Архив форумов ЦИТФорума

[koral]

Добрый день!
Мне нужна консультация специалиста по сетевым коммуникациям.
В сети нашей организации более 300 рабочих станций и несколько серверов. Практически в центре (физически) находится HP AdvanceStack Switch 2000, все порты которого настроены на одну VLAN (DEFAULT_VLAN). Серверы подключены к этому Switch напрямую, а рабочие станции через коммутаторы HUB. За последнее время было несколько аварийных ситуаций, связанных с одним из серверов на базе Win2000 –работающему по протоколу TCP/IP. Кабельный тестер показал загрузку сети -49-51%, в результате были недоступны и другие серверы (Novell NetWare –протокол IPX). У нас есть критический участок сети, работающий в основном с Novell, остановка которого может привести к большим затратам.
Если предложение настроить разные порты Switch на разные VLAN, так чтобы Novell оказался в одной VLAN с критическим участком, а Win2000 в другой VLAN.
Верны ли предположения, что в случае разделения портов Switch на две или более VLAN и подключения серверов в разные VLAN мы получим :
1. Уменьшение трафика (увеличение скорости реакции) в отдельно взятых VLAN.
2. В случае большой загрузки из за аварии на Win2000 (пока не разобрались), другие. VLAN не пострадают и доступ к Novell не прекратится (из той VLAN где находится сервер).
3. Нам не понадобится использовать внешний router для передачи пакетов IPX между разными VLAN, либо в качестве IPX router может выступать сервер Novell с двумя сетевыми картами, подключенными к разным VLAN.
Какие ещё приемушества и недостатки при разделении на VLAN.

Спасибо.

С уважением специалист отдела информационных систем
Александр Корсунов koral@volga.ru

отвечать лучше по почте

[and3008]

1. Уменьшение трафика не будет. Будет увеличение за счет передачи допонительных тэгов и анализ этих тэгов в свиче вызовет еще большую "тормознутость".

2. Аварийная ситуация W2K теоретически не должна была повлиять на наботу других портов свича. Исключение: Неисправность сетевой платы в результате которой плата посылала разные MAC-адреса и таблица адресов на свиче переполнялась. При этом свитч начинал работать в режиме хаба.
Проведите анализ ситуации. Возможно надо обновить ПО на свиче.

3. Не понял вопроса. IPX и VLAN работают на разных сетевых уровнях. VLAN ниже. Т.е. Эти вещи никак влиять друг на друга не должны.

Преимущества VLAN:
Безопасность. С помощью VLAN можно разрезать одну общую сеть на независимые части на канальном уровне. Практически исключается несанкционированное подключение сетевых устройств в сети (для хакера средней руки это не проблемма).

Недостатки:
Для получения максимального удовольствия нужно чтобы все сетевое оборудование поддерживало VLAN.
Очень сложно такую сеть сопровождать.
У разных производителей слегка разные взгляды на VLAN и как следствие возможна несовместимость сетевого оборудования.

Лучше хорошенько просегментируйте сеть и в ядро сети поставьте хороший отказоустойчивый коммутатор. А лучше два. Это более правильный путь IMHO.

[FSerg]

(IPX и VLAN) и (IP и VLAN) ничем не отличаются - разбил свитч на два - маршрутизируй между ними. Чем - аппаратным (это ты имел в виду под внешним?) роутером или серваком - сетке поровну.

Совет And3008 по поводу сегментации - самое то.
При 300 машинах у тебя небось четверть трафика - бродкасты, даже если в сети все более-меннее нормально.

[koral]

There is one - to - one relationship between a VLAN and an IP or IPX network interface. Since the VLAN is defined by a group of ports, the state (up/down) of those ports determines the state of the IP or IPX network interface associated with that VLAN. When a VLAN comes up because one or more of its ports is up, the IP or IPX interface for that VLAN also comes up. Likewise, when a VLAN goes down because all of its ports are down, the corresponding IP or IPX interface goes down.

Это означает что можно включать или выключать IP и IPX на разных портах, но рутить всётаки надо снаружи?

[and3008]

Если это выдержка из документации по твоему свичу, то видимо он у тебя умеет работать на третьем уровне и анализировать тип протокола.

Пошвыряйся внимательнее в доке. Наверняка он и роутить умеет.

[Dmitry.Karpov http://prof]

Разбивать сеть на VLAN'ы имеет смысл только тогда, когда подавляющее боьшинство юзеров работает не со всеми серверами. В этом случае авария одного сервера затронет только тех юзеров, которые имеют доступ к нему. Я боюсь, что в твоём случае отлучить большинство юзеров от W'2k нереально.

Отрезание броадкастов очень полезно, но и NetWare, и Windows строят работу именно на броадкастах. Может, имеет смысл изучить Unix и строить сеть на нём? Хотя Samba и Mars-NWE всё равно используют Windows/NetWare-технологии, так что надо думать о переходе на Web-доступ к данным...

Даже если HP AdvanceStack Switch 2000 умеет роутить и фильтровать IP и IPX, это всё равно не очень поможет, т.к. юзеры должны иметь доступ к аварийному серверу. Остаётся только отключать его.

Лично я бы начал с проверки на вирусы: у нас в VeerNet (районная сеть) вирус сегодня засрал трафиком всю сеть - админы бегали по юзерам и принудительно лечили их; боюсь, этот вирус как раз был настроен на сегодня.

[4u3u]

-

[koral]

В том то и дело, что есть критический участок сети (склады - отгрузка готовой продукции на конвеер ВАЗа)которому жизнено необходим Novell и он спокойно перенесет недостепность w2k в течении нескольких часов (допустим ночью), а юзеры которым более важен w2k и Novell используют гораздо реже (бухгалтерия), все равно не смогут работать. Тем более что эта неисправность случается как правило во вторую смену (бугалтерия уже не работает) и юзеров w2k почти нет.

[koral]

по поводу сегментации - от каждого порта свича не более 3 последоватально соединеных хабов, все оборудование НР (далеко не плохой производитель)

[koral]

так как практически на всех рабочих станциях установлен и IP и IPX и NetBEUI (не важно как часто они используются конкретной станцией - они там присутствуют), то одни только широковещателные запросы забивают канал. Может я и не прав. А если тот же Novell включить разными платами в обе VLAN то откуда дополнительные тэги возьмутся. Станция будет общатся с сервером в пределах одной VLAN, а в другую VLAN только через шлюз, но ей там делать нечего, так как сервер Novel будет и там и там. Ну а w2k будет в той VLAN где он интенсивно используется. Остальные опять же через шлюз.Связь между станциями для работы не важна, а порой и вредна.

[and3008]

-

[and3008]

-

[Dmitry.Karpov http://prof]

Все эти игры с VLAN'ами и даже с заменой хабов на свичи - лишь временная "затычка". Подумай о переносе функций W'NT на FreeBSD или Lunux с Samba в качестве PDC, WINS и файл-сервера (DHCP тоже без проблем) - Unix'я практически не подвержены вирусам.

[FSerg]

Если это просто деление одного свича на два или больше, то лишнего трафика из-за тегов не будет, и твоя идея имеет право на жизнь, но есть "ньюанусы". Работу по маршрутизации трафика между сегментами будет выполнять твой основной сервер. Это есть не правильно. 7 раз подумай.