Нужен ли VLAN в корпоративной сети?
Это вопрос который я задал себе не так давно в связи с тем что в нашей достаточно большой но совершенно не организованной сети появилось оборудование, которому руками присвоили IP одного из серверов, что значительно затруднило работу.
1 проблема это недоступность конкретно сервиса
2 проблема найти этот компьютер и оторвать руки человеку который начудил
3 проблема заключается в том что просто бардак в сети кто что хочет тот то и делает.(и тут уже руки нужно оторвать нам...)
Первую проблему худо-бедно удалось решить дав другой IP серверу и перенастроив клиентов так как сервер терминальный. И как вы понимает у нас даже DNS сервер не настроен поэту все ходят по прямым IP. Ну и Бог с ним.
Проблема вторая решается не очень просто и состоит из некоторого количества действий. Так как ни какого специального инструмента у нас для решения этих проблем нет мы дружно начали перебирать все возможные варианты. Итак ...
1. Определить по IP имя хоста, с надеждой на то что оно может нам что-то сказать.
ping -a IP из командной строки нам ровным счетем ни чего не дала
nslookup IP и эта команда ни чего не дала корме того что имя хоста unknown
nbtstat -A IP и эта команда ни чего не дала кроме того что Узел не найден
В целом по этим трем попыткам можно резюмировать, что оборудование не отдает свое имя или как то хитро отвечает на запросы стандартных утилит. И все хорошо, но проблема не решена...
2. Определить на каком порту коммутатора по порту найти конкретную розетку, затем место расположение оборудования. Для этого в общем случае нам необходимо подключится ко всем коммутаторам сети запросить у каждого из них ARP таблицу и посмотреть на каком из них сидит негодяй. Ну а дальше техническая часть заканчивается и запускаются совсем другие механизмы.
Примерно так это на железе:
> show ip arp
получаем результат находим интересующую нас строку
> mac-address-table
получаем результат в виде таблицы ищем нужный нам MAC понимаем какой порт и идем дальше если за этим портом следующий коммутатор или идем давать бани.
В общем команды могут отличаться но суть от этого не изменится
И в теории это классно, но когда у вас в сети зоопарка это становится не реально, а это уже третья проблема в которую в итоге все упирается.
Итак вы спросите причем тут VLAN.
Если настроит таковые на коммутаторах и то при подключении к коммутатору нового оборудования оно не попадет сразу в вашу сеть и даже если будет иметь совпадающий IP с критичными для вас машинами плохо ни кому не сделает, а вам даст возможность проконтролировать процесс подключения этого оборудования к локальной сети, тем самым минимизировав возможные проблемы.
Для тех кто собирается подключать к уже подключенным портам новое оборудование жестко связать порт и MAC - адрес оборудования
В заключении скажу, что профилактика всегда лучше лечения поэтому настраивайте все исходя из этого не хитрого правила и будет вам счастье.
1 проблема это недоступность конкретно сервиса
2 проблема найти этот компьютер и оторвать руки человеку который начудил
3 проблема заключается в том что просто бардак в сети кто что хочет тот то и делает.(и тут уже руки нужно оторвать нам...)
Первую проблему худо-бедно удалось решить дав другой IP серверу и перенастроив клиентов так как сервер терминальный. И как вы понимает у нас даже DNS сервер не настроен поэту все ходят по прямым IP. Ну и Бог с ним.
Проблема вторая решается не очень просто и состоит из некоторого количества действий. Так как ни какого специального инструмента у нас для решения этих проблем нет мы дружно начали перебирать все возможные варианты. Итак ...
1. Определить по IP имя хоста, с надеждой на то что оно может нам что-то сказать.
ping -a IP из командной строки нам ровным счетем ни чего не дала
nslookup IP и эта команда ни чего не дала корме того что имя хоста unknown
nbtstat -A IP и эта команда ни чего не дала кроме того что Узел не найден
В целом по этим трем попыткам можно резюмировать, что оборудование не отдает свое имя или как то хитро отвечает на запросы стандартных утилит. И все хорошо, но проблема не решена...
2. Определить на каком порту коммутатора по порту найти конкретную розетку, затем место расположение оборудования. Для этого в общем случае нам необходимо подключится ко всем коммутаторам сети запросить у каждого из них ARP таблицу и посмотреть на каком из них сидит негодяй. Ну а дальше техническая часть заканчивается и запускаются совсем другие механизмы.
Примерно так это на железе:
> show ip arp
получаем результат находим интересующую нас строку
> mac-address-table
получаем результат в виде таблицы ищем нужный нам MAC понимаем какой порт и идем дальше если за этим портом следующий коммутатор или идем давать бани.
В общем команды могут отличаться но суть от этого не изменится
И в теории это классно, но когда у вас в сети зоопарка это становится не реально, а это уже третья проблема в которую в итоге все упирается.
Итак вы спросите причем тут VLAN.
Если настроит таковые на коммутаторах и то при подключении к коммутатору нового оборудования оно не попадет сразу в вашу сеть и даже если будет иметь совпадающий IP с критичными для вас машинами плохо ни кому не сделает, а вам даст возможность проконтролировать процесс подключения этого оборудования к локальной сети, тем самым минимизировав возможные проблемы.
Для тех кто собирается подключать к уже подключенным портам новое оборудование жестко связать порт и MAC - адрес оборудования
В заключении скажу, что профилактика всегда лучше лечения поэтому настраивайте все исходя из этого не хитрого правила и будет вам счастье.
Комментарии
Отправить комментарий