Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
koral
Зарегистрирован: 16.08.2003 Сообщения: 5
|
Добавлено: Сб Авг 16 2003 10:54 Заголовок сообщения: нужна консультация специалиста по сетевым коммуникациям. |
|
|
Добрый день! Мне нужна консультация специалиста по сетевым коммуникациям. В сети нашей организации более 300 рабочих станций и несколько серверов. Практически в центре (физически) находится HP AdvanceStack Switch 2000, все порты которого настроены на одну VLAN (DEFAULT_VLAN). Серверы подключены к этому Switch напрямую, а рабочие станции через коммутаторы HUB. За последнее время было несколько аварийных ситуаций, связанных с одним из серверов на базе Win2000 –работающему по протоколу TCP/IP. Кабельный тестер показал загрузку сети -49-51%, в результате были недоступны и другие серверы (Novell NetWare –протокол IPX). У нас есть критический участок сети, работающий в основном с Novell, остановка которого может привести к большим затратам. Если предложение настроить разные порты Switch на разные VLAN, так чтобы Novell оказался в одной VLAN с критическим участком, а Win2000 в другой VLAN. Верны ли предположения, что в случае разделения портов Switch на две или более VLAN и подключения серверов в разные VLAN мы получим : 1. Уменьшение трафика (увеличение скорости реакции) в отдельно взятых VLAN. 2. В случае большой загрузки из за аварии на Win2000 (пока не разобрались), другие. VLAN не пострадают и доступ к Novell не прекратится (из той VLAN где находится сервер). 3. Нам не понадобится использовать внешний router для передачи пакетов IPX между разными VLAN, либо в качестве IPX router может выступать сервер Novell с двумя сетевыми картами, подключенными к разным VLAN. Какие ещё приемушества и недостатки при разделении на VLAN.
Спасибо.
С уважением специалист отдела информационных систем Александр Корсунов koral@volga.ru
отвечать лучше по почте |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Сб Авг 16 2003 13:21 Заголовок сообщения: Ответы (+) |
|
|
1. Уменьшение трафика не будет. Будет увеличение за счет передачи допонительных тэгов и анализ этих тэгов в свиче вызовет еще большую "тормознутость".
2. Аварийная ситуация W2K теоретически не должна была повлиять на наботу других портов свича. Исключение: Неисправность сетевой платы в результате которой плата посылала разные MAC-адреса и таблица адресов на свиче переполнялась. При этом свитч начинал работать в режиме хаба. Проведите анализ ситуации. Возможно надо обновить ПО на свиче.
3. Не понял вопроса. IPX и VLAN работают на разных сетевых уровнях. VLAN ниже. Т.е. Эти вещи никак влиять друг на друга не должны.
Преимущества VLAN: Безопасность. С помощью VLAN можно разрезать одну общую сеть на независимые части на канальном уровне. Практически исключается несанкционированное подключение сетевых устройств в сети (для хакера средней руки это не проблемма).
Недостатки: Для получения максимального удовольствия нужно чтобы все сетевое оборудование поддерживало VLAN. Очень сложно такую сеть сопровождать. У разных производителей слегка разные взгляды на VLAN и как следствие возможна несовместимость сетевого оборудования.
Лучше хорошенько просегментируйте сеть и в ядро сети поставьте хороший отказоустойчивый коммутатор. А лучше два. Это более правильный путь IMHO. |
|
Вернуться к началу |
|
|
FSerg Гость
|
Добавлено: Сб Авг 16 2003 15:11 Заголовок сообщения: (3) и далле |
|
|
(IPX и VLAN) и (IP и VLAN) ничем не отличаются - разбил свитч на два - маршрутизируй между ними. Чем - аппаратным (это ты имел в виду под внешним?) роутером или серваком - сетке поровну.
Совет And3008 по поводу сегментации - самое то. При 300 машинах у тебя небось четверть трафика - бродкасты, даже если в сети все более-меннее нормально. |
|
Вернуться к началу |
|
|
koral
Зарегистрирован: 16.08.2003 Сообщения: 5
|
Добавлено: Сб Авг 16 2003 16:26 Заголовок сообщения: Re: (3) и далле |
|
|
There is one - to - one relationship between a VLAN and an IP or IPX network interface. Since the VLAN is defined by a group of ports, the state (up/down) of those ports determines the state of the IP or IPX network interface associated with that VLAN. When a VLAN comes up because one or more of its ports is up, the IP or IPX interface for that VLAN also comes up. Likewise, when a VLAN goes down because all of its ports are down, the corresponding IP or IPX interface goes down.
Это означает что можно включать или выключать IP и IPX на разных портах, но рутить всётаки надо снаружи? |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Сб Авг 16 2003 16:38 Заголовок сообщения: Объясняю (+) |
|
|
Если это выдержка из документации по твоему свичу, то видимо он у тебя умеет работать на третьем уровне и анализировать тип протокола.
Пошвыряйся внимательнее в доке. Наверняка он и роутить умеет. |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://prof Гость
|
Добавлено: Сб Авг 16 2003 21:11 Заголовок сообщения: Зависит от характера поломки |
|
|
Разбивать сеть на VLAN'ы имеет смысл только тогда, когда подавляющее боьшинство юзеров работает не со всеми серверами. В этом случае авария одного сервера затронет только тех юзеров, которые имеют доступ к нему. Я боюсь, что в твоём случае отлучить большинство юзеров от W'2k нереально.
Отрезание броадкастов очень полезно, но и NetWare, и Windows строят работу именно на броадкастах. Может, имеет смысл изучить Unix и строить сеть на нём? Хотя Samba и Mars-NWE всё равно используют Windows/NetWare-технологии, так что надо думать о переходе на Web-доступ к данным...
Даже если HP AdvanceStack Switch 2000 умеет роутить и фильтровать IP и IPX, это всё равно не очень поможет, т.к. юзеры должны иметь доступ к аварийному серверу. Остаётся только отключать его.
Лично я бы начал с проверки на вирусы: у нас в VeerNet (районная сеть) вирус сегодня засрал трафиком всю сеть - админы бегали по юзерам и принудительно лечили их; боюсь, этот вирус как раз был настроен на сегодня. |
|
Вернуться к началу |
|
|
4u3u
Зарегистрирован: 24.01.2003 Сообщения: 997 Откуда: Moscow
|
Добавлено: Вс Авг 17 2003 01:32 Заголовок сообщения: Насчет трафика - Blaster 16 числа начал DDoS против windowsupdate.com, правда afaik промахнулся :) Но мусорного трафика интерне |
|
|
- |
|
Вернуться к началу |
|
|
koral
Зарегистрирован: 16.08.2003 Сообщения: 5
|
Добавлено: Вс Авг 17 2003 05:50 Заголовок сообщения: Re: Зависит от характера поломки |
|
|
В том то и дело, что есть критический участок сети (склады - отгрузка готовой продукции на конвеер ВАЗа)которому жизнено необходим Novell и он спокойно перенесет недостепность w2k в течении нескольких часов (допустим ночью), а юзеры которым более важен w2k и Novell используют гораздо реже (бухгалтерия), все равно не смогут работать. Тем более что эта неисправность случается как правило во вторую смену (бугалтерия уже не работает) и юзеров w2k почти нет. |
|
Вернуться к началу |
|
|
koral
Зарегистрирован: 16.08.2003 Сообщения: 5
|
Добавлено: Вс Авг 17 2003 05:54 Заголовок сообщения: по поводу сегментации |
|
|
по поводу сегментации - от каждого порта свича не более 3 последоватально соединеных хабов, все оборудование НР (далеко не плохой производитель) |
|
Вернуться к началу |
|
|
koral
Зарегистрирован: 16.08.2003 Сообщения: 5
|
Добавлено: Вс Авг 17 2003 06:23 Заголовок сообщения: Re: Ответы (+) |
|
|
так как практически на всех рабочих станциях установлен и IP и IPX и NetBEUI (не важно как часто они используются конкретной станцией - они там присутствуют), то одни только широковещателные запросы забивают канал. Может я и не прав. А если тот же Novell включить разными платами в обе VLAN то откуда дополнительные тэги возьмутся. Станция будет общатся с сервером в пределах одной VLAN, а в другую VLAN только через шлюз, но ей там делать нечего, так как сервер Novel будет и там и там. Ну а w2k будет в той VLAN где он интенсивно используется. Остальные опять же через шлюз.Связь между станциями для работы не важна, а порой и вредна. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вс Авг 17 2003 10:09 Заголовок сообщения: Да пусть хабы собирали вручную по спец.заказу. Все равно это хабы. А хабы - это масдай! Свичи - форевер!!!!(-) |
|
|
- |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вс Авг 17 2003 10:12 Заголовок сообщения: Анализировали причины? Меры приняли? Сдается мне копаешь ты не в ту сторону (-) |
|
|
- |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://prof Гость
|
Добавлено: Вс Авг 17 2003 22:47 Заголовок сообщения: Стомегабитные хабы вообще нельзя (крайне нежелательно) каскадировать (цеплять друг к другу); правило №трёх хабовЁ - для десятим |
|
|
Все эти игры с VLAN'ами и даже с заменой хабов на свичи - лишь временная "затычка". Подумай о переносе функций W'NT на FreeBSD или Lunux с Samba в качестве PDC, WINS и файл-сервера (DHCP тоже без проблем) - Unix'я практически не подвержены вирусам. |
|
Вернуться к началу |
|
|
FSerg Гость
|
Добавлено: Пн Авг 18 2003 12:16 Заголовок сообщения: Что понимать под VLAN? (+) |
|
|
Если это просто деление одного свича на два или больше, то лишнего трафика из-за тегов не будет, и твоя идея имеет право на жизнь, но есть "ньюанусы". Работу по маршрутизации трафика между сегментами будет выполнять твой основной сервер. Это есть не правильно. 7 раз подумай. |
|
Вернуться к началу |
|
|
|