Мы и не отказываемся. Мы — интегратор, наша основная работа — помочь заказчику справиться с его зоопарком.
Мое мнение — «хороших» вендоров не бывает. Допускаю правда, что это профдеформация, потому что когда всё хорошо работает (т. е. без напильника и интуитивно понятно), нас не зовут.
Первый раз о компании Huawei и ее оборудовании я услышал в 2001 году. За прошедшие 18 лет они изменились просто космически, и продолжают меняться. Конкурентам, я считаю, следует сделать определенные выводы.
Все ваши вопросы — к продукту Huawei Agile Controller Campus. Да, продукт сложный, архитектура его неидеальна, местами загадочна. Тем не менее, наши задачи он решает.
Справедливости ради — продукт активно развивается. Новые версии уже будут не на Windows/MS SQL.
> Например, делали ли вы анализ трафика для проверки, не «отзваниваются» ли эти устройства производителю
Анализ всего передаваемого в Интернет трафика у нас в определенной степени делается, не только для устройств Huawei, но и вообще для всего, что использует наш Интернет-канал. Ничего сверхъестественного пока не нашли.
Анализа на отсутствие недокументированных возможностей (аппаратных закладок) мы не делали, это прерогатива ФСБ.
Ну и по поводу сети для гостей с периодической сменой пароля — обсуждался и такой вариант, решили всё же сделать прилично, чтобы можно было показывать клиентам. Опять же, если дойдет до расследования инцидента — хорошо бы, чтобы в логах оставались следы.
> подключусь с левой симки по СМС и расскажу в Интернет, всяких гадостей, а потом вы будете за меня отдуваться?
Не так. Вы дожны прийти ко мне в гости. Я, под своей учеткой, зайду на внутренний корпоративный портал, введу ваш телефон, и вам на него придет смс. Дальше вы подключитесь к Интернету.
В логах сохраняется, какой сотрудник запросил гостевой доступ для гостя с каким мобильинком. Т. е. в случае чего отдуваться будем вместе.
Про гостей — гость авторизуется обычным Captive Portal. Ему приходит SMS примерно такого вида: «Network: jet.guest login: 12345 password: 6789». Он подключается к открытой сети jet.guest, пытается открыть любой сайт, и ему вылезает форма авторизации, где надо ввести логин и пароль. Мобильники и планшеты обычно сами выдают уведомление, что сеть требует авторизации.
Схема с EAP-TTLS (когда для подключения надо «ковыряться в телефоне») используется для собственных устройств сотрудников, компьютеров внештатных сотрудников и других «долгих» сценариев, которые не на один день.
Бесшовность — имеется в виду 802.11r? Есть, пробовали, но выключили — разницы с точки зрения юзабилити не увидели, но наблюдали проблемы с некоторыми устройствами.
На контроллерах — да, Windows Server 2012, про лицензироание не знаю, не подскажу, но допускаю, что действительно используется вариант DataCenter.
Лицензии CAL, а также лицензию Access Management NBI для работы SOAP API — да, приобрели. Разумеется, договорились о скидках, без скидок оно несколько кусается, да.
Ну вот и мы так жили долгое время (в смысле, со всеми подключенными розетками). Потом посчитали, сколько реально используется. И уменьшили количество коммутаторов доступа со 140 до 100. Это всё же существенная экономия, в том числе по энергопотреблению.
Вы совершенно правы — такая миграция для опытной квалифицированной команды представляет собой обычную задачу.
Тем не менее, у наших заказчиков мы постоянно сталкиваемся с сомнениями и опасениями: «У нас нестандартная ситуация, очень сложная сеть, мы не можем провести сегментацию/миграцию/замену вендора/и т. п.» Одна из целей настоящей статьи — рассказать, что такие миграции можно делать, и это занимает конечный объем усилий.
1. Приложение выглядит так: youtu.be/TfTFcWdpuQs Не судите строго, я второй раз в жизни делаю видео с экрана. Серым прямоугольником закрыты реальные IP-адреса коммутаторов.
2. Наша СКС строилась по нескольким проектам в продолжение многих лет, поэтому принципы маркировки могут несколько отличаться. Маркировка на фото 1.633.R2.P03.11 расшифровывается так: 1 — здание, 633 — кроссовая, R2 — второй rack, P03 — третья патч-панель, 11 — одиннадцатая розетка. Что касается патч-кордов — используем самый простой вариант, сквозную нумерацию от 000 до 999 в пределах одной кроссовой. Лучше пока ничего не придумали.
Не приживается у нас 802.1x (в проводной сети, в беспроводной — конечно да, но об этом напишем как-нибудь потом).
Он хорош в том случае, если есть группы пользователей, условно, «Бухгалтерия», «Кадры», «Производство», «Продажи» и т. п., которые надо разнести по разным VLAN и предоставить соответствующий доступ.
Наша ситуация — есть, условно, «просто пользователи», «инженеры», «телефоны», «видеокамеры», «мультимедиа-оборудование», «другое». Причем группа «другое» — достаточно большая.
Все 34-е госты изучать и использовать не обязательно, там много воды и мусора. Но упомянутый небольшой документ считаю одним из самых важных. Фактически, в нём описан правильный порядок работы над сложной системой, и не пропущена ни одна важная стадия (за исключением корректировки рабочей документации после опытнй эксплуатции).
Да, вы правы. Если в банке заводится собственная разработка/QA (а сейчас такие — все, или скоро будут), его ИТ-службам приходится решать проблемы, очень похожие на наши.
До модернизации у нас так и было — ничего никуда не инкапсулировалось. Но в какой-то момент мы обнаружили, что между некоторыми кроссовыми и серверными есть кабели подразделения А, и кабели подразделения Б, и ещё кабели подразделения В, и хорошо бы ещё кабель протянуть, на 16 волокон, или даже на 32. Сетью с L2/L3 VPN рулить всё же проще, по крайней мере типовые задачи лучше поддаются автоматизации.
Мы используем оба варианта — для приложений/пользователей, которым достаточно обычной L3-связности, используем первый вариант, а если нужно организовать «растянутый» broadcast domain — то второй вариант. В следующей части статьи попробуем разрисовать подробнее.
Мы и не отказываемся. Мы — интегратор, наша основная работа — помочь заказчику справиться с его зоопарком.
Мое мнение — «хороших» вендоров не бывает. Допускаю правда, что это профдеформация, потому что когда всё хорошо работает (т. е. без напильника и интуитивно понятно), нас не зовут.
Справедливости ради — продукт активно развивается. Новые версии уже будут не на Windows/MS SQL.
Анализ всего передаваемого в Интернет трафика у нас в определенной степени делается, не только для устройств Huawei, но и вообще для всего, что использует наш Интернет-канал. Ничего сверхъестественного пока не нашли.
Анализа на отсутствие недокументированных возможностей (аппаратных закладок) мы не делали, это прерогатива ФСБ.
Ну и по поводу сети для гостей с периодической сменой пароля — обсуждался и такой вариант, решили всё же сделать прилично, чтобы можно было показывать клиентам. Опять же, если дойдет до расследования инцидента — хорошо бы, чтобы в логах оставались следы.
Не так. Вы дожны прийти ко мне в гости. Я, под своей учеткой, зайду на внутренний корпоративный портал, введу ваш телефон, и вам на него придет смс. Дальше вы подключитесь к Интернету.
В логах сохраняется, какой сотрудник запросил гостевой доступ для гостя с каким мобильинком. Т. е. в случае чего отдуваться будем вместе.
Схема с EAP-TTLS (когда для подключения надо «ковыряться в телефоне») используется для собственных устройств сотрудников, компьютеров внештатных сотрудников и других «долгих» сценариев, которые не на один день.
Бесшовность — имеется в виду 802.11r? Есть, пробовали, но выключили — разницы с точки зрения юзабилити не увидели, но наблюдали проблемы с некоторыми устройствами.
На контроллерах — да, Windows Server 2012, про лицензироание не знаю, не подскажу, но допускаю, что действительно используется вариант DataCenter.
Лицензии CAL, а также лицензию Access Management NBI для работы SOAP API — да, приобрели. Разумеется, договорились о скидках, без скидок оно несколько кусается, да.
Тем не менее, у наших заказчиков мы постоянно сталкиваемся с сомнениями и опасениями: «У нас нестандартная ситуация, очень сложная сеть, мы не можем провести сегментацию/миграцию/замену вендора/и т. п.» Одна из целей настоящей статьи — рассказать, что такие миграции можно делать, и это занимает конечный объем усилий.
2. Наша СКС строилась по нескольким проектам в продолжение многих лет, поэтому принципы маркировки могут несколько отличаться. Маркировка на фото 1.633.R2.P03.11 расшифровывается так: 1 — здание, 633 — кроссовая, R2 — второй rack, P03 — третья патч-панель, 11 — одиннадцатая розетка. Что касается патч-кордов — используем самый простой вариант, сквозную нумерацию от 000 до 999 в пределах одной кроссовой. Лучше пока ничего не придумали.
Про настройки можно здесь почитать: support.huawei.com/enterprise/en/doc/EDOC1000114005/f8e1b7dd/interoperation-between-switches-and-ip-phones-through-lldp-med
Он хорош в том случае, если есть группы пользователей, условно, «Бухгалтерия», «Кадры», «Производство», «Продажи» и т. п., которые надо разнести по разным VLAN и предоставить соответствующий доступ.
Наша ситуация — есть, условно, «просто пользователи», «инженеры», «телефоны», «видеокамеры», «мультимедиа-оборудование», «другое». Причем группа «другое» — достаточно большая.