? Если честно, я не вижу, чем его можно занять, когда сеть работоспособна и настроена. Не проще ли и дешевле отдать сисадминство на аутсорс?
Комментарий оставлен: 2019-12-06 00:00:00


Имя: Orcinus Orca 🖉
Алексей, там пара филиалов. А Оутсорс отказывается ставить палёный Автокад, Винду и офис. Помимо сети есть ещё масса заданий которые вменяют админам.

Я в этой конторе ещё планирую обучить админа VPN site-to-site, чтобы связать оба их офиса и упростить документооборот. Потом предложу PPTP/L2TP для юзеров, а не как сейчас через TeamViewer.

А вот на IP-телфонию пока не согласны. Но это придёт со временем.
Комментарий оставлен: 2019-12-06 00:00:00


Имя: Алексей 🖉
хм, оказывается, ещё остались конторы, использующие палёный софт. Некоторые любят играть с огнём.
Комментарий оставлен: 2019-12-09 00:00:00


Имя: Orcinus Orca 🖉
Алексей, если часть контор купит всё ПО, то и смысла что-то разрабатывать у них не будет, так как люди бесплатно работать не станут.
Комментарий оставлен: 2019-12-09 00:00:00


Имя: Алексей 🖉
Вообще-то, это не аргумент. Софт должен быть лицензионным и легальным. Иначе это мина замедленного действия. Любой сигнал "куда надо" или проверка могут поставить крест на всём бизнесе. В конце концов, лицензии что на винду, что на Автокад стоят не таких уж и больших денег.

Я думал, что в России отучили от использования нелицензионного ПО ещё лет десять назад, когда стали массово привлекать к администратике установщиков-фрилансеров. У меня бывший однокашник так "попал". Ставил винду в одной фирме и его "приняли". Отделался административкой, но потом ещё и налоговая насчитала долгов по налогам за несколько лет.
Комментарий оставлен: 2019-12-10 00:00:00


Имя: Orcinus Orca 🖉
Алексей, поверь в некоторых конторах вопрос либо зарплата сотрудникам, либо лицензионное ПО. По этому, звонки "куда надо" совершают только разгневанные зарплатой сотрудники. Плюс органы за пару месяцев до прихода с проверкой уведомляют о том, что будет проводиться проверка о данных нарушениях и просят написать список людей ответственных за доступ к компьютерам и имеющих возможность установить ПО.

Опять же они пользуются прогой Defacto которую еще надо запустить и если она не запустится, то они откладывают визит на потом. Иногда скручивают винты на проверку.
Комментарий оставлен: 2019-12-10 00:00:00


Имя: Алексей 🖉
Понятно :) Извечная русская история: суровость законов компенсируется необязательностью их выполнения.

Хотя, как ты говорил, фрилансеры с палёным софтом всё-таки предпочитают не связываться. Так что штатные сисадмины остаются заложниками ситуации.
Комментарий оставлен: 2019-12-10 00:00:00


Имя: Orcinus Orca 🖉
Алексей, не фрилансеры, а оутсорсеры. Фрилансерам по барабану.
Комментарий оставлен: 2019-12-11 00:00:00


Имя: Алексей 🖉
Ну, по барабану им до следующей кампании по борьбе с пиратским ПО.
Комментарий оставлен: 2019-12-11 00:00:00


Имя: Orcinus Orca 🖉
Алексей, там на директоров всё сыпется. Контору штрафуют, она закрывается.
Комментарий оставлен: 2019-12-12 00:00:00


Имя: Алексей 🖉
Для неосредственного технического исполнителя тоже ответственность предусмотрена. Бывали уже прецеденты.
Комментарий оставлен: 2019-12-12 00:00:00


Имя: Orcinus Orca 🖉
Алексей, это если он есть, а если нет никакой информации, то только директор. Опять же сейчас многие вещи решаются в досудебном порядке. Компания-представитель, а это обычно одна юридическая контора которая представляет сразу тучу компаний с которой сотрудничает МВД обычно предлагает мировую с последующей покупкой всего софта. Так же анализ изьятых дисков проводит не сторонняя контора, а контора которая сотрудничает с правообладателями. Есть хороший пример когда они написали, что на компе установлено два Автокада 2013 (и на обеих копиях указан одинаковый каталог). Тот факт, что две установки одного и того же автокада невозможно так как его инсталятор этого не позволит к вниманию приняты небыли. Даже факт того, что не может одна прога быть дважды в один каталог установлена следователь не понял. Там понятно было, что "специалисту" надо было перевалить порог в миллион рублей, по этому так и оформили.
Комментарий оставлен: 2019-12-13 00:00:00



Этот сайт использует файлы cookies, чтобы упростить вашу навигацию по сайту, предлагать только интересную информацию и упростить заполнение форм. Я предполагаю, что, если вы продолжаете использовать мой сайт, то вы согласны с использованием мной файлов cookies. Вы в любое время можете удалить и/или запретить их использование изменив настройки своего интернет-браузера.

Сообщайте мне о замеченных ошибках на: web@orcinus.ru. Все пожелания и советы будут учтены при дальнейшем проектировании сайта. Я готов сотрудничать со всеми желающими. В некоторых случаях, мнение автора может не совпадать с мнением автора! Phone: +7-902-924-70-49.

Top.Mail.Ru
Top.Mail.Ru LiveInternet Rambler's Top100 Яндекс.Метрика