Объединение Vlan

Обсуждение ПО и его настройки
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Читаю Вас и не понимаю Ваше описание(Ваши желания):

у Вас есть:
а) виланы, их много, Вы хотите их сократить, виланы это L2-уровень
б) IP-адресация, их тоже не мало, Вы хотите увеличить размер сети (иную маску),это L3-уровень.

Так вот не совсем я понимаю как, оперируя инструментами на L2-уровне, Вы хотите добиться что-то на L3?

Я пока так вижу (в теории):
а) на ближайшем свитче управляемом (от микротика) Вы нарезаете виланы и подаёте их в микротик
б) на микротике каждый вилан принимаете
в) создаёте два бриджа, один бридж - для Ваших виланов, второй бридж - для доступа/управления микротиком
г) в бридж первый засовываете все виланы (всё, трафик начнёт всех виланов смешиваться),
вот на этом бридже Вы должны задать все адреса которые есть во всех возможных виланах,
таким образом микротик будет везде, в каждой сети и уже сможете видеть/слышать трафик.
Петля может быть при этом, но тут надо понимать что можно смешивать, а что нельзя
д) на время таких моментов, к микротику лучше подключиться в отдельный порт напрямую
и этот порт добавить во второй бридж (который я описал как раз для управления).
Зачем нам бридж - бридж всегда активен (в UP'е) и всегда с мак-адресом, поэтому
со стороны компа Вы его не должны потерять.

А я - всё же не смешивал виланы, виланы штука отличная, у меня например вифи-сегменты в вилане,
но приходя в серверную, это обычные IP-сети, они за счёт маршрутизации доступны.

Лучше избавляться от виланов постепенно, взять один вилан, принять его, встать в его
сеть, ну и уже настраивать/изменять параметры сети и потом эту сеть (внутри вилана
вводить в общую сеть изменяя виланы на свитчах(удаляя вилан)).
Опять же, если скажем в вилане 10 компы настроены статически, то как, изменив этим
компам виланы на свитчах Вы увеличите сеть им? Поэтому Вы путаете одно с другим.

Ну и наличия большого домена коллизий (большая маска) обычно это всегда плохо ...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
denis.vodyakov
Сообщения: 12
Зарегистрирован: 31 май 2018, 05:39

Vlad-2 писал(а): 04 июн 2018, 06:22 Я пока так вижу (в теории):
а) на ближайшем свитче управляемом (от микротика) Вы нарезаете виланы и подаёте их в микротик
б) на микротике каждый вилан принимаете
в) создаёте два бриджа, один бридж - для Ваших виланов, второй бридж - для доступа/управления микротиком
г) в бридж первый засовываете все виланы (всё, трафик начнёт всех виланов смешиваться),
вот на этом бридже Вы должны задать все адреса которые есть во всех возможных виланах,
таким образом микротик будет везде, в каждой сети и уже сможете видеть/слышать трафик.
Петля может быть при этом, но тут надо понимать что можно смешивать, а что нельзя
д) на время таких моментов, к микротику лучше подключиться в отдельный порт напрямую
и этот порт добавить во второй бридж (который я описал как раз для управления).
Зачем нам бридж - бридж всегда активен (в UP'е) и всегда с мак-адресом, поэтому
со стороны компа Вы его не должны потерять.
а) так и есть с Cicso забираю все нужные мне vlan на один порт mikrotik
б) принимаю, созданы Vlan10,Vlan20...
в) созданы
г) как только в бридж добавляю 2ой vlan микротик становится недоступен, только по МАК, при этом теряет связь с внешним миром.
д) так и сделано чтоб не потерять с ним связь
А я - всё же не смешивал виланы, виланы штука отличная, у меня например вифи-сегменты в вилане,
но приходя в серверную, это обычные IP-сети, они за счёт маршрутизации доступны.
да кто-ж спорит что штука отличная, я и не хочу от всех избавляться, смысл в том, что тот-же wifi или некоторые клиентские пк которые необходимо изолировать например целый отдел или подразделение они так и будут изолированы.

Но ситуация в следующем:
в одном кабинете скажем на 10 человек и на 10 человек может быть 10 vlan все это в одном здании одном кабинете, люди работают в одном отделе но находятся в разных Vlan, соответственно например чтоб отправить документ на принтер в том-же кабинете трафик сначала уходит через цепочку коммутаторов на маршрутизатор потом возвращается через ту-же цепочку но по другому маршруту обратно в искомый коммутатор но в другой vlan. так? а если бы vlan был один трафик дальше коммутатора не ушел бы.
Просто перекинуть клиента из одного в другой я не могу т.к. не хватает адресов в vlan, по этому и пришла мысль объединить самые ближайшие которые возможно сети сейчас у них маска у всех /24 а сети 10.0.1.0/24 10.0.2.0/24 10.0.3.0/24 ...

Мне кажется это было бы логичнее пусть они живут в маске /22 или /21 или /20
Опять же, если скажем в вилане 10 компы настроены статически, то как, изменив этим
все по DHCP в том числе настройки прокси :)

И все бы ничего но не пойму в чем проблема в пункте "Г"


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

в логах микротика есть ругань "синяя" ???



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
denis.vodyakov
Сообщения: 12
Зарегистрирован: 31 май 2018, 05:39

Vlad-2 писал(а): 04 июн 2018, 14:43 в логах микротика есть ругань "синяя" ???
в том и беда что нет :(
непонятно что происходит.
Наблюдал за процессом со стороны cisco предполагал что она порт гасит, порт активен.
Если добавить в мост пару vlan которых реально нет в сети или повешенных на другой порт микротика все отлично объединяется.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

denis.vodyakov писал(а): 04 июн 2018, 10:12 в одном кабинете скажем на 10 человек и на 10 человек может быть 10 vlan все это в одном здании одном кабинете, люди работают в одном отделе но находятся в разных Vlan, соответственно например чтоб отправить документ на принтер в том-же кабинете трафик сначала уходит через цепочку коммутаторов на маршрутизатор потом возвращается через ту-же цепочку но по другому маршруту обратно в искомый коммутатор но в другой vlan. так? а если бы vlan был один трафик дальше коммутатора не ушел бы.
Просто перекинуть клиента из одного в другой я не могу т.к. не хватает адресов в vlan, по этому и пришла мысль объединить самые ближайшие которые возможно сети сейчас у них маска у всех /24 а сети 10.0.1.0/24 10.0.2.0/24 10.0.3.0/24 ...

Мне кажется это было бы логичнее пусть они живут в маске /22 или /21 или /20
Как вам может адресов не хватать, если сейчас у вас в виланах маски /24 (по 256 адресов в каждом), а используется, судя по описанию по 1-2?

И если вы "объедините" виланы на микротике, не исправив ситуацию на всех коммутаторах, маршрут прохождения трафика от компьютера до принтера не изменится.
Он по прежнему будет идти от компьютера по одному маршруту до микротика. А там завернет в другой вилан, и по другому маршруту вернется на принтер.
Вы только хотите поменять логику "заворачивания" в другой вилан.

Начните с самых удаленных коммутаторов, и объединяйте виланы там. Адресов вам хватит.
Последними правьте транковые порты, соединяющие коммутаторы между собой.

А описание поведения может говорить, например, о том, что на каком-то из коммутаторов пара-другая виланов уже объединена. И когда вы дублируете "объединение" на микротике, получаете петлю.


denis.vodyakov
Сообщения: 12
Зарегистрирован: 31 май 2018, 05:39

Erik_U писал(а): 05 июн 2018, 06:29 Как вам может адресов не хватать, если сейчас у вас в виланах маски /24 (по 256 адресов в каждом), а используется, судя по описанию по 1-2?
С чего вы взяли что 1-2 адреса то? вам список мак-адресов с их соответствием ип выложить? на чем основана данное утверждение?

И если вы "объедините" виланы на микротике, не исправив ситуацию на всех коммутаторах, маршрут прохождения трафика от компьютера до принтера не изменится.
Он по прежнему будет идти от компьютера по одному маршруту до микротика. А там завернет в другой вилан, и по другому маршруту вернется на принтер.
Я это прекрасно понимаю и знаю, еще раз объедение необходимо для того чтоб не было простоя, организация работает 24 часа без выходных, непрерывный цикл производства плюс филиальная сеть в разных часовых зонах. (каналы связи самые разные: собственные оптические линии, арендованные линии, vpn) если я начну перенастраивать коммутаторы то пользователям придется ждать пока закончатся настройки. перенастроив все коммутаторы нужно перенастроить маршруты в итоге получится что кто-то не сможет работать. А вот если все необходимые Vlan объединить мостом то перенастраивать коммутаторы сразу не нужно сеть заведется, потом заходим и по очереди меняем всех в один или я не прав? при этом почти никто ничего не заметит будет работать дальше.

Для примера если объединять по одному например имем vlan6 с сетью 10.0.6.0/24 и vlan7 с сетью 10.0.7.0/24 по сути можно их запихнуть в один хоть vlan6 хоть vlan7 с маской /23 так?
Но чтоб это сделать мне нужно будет:
1. допустим выбрали vlan7 расширить ему маску вместо /24 сделали /23
2. нужно зайти на каждый коммутатор и изменит всем пользователям vlan6 на vlan7 а их на минуточку 253
3. чтоб расшириться дальше нужно уже vlan: 4-5 одновременно перенести в 7 итого это уже 506 адресов снова ручками бегать а пользователь пусть курит?
4. молчу про кашу с маршрутами которая получится когда я начну перенастраивать: в 6ом будет /24 а в 7ом /23 и 7ой будет включать в себя диапазон адресов 6ого.

Но если бы они были в мосту все эти vlan я бы спокойно прошелся по всем коммутаторам и изменил все необходимые 1-2-3-4-5-6 например на 7 и кто-то что-то заметит? работа при рвется?
Вы только хотите поменять логику "заворачивания" в другой вилан.
вообще не понимаю о чем вы :(
Начните с самых удаленных коммутаторов, и объединяйте виланы там. Адресов вам хватит.
Последними правьте транковые порты, соединяющие коммутаторы между собой.
Про удаленные описал выше, нету у меня свободных адресов, а если и есть они измеряются не 100 в лучшем случае по 10 адресов в каждом в некоторых вообще нет свободных.
И второй момент на самых удаленных та-же каша пересекаются vlan1 и vlan7 и как я их объединю? в первом весь пул занят в 7ом тоже, распихивать по разным потом снова по 1-5штук на возможно высвобожденные адреса это бред.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

denis.vodyakov писал(а): 05 июн 2018, 07:30 С чего вы взяли что 1-2 адреса то? вам список мак-адресов с их соответствием ип выложить? на чем основана данное утверждение?
Вы сами об этом сказали.
denis.vodyakov писал(а): 05 июн 2018, 07:30в одном кабинете скажем на 10 человек и на 10 человек может быть 10 vlan
Но выложите, конечно. Ни разу не видел сетку в 2,5 тыс хостов, замкнутую на один микротик, и без грамотного администратора. :)
denis.vodyakov писал(а): 05 июн 2018, 07:30вообще не понимаю о чем вы :(
Вам можно пропустить шаг "объединения виланов". У вас и так работает маршрутизация. Займитесь сразу с убивания лишних виланов целиком.

denis.vodyakov писал(а): 05 июн 2018, 07:30Про удаленные описал выше, нету у меня свободных адресов, а если и есть они измеряются не 100 в лучшем случае по 10 адресов в каждом в некоторых вообще нет свободных.
И второй момент на самых удаленных та-же каша пересекаются vlan1 и vlan7 и как я их объединю? в первом весь пул занят в 7ом тоже, распихивать по разным потом снова по 1-5штук на возможно высвобожденные адреса это бред.
В одном вилане поменяйте адресацию. У вас же там все одно - дхцп. Сделайте одному вилану маску пошире, если это действительно требуется.
Потом переносите хосты в него, убивая освободившийся вилан сначала на одном устройстве, потом вообще.
Вы пишите уже дольше, чем это делать.

+ если у вас действительно 2,5 тыс хостов, вы спланируйте сначала новое распределение по виланам. Т.к. он явно должен остаться не один.
А потом просто перераспределите между виланами порты, чтобы в одном кабинете пользователи в одном вилане сидели.
Вам может и маски менять не придется. А изменения делайте ночью, когда пользователи не мешают вам, а вы им.


denis.vodyakov
Сообщения: 12
Зарегистрирован: 31 май 2018, 05:39

Erik_U писал(а): 05 июн 2018, 07:43 Вы сами об этом сказали.
Когда и где я об этом говорил?
в одном кабинете скажем на 10 человек и на 10 человек может быть 10 vlan
это никак не говорит о том что только для каждого человека специально заведен отдельный vlan :)
Но выложите, конечно. Ни разу не видел сетку в 2,5 тыс хостов, замкнутую на один микротик, и без грамотного администратора. :)
Я не говорю что он один :) я лишь привожу пример того что нужно реализовать

не 2,5 к адресов но небольшой сегмент сети с количеством выданных по dhcp адресов одним из микротиков пожалуйста:

Изображение
Вам можно пропустить шаг "объединения виланов". У вас и так работает маршрутизация. Займитесь сразу с убивания лишних виланов целиком.
если можно подробнее может быть реально именно это и вводит меня в ступор по которому не смог сообразить сам и решил попросить помощи, я реально не могу понять как мне это сделать?
В одном вилане поменяйте адресацию. У вас же там все одно - дхцп. Сделайте одному вилану маску пошире, если это действительно требуется.
Потом переносите хосты в него, убивая освободившийся вилан сначала на одном устройстве, потом вообще.
Вы пишите уже дольше, чем это делать.
то-есть все-таки оставить без работы добрые 250 человек?
Как только я расширю маску и сменю настройки DHCP люди из vlan6 тупо не смогут работать :) куда они будут ломиться? как будет маршрутизироваться трафик?
Вот реально может быть из-за того что я именно этот момент не понимаю я и не могу понять как сделать лучше.
По поводу пишу дольше чем сделать, так кто-ж вам без четкого плана разрешит что-то делать не проверив и не протестировав. Изначально идея и была объединить нужные произвести настройки коммутаторов избавится от ставших лишними и двигаться дальше.

P.S> увы работаю с тем что досталось и хочу привезти в порядок, не могу понять как лучше поэтому и прошу помощи.
Ломать сеть никто не разрешит, работать по ночам можно но это заденет тех кто находится в других часовых поясах, соответственно все нужно согласовывать. просто поменять маску без объединения vlan ник чему не приведет трафик потечет только в один из vlan
И еще раз подчеркиваю мне не нужно объединять все, мне нужно объединить именно ту часть которая реально представляет собой именно один сегмент сети а это как-раз и наберется 2,5к хостов а по мимо них есть отдельные сегменты которых нет необходимости мешать в одну кучу.
В любом случае wi-fi, телефония и прочее останутся в отдельных vlan, подразделения, или отделы соответственно тоже.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

denis.vodyakov писал(а): 05 июн 2018, 08:10
если можно подробнее может быть реально именно это и вводит меня в ступор по которому не смог сообразить сам и решил попросить помощи, я реально не могу понять как мне это сделать?
Объясняю на примере трубопровода.

У вас есть 10 труб, по которым течет вода. Они приходят все на одну гребенку с 10 кранами.
Это маршрутизатор.
Вы хотите гребенку с кранами поменять на гребенку без кранов, чтобы "объединить виланы".
Но вода все равно будет течь по 10 разным трубам до гребенки.
После объединения виланов таким способом более которкого пути для попадания из одной трубы в другую (от компьютера к принтеру) не появится. Все равно, только через гребенку. С кранами, или без - строго через гребенку.

Так понятно?

Задача у вас - из 10 труб сделать 3, увеличив их сечение. Для решения этой задачи шаг с заменой гребенки с кранами на гребенку без кранов можно пропустить.
denis.vodyakov писал(а): 05 июн 2018, 08:10то-есть все-таки оставить без работы добрые 250 человек?
Как только я расширю маску и сменю настройки DHCP люди из vlan6 тупо не смогут работать :) куда они будут ломиться? как будет маршрутизироваться трафик?
Ну, к примеру, есть у вас 10 виланов. с сетями 10.0.1.0/24; 10.0.2.0/24; 10.0.3.0/24; 10.0.4.0/24; 10.0.5.0/24; 10.0.6.0/24; 10.0.7.0/24; 10.0.8.0/24; 10.0.9.0/24; 10.0.10.0/24;
И пользователей в них много, и все работают через DHCP. Сами показали. Не отпирайтесь. Работают через DHCP.

Однажды ночью, когда пользователи спят, вы злостно, но профессионально в первом вилане коварно меняете адресацию с 10.0.1.0/24 на 10.1.0.0/16 с количеством хостов 65536.
Так же профессионально, и не менее коварно перенастраиваете DHCP для этого вилана, выдав ему пул на тысяч 50 хостов (если 15 тысяч резерва для статики вам достаточно), и маршрутизацию. Ее особенно професионально и коварно.

Когда ваши пользователи утром придут на работу, они только по блеску ваших красных невыспавшихся глазок должны догадаться, что началась новая эра. А по работе их ПК и сети - нет.

А дальше вы составляете себе график, в соответствии с которым успеваете до отпуска поочередно убить лишние виланы, добавив порты от них в этот вновь созданный. В котором заведомо (ЗАВЕДОМО!!!) хватает пула IP с многократным запасом.

Могу на примере молочной фермы рассказать. Если опять не поймете. Там один и тот же аппарат с правого соска на левый переключают без перенастройки и ущерба для качества конечной продукции.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

К сценарию от Erik_U добавлю лишь советы:

а) в настройках DHCP уменьшить за сутки-двое время аренды, то есть если в Вашем DHCP стоит аренда
3 дня, надо за 4-5 дней(минимум) уменьшить и выдавать адрес(аренду) на 30-40 минут или даже меньше,
да, нагрузка на DHCP возрастёт, но зато машины будут быстрее переходить на новую адресацию (в рамках новых масок).

б) почти такой же совет и с DNS'ами, если у Вас они используются при динамическом изменении, то
тоже надо TTL лучше уменьшить заранее, чтобы всё это быстро обновлялось.

б.2) проверить маски описанные в DNS-сервере на разрешённость работы, то есть сеть Вы расширили,
комп получил адрес из "нового" пространства, а в DNS стоит пускать/отвечать только "старым" (коротким)
сетям. По себе знаю, тоже на это нарывался, поэтому тоже имейте ввиду.

б.3) всё что описал в б.2 - справедливо и про файрвол и прочее, новая маска = новая сетка, всё надо проверять,
и смотреть, чтобы ничего не "резалось" и не "дропалось".



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить