Уважаемые зрители! Если видео лекции/практики оказалось полезным, поддержите ролик лайком и комментарием, это поможет ознакомить с ним большую аудиторию. Спасибо. Анонсы, обсуждения, вопросы тут: t.me/nir_net Для желающих поддержать канал boosty.to/nir_net
Спасибо за отзыв. Вам должны помочь любые курсы по SP: CCNP SP, JNCIS(IP)-SP, HCIP DATACOM. В основном наверное будут полезны MPLS и eBGP. Можно искать лабы по тем или иным темам, но наверное полностью погрузиться можно только работая в провайдере.
Выложить лабы это как? топология есть в ролике, можно имитировать её в любом удобном виде в gns или реальном оборудовании. Будет блок по настройке cisco, там будет поподробней. Ну а домашки в PacketTracer по ним нужно писать цикл роликов, таких видио по ютубу и так много. Посмотрим если будет запрос, возможно и сделаю.
Ну например многие вендоры не рекомендуют использовать vlan 1 для пользовательских портов. Не совсем понял вопрос, с 1 виланом вы всё равно ничего не сделаете, он всегда есть по умолчанию.
В целом да, работать будет, но только а рамках вилана. Чаще всего между адресациями разных вилан вы подымаете маршрутизацию на 3 уровне, тут и возникнут проблемы одинаковой адресации. Но если мы говорим про провайдерскую историю и вилан терминируется на свой VRF, то без проблем - в каждом может быть одна и та же IP адресация.
@@Networkisreachable Понял ! Благодарю ! Ещё вопрос если к access порту будет подключен простенький не управляемый свитч. Всё остается ведь тоже самое ? клиенты подключённые к этому свитчу будут в том же vlan в котором находит acces порт ?
Добрый вечер, а я что-то упустил, видимо. А какие вообще самые типичные сценарии использования Native Vlan на предприятии? И как часто вообще его настраивают? А то просто в лабе по курсу по сетям одно из заданий - определить native vlan и как обычно без понимания: а зачем оно вообще нужно, - тяжело. Заранее спасибо!
очень объёмный вопрос. Ну во первых всегда есть некий native vlan и чаще всего это 1 вилан. Зачем его менять? 1.Может возникнуть ситуация когда нужно чтоб какой-то вилан на одном коммутаторе превратился из например 10 в 20 на других..и тогда если настроить соответствующие нэйтив с двух сторон можно добиться такого эффекта (Но это не best practice т.к. это может создать проблемы в работе STP и например vlan mismatch по CDP). 2. Вторая история это когда в транке нужно иметь возможность воткнуться туда ноутом и попасть в определенный вилан (для отладки и или управления), такое я видел в технологических сетях...стоит коммутатор на объекте, и если он сдох, то можно просто встать ноутом в аплинк и попасть в нэйтив вилан определенный....иначе нужно чем-то разбирать транк. 3. Ну и третья история это если в транке у вас стоит каналообразующее оборудование (DSL, оптический конвертер, мультиплексор, wi-fi\max, РРЛ) и имеет интерфейс управления нэйтив. И часто нужно чтоб такие интерфейсы попали в определенный вилан со стороны коммутатора. Ставим нужный нам нэйтив, рулим устройствами в канале.
Добрый день! Я правильно понял, при создании вилана мы делим сеть на разные широковещательные домены, но при этом если делаем маршрутизацию на палочке мы возвращаем этот широковещательный домен?
Нет не возвращаем, на интерфейсе маршрутизатора широковещательный домен заканчивается. У нас есть 4ре домена и мы обеспечиваем их связанность уже на 3м уровне - IP
Нарезают сеть, виланы хорошо, это я слышал многократно, но никто не говорит насколько мелкие делать сети, и когда уменьшение уже делает не хорошо, а плохо. Вилан лучше делать на отдел? Или это много? Отдел может делиться на лаборатории, участки, бюро. И достигать 100 человек на 10-15 кабинетов, или лучше вилан на каждый кабинет делать, т.к. взаимодействие между ПК и принтерами максимум в пределах кабинета. Но есть кабинеты по 30 человек, есть по 2-3, и в сумме во втором случае нужно будет виланов штук 200, а в первом штук 30-40. Расскажите пожалуйста где та грань когда виланы хорошо а когда уже треш
Я сети и виланы нарезаю по фунционалу и необходимости фильтрации таких сетей. К примеру: 5 отделов с одной сетевой политикой, ходят на прокси и на пару тройку серверов. Для них будет один acl, и под них логично отрезать сеть /26-/24, а зачем их резать если у них одни условия взаимодествия с сетью? Какие-нибудь бухгалтерии, отделы с особыми требованиями по безопасности в отдельный. Отдельно серверные сети, сети ilo и ipmi, сети управления, сеть dmz, сеть провайлера если она аелючена в коммутатор, сеть мфу, сеть видеонаблюдения, сеть охранной/пожарной сигнализации, сети voip, подсети для вай-фай, сети с устройствами энергетики, кондиционировпния итп, в общем есть что разграничивать по виланам кроме как резать отделы. А вот например в рамках вашего коммутатора вам нужна пара виланов для взаимодейсвия маршрутизаторов и там вы впоне можете использовать сети /30 или /31, ведь там никого больше не будет. Делите по фунционалу, а пользователей шинкуйте по требовпниям безопасности.
@@Networkisreachable нуу, там выйдут подсети по юзеров 200-400, у них особо разницы не будет в плане функционала и безопасности, пару штук, и с пару десятков мелочи. А если МФУ выделить в отдельный VLAN к ним нет проблем потом подключаться из другой подсети, у МФУ никаких сетевых экранов нет? и МФУ очень желательно как я понимаю закинуть в отдельную подсеть чтобы не шумели? Просто кроме МФУ, ПК и телефонии к сети больше ничего не подключено, вай-фая нет, охранная не в сети, камер штук 10-20 от силы, кондиционеры не в сети, и тд а серверные сети и далее умные вещи пока что не завели, в планах только, но ведь подсети по 200-400 человек тоже плохо, разве нет? Как найти баланс? Или всё нормально будет если всех закинуть в одну подсеть? Просто у нас используют общую файлопомойку для всех, на файловом сервере есть отдельные папки для некоторых отделов с ограниченным доступом, но большая часть папок просто под помойку. Насколько это плохо?
@@ajibkotpac Ну исходите из 100-150 хостов в сети /24. И вы все время переключаетесь, то виланы, то подсети. В каждом вилане - своя отдельная подсеть. Выделять ли мфу в отдельный вилан это ваше право, я просто сказал как можно делать, нужно или нет - дело ваше. И да подсеть на 512 хостов это плохо, я бы не резал сетки крупнее /24, и не размещал бы там более 100-150 (это кстати даст около 50Кбит бродкаста) хостов. По политике файлового хранилища разбирайтесь исходя их требований безопасности вашего предприятия.
@@Networkisreachable ну на счёт vlan и подсетей, я имею одно и то же. Т.к. в моей голове закрепилось что VLAN это инструмент создания логических подсетей. На счёт остального понял, я почему то предполагал что 25-30 компов в одном VLAN уже много, а 150 это ужас, но раз это вполне более менее то учту. В принципе сейчас вряд-ли больше 100пк в одном VLAN, правда там с принтерами ещё вперемешку, но возможно фиг с ним. Вопрос не в тему, если МФУ подключена в локальную сеть которая физически никак не соединена с внешней сетью, и так же эта же МФУ соединена через usb с компьютером имеющим выход во внешнюю сеть(Интернет) без особой защиты, есть ли шанс проникновения в локальную сеть?
@@ajibkotpac Основные идеи переноса МФУ в отдельный вилан это: 1. удобство администрирования, и выделения адресов если у мфу оно статическое. вы никогда не спутаете адрес мфу и пк 2. Раз это отдельный вилан, то в розетку для мфу можно включить только мфу, и вы без всяких port secutity останавливаете неконтролируемое перемещение мфу 3. У мфу часто есть фтп сервера, шары, с которых можно печатать\смотреть историю и даже скопировать что было напечатано, а если они в отдельном вилане, и ходить туда может только принт сервер, то значит никто на них тыкаться не будет. Кто у вас куда может и не может попасть по usb порту я не знаю.
Если брать два пк, которые генерируют по 10 кадров бродкастов на комутатор из 24 портов , ето минус два порта от куда идут бродкасты . То получаеться 460 бродкастов а не 480
Спасибо! Заполнил пробелы в знаниях.
Очень хорошо структурируете и подаете информацию! Приятно слушать, несколько лекций смотрел не отрываясь. Спасибо!
До прослушивания этой лекции в мозгах была "каша", сейчас все постепенно приходит в порядок. Спасибо.
Спасибо за урок , много полезного.
Уважаемые зрители! Если видео лекции/практики оказалось полезным,
поддержите ролик лайком и комментарием, это поможет ознакомить
с ним большую аудиторию. Спасибо.
Анонсы, обсуждения, вопросы тут: t.me/nir_net
Для желающих поддержать канал boosty.to/nir_net
Отличный канал посвященный сетям. Не подскажите источники, где можно подробнее узнать о технологиях и принципах работы ISP?
Спасибо за отзыв. Вам должны помочь любые курсы по SP: CCNP SP, JNCIS(IP)-SP, HCIP DATACOM. В основном наверное будут полезны MPLS и eBGP. Можно искать лабы по тем или иным темам, но наверное полностью погрузиться можно только работая в провайдере.
Здравствуйте, подскажите кто знает, как понять vlan занят, и тогда с обеих концов подбирается свободный vlan
Заранее благодаря
нужно проверить создан ли vlan и есть ли в нем порты acces или trunk: show vlan, show int trunk.
16:51 что происходит когда тегированный кадр попадает на неуправляемый коммутатор?
Скорее всего ничего, просто его отбросит. Но я встречал например ADSL модемы которые передавали через себя тегированные кадры без проблем.
Спасибо за контентыч! А можно выложить лабы и домашки, чтобы я мог их тоже прорешивывать?
Выложить лабы это как? топология есть в ролике, можно имитировать её в любом удобном виде в gns или реальном оборудовании. Будет блок по настройке cisco, там будет поподробней.
Ну а домашки в PacketTracer по ним нужно писать цикл роликов, таких видио по ютубу и так много. Посмотрим если будет запрос, возможно и сделаю.
19:47 что нужно делать ? безопасность vlan 1
Ну например многие вендоры не рекомендуют использовать vlan 1 для пользовательских портов. Не совсем понял вопрос, с 1 виланом вы всё равно ничего не сделаете, он всегда есть по умолчанию.
Очень хочется понять про PVID в вланах.
Посмотрите лекцию по Huawei про VLAN, там этот аспект обсуждается.
День добрый ! Я правильно понимаю, что даже можно сделать одинаковые IP адреса и разнести их в разные VLAN , всё будет работать ?
В целом да, работать будет, но только а рамках вилана. Чаще всего между адресациями разных вилан вы подымаете маршрутизацию на 3 уровне, тут и возникнут проблемы одинаковой адресации.
Но если мы говорим про провайдерскую историю и вилан терминируется на свой VRF, то без проблем - в каждом может быть одна и та же IP адресация.
@@Networkisreachable Понял ! Благодарю ! Ещё вопрос если к access порту будет подключен простенький не управляемый свитч. Всё остается ведь тоже самое ? клиенты подключённые к этому свитчу будут в том же vlan в котором находит acces порт ?
@@IKar63 Да, именно так, только за портом коммутатора будет несколько маков.
Добрый вечер, а я что-то упустил, видимо. А какие вообще самые типичные сценарии использования Native Vlan на предприятии? И как часто вообще его настраивают? А то просто в лабе по курсу по сетям одно из заданий - определить native vlan и как обычно без понимания: а зачем оно вообще нужно, - тяжело. Заранее спасибо!
очень объёмный вопрос. Ну во первых всегда есть некий native vlan и чаще всего это 1 вилан. Зачем его менять? 1.Может возникнуть ситуация когда нужно чтоб какой-то вилан на одном коммутаторе превратился из например 10 в 20 на других..и тогда если настроить соответствующие нэйтив с двух сторон можно добиться такого эффекта (Но это не best practice т.к. это может создать проблемы в работе STP и например vlan mismatch по CDP). 2. Вторая история это когда в транке нужно иметь возможность воткнуться туда ноутом и попасть в определенный вилан (для отладки и или управления), такое я видел в технологических сетях...стоит коммутатор на объекте, и если он сдох, то можно просто встать ноутом в аплинк и попасть в нэйтив вилан определенный....иначе нужно чем-то разбирать транк. 3. Ну и третья история это если в транке у вас стоит каналообразующее оборудование (DSL, оптический конвертер, мультиплексор, wi-fi\max, РРЛ) и имеет интерфейс управления нэйтив. И часто нужно чтоб такие интерфейсы попали в определенный вилан со стороны коммутатора. Ставим нужный нам нэйтив, рулим устройствами в канале.
VPN строиться за счет того чтобы клиента и сервер задается своим VLAN ?
В данной лекции мы не обсуждали VPN, Лекция по VPN тут ruclips.net/video/Vl21CIPME3M/видео.html
Спасибо
Большое спасибо за отзыв!
Добрый день! Я правильно понял, при создании вилана мы делим сеть на разные широковещательные домены, но при этом если делаем маршрутизацию на палочке мы возвращаем этот широковещательный домен?
Нет не возвращаем, на интерфейсе маршрутизатора широковещательный домен заканчивается. У нас есть 4ре домена и мы обеспечиваем их связанность уже на 3м уровне - IP
Нарезают сеть, виланы хорошо, это я слышал многократно, но никто не говорит насколько мелкие делать сети, и когда уменьшение уже делает не хорошо, а плохо. Вилан лучше делать на отдел? Или это много? Отдел может делиться на лаборатории, участки, бюро. И достигать 100 человек на 10-15 кабинетов, или лучше вилан на каждый кабинет делать, т.к. взаимодействие между ПК и принтерами максимум в пределах кабинета. Но есть кабинеты по 30 человек, есть по 2-3, и в сумме во втором случае нужно будет виланов штук 200, а в первом штук 30-40. Расскажите пожалуйста где та грань когда виланы хорошо а когда уже треш
Я сети и виланы нарезаю по фунционалу и необходимости фильтрации таких сетей. К примеру: 5 отделов с одной сетевой политикой, ходят на прокси и на пару тройку серверов. Для них будет один acl, и под них логично отрезать сеть /26-/24, а зачем их резать если у них одни условия взаимодествия с сетью? Какие-нибудь бухгалтерии, отделы с особыми требованиями по безопасности в отдельный. Отдельно серверные сети, сети ilo и ipmi, сети управления, сеть dmz, сеть провайлера если она аелючена в коммутатор, сеть мфу, сеть видеонаблюдения, сеть охранной/пожарной сигнализации, сети voip, подсети для вай-фай, сети с устройствами энергетики, кондиционировпния итп, в общем есть что разграничивать по виланам кроме как резать отделы. А вот например в рамках вашего коммутатора вам нужна пара виланов для взаимодейсвия маршрутизаторов и там вы впоне можете использовать сети /30 или /31, ведь там никого больше не будет. Делите по фунционалу, а пользователей шинкуйте по требовпниям безопасности.
@@Networkisreachable нуу, там выйдут подсети по юзеров 200-400, у них особо разницы не будет в плане функционала и безопасности, пару штук, и с пару десятков мелочи. А если МФУ выделить в отдельный VLAN к ним нет проблем потом подключаться из другой подсети, у МФУ никаких сетевых экранов нет? и МФУ очень желательно как я понимаю закинуть в отдельную подсеть чтобы не шумели? Просто кроме МФУ, ПК и телефонии к сети больше ничего не подключено, вай-фая нет, охранная не в сети, камер штук 10-20 от силы, кондиционеры не в сети, и тд а серверные сети и далее умные вещи пока что не завели, в планах только, но ведь подсети по 200-400 человек тоже плохо, разве нет? Как найти баланс? Или всё нормально будет если всех закинуть в одну подсеть? Просто у нас используют общую файлопомойку для всех, на файловом сервере есть отдельные папки для некоторых отделов с ограниченным доступом, но большая часть папок просто под помойку. Насколько это плохо?
@@ajibkotpac Ну исходите из 100-150 хостов в сети /24. И вы все время переключаетесь, то виланы, то подсети. В каждом вилане - своя отдельная подсеть. Выделять ли мфу в отдельный вилан это ваше право, я просто сказал как можно делать, нужно или нет - дело ваше. И да подсеть на 512 хостов это плохо, я бы не резал сетки крупнее /24, и не размещал бы там более 100-150 (это кстати даст около 50Кбит бродкаста) хостов. По политике файлового хранилища разбирайтесь исходя их требований безопасности вашего предприятия.
@@Networkisreachable ну на счёт vlan и подсетей, я имею одно и то же. Т.к. в моей голове закрепилось что VLAN это инструмент создания логических подсетей. На счёт остального понял, я почему то предполагал что 25-30 компов в одном VLAN уже много, а 150 это ужас, но раз это вполне более менее то учту. В принципе сейчас вряд-ли больше 100пк в одном VLAN, правда там с принтерами ещё вперемешку, но возможно фиг с ним.
Вопрос не в тему, если МФУ подключена в локальную сеть которая физически никак не соединена с внешней сетью, и так же эта же МФУ соединена через usb с компьютером имеющим выход во внешнюю сеть(Интернет) без особой защиты, есть ли шанс проникновения в локальную сеть?
@@ajibkotpac Основные идеи переноса МФУ в отдельный вилан это: 1. удобство администрирования, и выделения адресов если у мфу оно статическое. вы никогда не спутаете адрес мфу и пк 2. Раз это отдельный вилан, то в розетку для мфу можно включить только мфу, и вы без всяких port secutity останавливаете неконтролируемое перемещение мфу 3. У мфу часто есть фтп сервера, шары, с которых можно печатать\смотреть историю и даже скопировать что было напечатано, а если они в отдельном вилане, и ходить туда может только принт сервер, то значит никто на них тыкаться не будет.
Кто у вас куда может и не может попасть по usb порту я не знаю.
Если брать два пк, которые генерируют по 10 кадров бродкастов на комутатор из 24 портов , ето минус два порта от куда идут бродкасты . То получаеться 460 бродкастов а не 480
Минус порты источники, так и есть!
@@Networkisreachable Спасибо большое за Ваши труды
4:25 физически! это один коммутатор
Да, оговорка!
+Plus
2PC по 10 broadcast на 24 ports != 480 фреймов. Будет 460. Ну вот такая математика.
Минус один порт, источник. Верно подмечено.