Нужны советы по организации большой сети

[Faust]

Добродень, гуру сетевых технологий
Ибо опыта не имею, решил обратиться к вам за советом.
Предстоит развернуть с нуля большую сеть, хостов 200 в виде обычных компутеров + телефония и принтеры. Набегает порядка 500.
Ясное дело, что сети С-класса не хватит.
Стою перед выбором:
1. Заюзать В-класса сеть, например что-нибудь из 10.*.*.*/16
2. Остаться в С-классе. VLAN наше все, рабочие станции в одну сеть, принтеры во вторую, сервера в третью и телефония в четвертую.
Что можете посоветовать, как у кого реализовано? В какую сторону курить мануалы?

[DafT]

По VLAN`ам решили использовать
1. 10.10.0.0/16
10.10.10.* - серверное и активное сетевое оборудование
10.10.0.* - АРМ`ы и оргтехника
2. 11.11.0.0/16 wi-fi
3. 12.12.0.0/16 телефония

Лех, нахрена вы решили лезть вне сертифицированных диапазонов?
есть жеж cпециально выделенные диапазоны (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) ну кромсайте вы 10ю подсеть на свои нужды, зачем лезть в общественные 11 и 12?

[ZLoB@]

По VLAN`ам решили использовать
1. 10.10.0.0/16
10.10.10.* - серверное и активное сетевое оборудование
10.10.0.* - АРМ`ы и оргтехника
2. 11.11.0.0/16 wi-fi
3. 12.12.0.0/16 телефония
VLAN wi-fi будет отдельный ото всех, тупо интернет, но с отдельным скрытым ssid под нубуки и прочие ништяки, которые нужно вывести к сервисам.

Маршрутизатор Cisco 2921/K9 с модулем на 8 эзернетов будет стоять поверх всего, 4 cisco ws-c2960ts-l на доступ + 1 такая же на серверную. Инженеры сисько советовали взять поверх доступа что-нибудь малое из серии 35хх 37хх, но зарезали. Надеюсь, потянет. С выбором модельки 2960 лоханулись конкретно, SFP порт только гигабит, а вот SFP+ была бы десятка. Чтобы не повторять наших ошибок, курите таблицу
http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps6406/product_data_sheet0900aecd80322c0c.html
Правда, цены не знаю, может разница более существенна.

В дальнейших планах собрать макет того, чего хотим чуть ли не на столе - в новую серверную ещё допуска не дают, дебильная бюрократическая волокита.
Что ещё, что ещё... стопка 380-ых пролиантов на базе 671161-425 с небольшими допами, ничего сверхъестественного. Сразу же воткнули ОЕМ 2012 сервера, экономия ~25% с каждой лицензии, да и с учетом проще, хотя, внутренний голос подсказывал, что нужно все впихивать через OLP либо вообще по OV, но вопрос цены... коллег не переубедил и сдался=)
Вкупе со всеми ништяками добили первую партию из софта через софтлайн, взяли генуны виндовс 8 + офис 2013 (от 365 отказались сразу, ибо подписка через 2-3 года выводит в минус). Расширенную лицензию касперского для руления не только дефолтных задач антивируса, но и шифрование, а так же приятную фишку слежения за последними обновлениями кучки гумуса - от флешплеера до жавы.

Если с аппаратной частью все более менее стало понятно, то вот с программной и логической - только зачатки. В новое здание с новым доменом.
Даже не знаю, нафиг написал, но вдруг кому интересно)

Вот вам одна из стопочек ништяков=)

А можно я приду и распакую эти ништяки))) Понмю у нас тоже когда то было много коробок (эххх ностальгия ))) И бесперебойник на моем пальце)

И вопрос: на второй картинке где сервачная, в правом верхнем углу железяка с трубой, это принудительная вытяжка? или приточка? Помогает? Какая температура внутри и сколько примерно железок стоит? 

[Faust]

Лех, нахрена вы решили лезть вне сертифицированных диапазонов?
есть жеж cпециально выделенные диапазоны (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) ну кромсайте вы 10ю подсеть на свои нужды, зачем лезть в общественные 11 и 12?

11 и 12 где-то зарезервированы?
Натыкался только, что 10.0.0.0/8 privat use (RFC1918), но не думал, что не прописанные сети использовать нельзя... значит перерисую, спасибо! Выбрали только из глупого "красиво,чо"

А можно я приду и распакую эти ништяки))) Понмю у нас тоже когда то было много коробок (эххх ностальгия ))) И бесперебойник на моем пальце)

И вопрос: на второй картинке где сервачная, в правом верхнем углу железяка с трубой, это принудительная вытяжка? или приточка? Помогает? Какая температура внутри и сколько примерно железок стоит? 

Нет, нельзя)) Мы уже большую часть облапали=)
На фотке - это двухфазный канальный кондиционер. Когда включаешь - волосы сдувает нафиг=) Становится...прохладно))
Помимо них стоят 2 дайкина серверная эдишн))) И ещё один на окне - стоечный, что ли. Не знаю как называется. Высотой метра 2, на железных ножках. Кстати, на фотке его тоже видно - дальняя стена с окном, вот так белая штукенция.
Питает все это 2 электрических ввода с автоматикой переключения и 1 ввод с генератора. Увы, генератор увезли предыдущие владельцы. Не решили будем ли покупать свой или нет. Автоматика его включения тоже сохранилась. Вот фирму производителя я, к сожалению, не помню=(

[SkelaJ]

Вах, вот это работа.
Если поокончании всего будет не лень написать стотейку, то с радостью почитаю.

[ZLoB@]

11 и 12 где-то зарезервированы?
Натыкался только, что 10.0.0.0/8 privat use (RFC1918), но не думал, что не прописанные сети использовать нельзя... значит перерисую, спасибо! Выбрали только из глупого "красиво,чо"=)Нет, нельзя)) Мы уже большую часть облапали=)
На фотке - это двухфазный канальный кондиционер. Когда включаешь - волосы сдувает нафиг=) Становится...прохладно))
Помимо них стоят 2 дайкина серверная эдишн))) И ещё один на окне - стоечный, что ли. Не знаю как называется. Высотой метра 2, на железных ножках. Кстати, на фотке его тоже видно - дальняя стена с окном, вот так белая штукенция.
Питает все это 2 электрических ввода с автоматикой переключения и 1 ввод с генератора. Увы, генератор увезли предыдущие владельцы. Не решили будем ли покупать свой или нет. Автоматика его включения тоже сохранилась. Вот фирму производителя я, к сожалению, не помню=(

Помещение маленькое и так много оборудования для охлаждения, вы там круглогодичную зиму решили устроить ))) У меня на большое помещение стоит всего два Liebert Hiros HPM

И это, на картинке большой такой белый это ZyXel RS-1612 ???? 

[Faust]

Вах, вот это работа.
Если поокончании всего будет не лень написать стотейку, то с радостью почитаю.

Была вакансия на адекватного раба в ИТ отдел))) Уже нашли, правда...

Помещение маленькое и так много оборудования для охлаждения, вы там круглогодичную зиму решили устроить ))) У меня на большое помещение стоит всего два Liebert Hiros HPM

И это, на картинке большой такой белый это ZyXel RS-1612 ???? 

Серверная досталась в наследство. Ну и все оборудование там не наше. Что за зухель я не знаю. Сейчас там только 2 пустых стойки и 3 однорамных стойки с патч-панелями.

[ZLoB@]

Была вакансия на адекватного раба в ИТ отдел))) Уже нашли, правда... =)Серверная досталась в наследство. Ну и все оборудование там не наше. Что за зухель я не знаю. Сейчас там только 2 пустых стойки и 3 однорамных стойки с патч-панелями.

Понятно, просто тот белый zyxel специфичная железка ))

[SkelaJ]

Была вакансия на адекватного раба в ИТ отдел))) Уже нашли, правда...

Я видел не прошел бы собеседование поэтому не стал тратить не свое не ваше время

[Faust]

С утра пораньше решил заняться адрессацией.
Т.к. у нас два офиса, то нужно предусмотреть вариант разрыва связи между ними. Клиенты должны сохранить функциональность. Посему используем 2 контроллера домена по одному в каждом офисе. В случае разрыва связи клиенты смогут авторизоваться на своем сервере своего офиса. ОК. С днс тоже нет проблем - все понятно.
DHCP. До сего момента юзал всего один сервер DHCP. Предугадываем возможные проблемы - отключение сервера или его перезагрузка. Будь то проблема с питанием или сервисные процедуры. Все что угодно - не суть. Суть - как оставить сеть в рабочем состоянии? Второй DHCP.
Нагуглил вот это http://www.oszone.net/3973_1/DHCP
Итак. Что предлагают.
Бацаем два DHCP сервера со своими областями.
1. 10.10.0.1-10.10.0.254
2. 10.10.1.1-10.10.1.254
После этого в первый DHCP добавляем область второго, а во второй - первого и эти добавленные области исключаем из раздачи.
В итоге, когда клиент включает комп, который уже имел ИП-адрес из диапазона первого DHCP, второй DHCP свой ип ему не отдает.
Гут, два сервера в сети уживаются. Но что будет, если первый DHCP выключен? Второй DHCP отдаст клиенту ИП адрес из своего диапазона, или вернет клиенту старый ип? Что-то мне подсказывает, что скорее всего, клиент получит новый ИП адрес. Надо тестить. Заливаем тачки, отпишусь

UPD. Гуглить надо DHCP Failover
2008 вариант 80/20 с задержкой отклика одного сервера -> Чаще всего клиенты будут брать ИП с первого, но когда тот падает - берут остаток со второго. Это не вариант. Это как с взаимоисключением.
2012 - опачки! http://technet.microsoft.com/en-us/library/hh831385.aspx
Осталось только решится на контроллер домена под управлением 2012 винды, либо разворачивать dhcp на других серверах, что не вяжется с моим логическим представлением сети...

[ShrekA]

Ты иди работай, пишет он тут сидит.

[SkelaJ]

С утра пораньше решил заняться адрессацией.
Т.к. у нас два офиса, то нужно предусмотреть вариант разрыва связи между ними. Клиенты должны сохранить функциональность. Посему используем 2 контроллера домена по одному в каждом офисе. В случае разрыва связи клиенты смогут авторизоваться на своем сервере своего офиса. ОК. С днс тоже нет проблем - все понятно.
DHCP. До сего момента юзал всего один сервер DHCP. Предугадываем возможные проблемы - отключение сервера или его перезагрузка. Будь то проблема с питанием или сервисные процедуры. Все что угодно - не суть. Суть - как оставить сеть в рабочем состоянии? Второй DHCP.
Нагуглил вот это http://www.oszone.net/3973_1/DHCP
Итак. Что предлагают.
Бацаем два DHCP сервера со своими областями.
1. 10.10.0.1-10.10.0.254
2. 10.10.1.1-10.10.1.254
После этого в первый DHCP добавляем область второго, а во второй - первого и эти добавленные области исключаем из раздачи.
В итоге, когда клиент включает комп, который уже имел ИП-адрес из диапазона первого DHCP, второй DHCP свой ип ему не отдает.
Гут, два сервера в сети уживаются. Но что будет, если первый DHCP выключен? Второй DHCP отдаст клиенту ИП адрес из своего диапазона, или вернет клиенту старый ип? Что-то мне подсказывает, что скорее всего, клиент получит новый ИП адрес. Надо тестить. Заливаем тачки, отпишусь

UPD. Гуглить надо DHCP Failover
2008 вариант 80/20 с задержкой отклика одного сервера -> Чаще всего клиенты будут брать ИП с первого, но когда тот падает - берут остаток со второго. Это не вариант. Это как с взаимоисключением.
2012 - опачки! http://technet.microsoft.com/en-us/library/hh831385.aspx
Осталось только решится на контроллер домена под управлением 2012 винды, либо разворачивать dhcp на других серверах, что не вяжется с моим логическим представлением сети...

когда я знал только ваш ник , мне рассказывали что вы по окончании своего обучения знали только сеть (имеется в виду как про.) , не знаю на сколько это правда или нет, но подскажите пожалуйста какую литературу вы читали

[Faust]

когда я знал только ваш ник , мне рассказывали что вы по окончании своего обучения знали только сеть (имеется в виду как про.) , не знаю на сколько это правда или нет, но подскажите пожалуйста какую литературу вы читали

Гугл наше все)) Из меня теоретик как из бабульки балерина))) Я нубло в админстве, просто гуглю ништяк))

Ты иди работай, пишет он тут сидит.

Для самого себя пишу, чтоб не забыть 

[SkelaJ]

Гугл наше все)) Из меня теоретик как из бабульки балерина))) Я нубло в админстве, просто гуглю ништяк))

ок, хороший скил

[Faust]

Ремонт в помещениях продолжается, а НГ уже близок, по такому случаю бацаем себе украшения.

[Faust]

Facepalm, товарищи!!!
Дополнительную сложность вносит наше таможенное законодательство, которое ставит табу на ввоз шифровальных средств с длиной ключа более 56 бит (DES еще проходит и так ввозят ASA-K8, а 3DES/AES- нет). Cisco в ответ на эти запреты выпустила локализованную версию IOS, с обрезанным функционалом по шифрованию туннелей. Первой ласточкой была NOVPN для 3845, а для 15 версии IOS такая линейка называется NPE (No Payload Encryption). Такой шаг позволил получить на ISR G2 нотификацию и ввозить на территорию РФ такие циски беспрепятственно (ISR G1 легко ввозятся с IOS IP Base). Однако, лишил нас массы удобных возможностей: IPSec VPN, L2TPoIPSec, SSLVPN, GETVPN, DMVPN, sRTP и других шифровальных возможностей … То, за что многие так уважают цискины маршрутизаторы. Вы можете купить bundle UC, Sec-NPE, DATA, но ни одна из них вам не разблокирует шифрования. И до недавнего времени решения этой проблемы не было: официально купить полноценный IOS (PE) и лицензию на Security, где есть VPN не было…
Но если очень хочется…
Cisco 2921/K9 проишвка 15 NPE...приплыли....лед тронулся, господа присяжные заседатели) Спасибо ФСБ. Циска за стольник килорублёу дерьмовей, чем драйтек за чирик=)

[ZLoB@]

Facepalm, товарищи!!!
Дополнительную сложность вносит наше таможенное законодательство, которое ставит табу на ввоз шифровальных средств с длиной ключа более 56 бит (DES еще проходит и так ввозят ASA-K8, а 3DES/AES- нет). Cisco в ответ на эти запреты выпустила локализованную версию IOS, с обрезанным функционалом по шифрованию туннелей. Первой ласточкой была NOVPN для 3845, а для 15 версии IOS такая линейка называется NPE (No Payload Encryption). Такой шаг позволил получить на ISR G2 нотификацию и ввозить на территорию РФ такие циски беспрепятственно (ISR G1 легко ввозятся с IOS IP Base). Однако, лишил нас массы удобных возможностей: IPSec VPN, L2TPoIPSec, SSLVPN, GETVPN, DMVPN, sRTP и других шифровальных возможностей … То, за что многие так уважают цискины маршрутизаторы. Вы можете купить bundle UC, Sec-NPE, DATA, но ни одна из них вам не разблокирует шифрования. И до недавнего времени решения этой проблемы не было: официально купить полноценный IOS (PE) и лицензию на Security, где есть VPN не было…
Но если очень хочется…
Cisco 2921/K9 проишвка 15 NPE...приплыли....лед тронулся, господа присяжные заседатели) Спасибо ФСБ. Циска за стольник килорублёу дерьмовей, чем драйтек за чирик=)

Так это уже очень давно так Лет этак 6-7 минимум

[Faust]

Решили траблу 


У нас сегодня переезд, завезли пупырку

[Faust]

Итак, мы на новом месте
Пытаюсь задружить два домена - новый и старый.

Есть старый домен *.ru. Есть новый *.local
Изначально в каждом домене контроллер имел одинаковое имя DC.
FQDN обоих: dc.*.ru и dc.*.local
На новом контроллере добавил дополнительную зону прямого и обратного просмотра - dc.*.ru, это прокатило. Я получил адреса и имена. В обратную сторону - не получается - "Зона не загружена DNS-сервером".
dcdiag ругался, что в сети TCP найдены повторяющиеся имена компьютеров, наберите nbtstat -n и все увидите.
Ну набрал - выдался спискок, в котором были повторяющиеся имена - имя домена нового и DC.
Подумал, что фишка в одинаковых именах контроллерах.
Переставили новый домен, новый контроллер назвали SRV-DC.
Теперь ни на одном из контроллеров разных доменов не получается заставить работать дополнительную зону.

На вкладке "Передача зон" разрешение стоит "Для всех"
Пинги с обоих контроллеров друг на друга ходят
53 порт телнетом пробил - подключение идет.

Я в тупике=(

ipconfig DC.*.RU (старый домен)

Ethernet adapter local:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Сетевое подклю
   Физический адрес. . . . . . . . . : 00-15-17-77-40
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::52d:afd4
   IPv4-адрес. . . . . . . . . . . . : 192.168.5.1(Ос
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.5.254
   DNS-серверы. . . . . . . . . . . : ::1
                                       192.168.5.1
   NetBios через TCP/IP. . . . . . . . : Включен

ipconfig SRV-DC.*.local (новый домен)

Ethernet adapter local:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Сетевое п
   Физический адрес. . . . . . . . . : 00-15-17-
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 10.10.10.
   Маска подсети . . . . . . . . . . : 255.255.0
   Основной шлюз. . . . . . . . . : 10.10.10.254
   DNS-серверы. . . . . . . . . . . : 10.10.10.1
   NetBios через TCP/IP. . . . . . . . : Включен

На обоих контроллерах в DNS журнале ошибка 1501

DNS-серверу не удалось провести анализ файла зоны "5.168.192.in-addr.arpa.dns" для зоны 5.168.192.in-addr.arpa.  Проверьте, что файл расположен в папке %SystemRoot%\System32\Dns и что он содержит допустимые данные.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Windows 2008r2

[Faust]

IPSEC, падлюка....между двумя Draytek Vigor 2920n и 2920vn построен, но по нему какие-то пакеты не ходят. Срать они хотели на правила файервола - пропускать ВСЕ в vpn<->vpn
Что делать - хз.
Надо выбирать небольшую циску в старый офис. Для нового есть 2921...

[Faust]

Кто-нибудь сможет подсказать, по какому протоколу или порту в каком виде ходят пакеты при подключении вторичных зон? Не могу найти в интернете. 53 порт тут явно ни при чем.