Hebelz 8 июл 2019 в 11:05

Сеть для малого бизнеса на оборудовании Cisco. Часть 1

6 мин

20K

IT-инфраструктура*Сетевое оборудованиеСистемное администрирование*

Из песочницы

Комментарии 43

guru430033 8 июл 2019 в 15:05

Мне кажется, статья не совсем для Хабра. Это уровень курсовой работы учащегося колледжа, не более.

Hebelz 8 июл 2019 в 15:07

Ну учащимся в колледже тоже нужен материал :) Я достаточно часто использовал хабр как ресурс знаний во время учебы, да и подобных статей которые будут полезны эникеям по Цискам я не нашел

haxmax 8 июл 2019 в 15:05

Первый раз вижу веб-интерфейс циски. Симпатичный

Hebelz 8 июл 2019 в 15:55

Еще на высших моделях есть морда по-новее, она еще симпатичнее, думаю как-то и до ее доберемся

Grey4ip 9 июл 2019 в 00:50

Было бы хорошо описать, как сделать то же самое в консоли + настройка SSH, обновление прошивки. И про лицензии подробнее.

Hebelz 9 июл 2019 в 00:52

На этих устройствах достаточно скудный функционал консоли. Можно, конечно, вручную писать конфиги, но зачем если есть приятный веб-интерфейс

AkaZLOY 9 июл 2019 в 08:21

C каких пор на циске скудный функционал консоли?

zuek 9 июл 2019 в 12:10

Подтверждаю — на SG250 действительно консоль сильно урезали — даже метрики RSTP не отображаются в том же объёме, что в вэбке. Я не сетевик — это информация от приглашённых аутсорсеров-цискарей, которые впервые увидели "младшеньких" и впустую убили почти час, пытаясь настроить всё из консоли. Для них же откровением стал "AutoIT" (не путать с виндовым автоматизатором) — приблуда, помогающая мониторить и обновлять оборудование Cisco (по крайней мере, линейку для малого бизнеса — бесплатно).

Hebelz 9 июл 2019 в 13:43

Это серия предназначенная для штучного гибкого развертывания, из-за жтого сильная потребность в консоли отпадает, есть с десяток комманд, но они касаются только ВЛАНок и аццесс листов.

oller 17 июл 2019 в 19:23

У знакомого Sg550 штук 10, померла большая часть, дохнет кулер и по перегреву

munche 18 июл 2019 в 10:23

RV серия сейчас вообще без консоли (была в очень старых версиях прошивки у некоторых меделей). Циско не хочет там CLI делать.
На SG и SF есть консоль, но урезана, т.к. это все таки не чистая циска, а линксис и тут не IOS.
После каталистов тяжело смолбизнесы настраивать. В коммунити циски тоже не особо активны представители циски, даже на англоязычной ветке, про российскую вообще молчу.

mickvav 8 июл 2019 в 16:06

Самое интересное для малого бызнеса не раскрыто — солько оно будет стоить в сравнении с решением на оборудовании других вендоров? Микротик если воткнуть, не к ночи будь помянут, небось и дешевле и проще выйдет — там вполне можно без свича обойтись, и лицензии на ВПН не нужны, да и веб-морда не менее няшная.
Не утверждаю что оно лучше и правильнее, но автор вообще молчит о других вариантах, как будто на Cisco свет клином сошелся.

shteyner 8 июл 2019 в 16:10

Собственно тут просто за априори взяли циски, от сюда и пляшут.
Но да, как по мне, для малого бизнеса бесполезная тема, но может красиво раскроют переход к среднему, с хотя бы с парой сотен компьютеров, сотней камер и парочкой СХД и нескольких единиц другого серверного оборудования.

Hebelz 8 июл 2019 в 16:36

Именно это и есть в планах. Огромный плюс циски с СБ сегменте, это то что невозможно угадать насколько быстро у заказчика дела полетят вверх. Уже не раз на практике сталкивался с тем, что конторка на 15 компов и 2 сканера через год становится неплохой такой фирмой с 5 филиалами, парочкой серверов, ВоИП телефонией, приобретает на склад сканеры в кол-ве 100 штук и т.д… Так же огромный плюсом в сторону циска это их (хотя даже чаще дистрибуторов) отношение к рекламации, с возможностью ее решить до 2-х дней

Hebelz 8 июл 2019 в 16:38

В начале статьи я обозначил, что это не статья про выбор вендора или экономический просчет идеального решения для фирмы, а статья о том, как заставить работать именно Циско. О подборе оборудования существует куча статей, это статья исключительно о Циско

Iffann 8 июл 2019 в 16:55

длинк, нетгир вытащат влегкую все задачи статьи.
и вообще в рф малый бизнес сидит на хомяковских решениях :) хорошо, если микротик роутером.

Hebelz 8 июл 2019 в 17:00

Я в статье не обсуждаю выбор вендора, я лишь рассказываю что и как можно сделать на качественном профессиональном оборудовании, а не на полудомашних пельменях. Ну а малому бизнесу в рф могу только посочувствовать

CheBurashka 8 июл 2019 в 20:52

Решил вот начать пользоваться вланами, но есть проблема — провайдер между нашими удалёнными точками выделил влан (то есть все наши точки соединяются с помощью провайдерского влана). Какие варианты могут быть ещё, кроме доплаты провайдеру за доп.вланы?

Hebelz 9 июл 2019 в 00:09

Про схемы объеденения филиалов буду рассказывать в следующих частях, тема довольно обширная. Так что подписывайтесь и следите ;)

DaemonGloom 9 июл 2019 в 06:45

Есть два основных варианта.
1) Поднять VPN и все ваши vlan'ы завернуть в него.
2) Поднять QinQ или иной способ навесить две метки vlan одновременно. Тогда провайдер будет смотреть на верхнюю и спокойно передавать на другую вашу точку, где маршрутизатор верхнюю метку снимет и посмотрит уже на нужную.

CheBurashka 9 июл 2019 в 08:44

Спасибо, правильно я понял, что в разрыв придется доп.устройства ставить между кабелем влан и свитчом (например микротик)? Сейчас схема такая — во всех филиалах концы с вланом воткнуты в свитчи циско sg250 (как в посте)

DaemonGloom 9 июл 2019 в 17:15

Если верить документации, то sg250 должен уметь QinQ сам. Страница 222.
www.cisco.com/c/dam/en/us/td/docs/switches/lan/csbms/250_/2_4/admin_guide/english/AG_Tesla_250.pdf

CheBurashka 9 июл 2019 в 21:29

спасибо, почитаю про qinq. при беглом гуглинге — я так понял что это провайдер должен у себя заворачивать мои вланы, то есть qinq делается со стороны провайдера только?

DaemonGloom 10 июл 2019 в 07:36

Нет, можно и на вашей стороне. Как понял, для sg250 надо перевести порт в режим customer. Но с smb серией cisco дел не имел, тут уже подробнее не подскажу.

CheBurashka 10 июл 2019 в 09:07

Спасибо, сейчас хоть есть какое то направление куда смотреть, будем изучать

kiberpsyx 9 июл 2019 в 00:06

А мне вот очень понравилось, прочёл с удовлльствием. До этого Cisco не пользовался, а здесь прям всё просто и по полочкам. Hebelz продолжайте, пожалуйста :)

Hebelz 9 июл 2019 в 00:09

Благодарю, приятно слышать

gaidukav 9 июл 2019 в 01:08

Это наверное такая новая мода пошла — делать скриншоты с максимального экрана в HD, а затем тут сжимать картинку почти в три раза чтоб её невозможны было разглядеть?
Ширина колонки с текстом на хабре 780px, неужели так сложно подготовить картинки под такую ширину чтоб БЕЗ масштабирования?

Hebelz 9 июл 2019 в 09:09

Извиняюсь, на будущее поправлю. Все картинки в ПНГ, по правой кнопочке можно открыть полный размер.

anthtml 9 июл 2019 в 09:26

Имхо, делать со старта такой офис сразу на кошках и писать про сэкономить для заказчика, в наших реалиях, как-то перебор. Особенно в части брать 48 poe свитч — которые у кошек по цене крыла боинга.
Я бы лучше взял 2 24ки, одну с пое, вторую без и исходя из этого прикидывал, было бы как минимум в 1.5раза дешевше.
И да, желательно бы в статье увидеть примерный расчет данной конфигурации в сравнении mikrotik/cisco т.к. обычно в сети до 150 хостов рулят первые, а более 150 уже вторые

Hebelz 9 июл 2019 в 09:32

Ну, во-первых не ститаю цифру в 1,5к долларов какой-то невообразимой инвестицией в бизнес, вполне адекватные деньги. Да, два свитча можно было бы взять, но не раз накалывался на то, что камер, точек доступа и прочей ПоЕ лабуды становится больше, чем вообще возможно представить, а ЛАН-хостов остается мало, отсюда и выбор 48-ПоЕ, так как лучше емного переплатить в начале, чем потом докупать ради 3-4 портов еще один свитч. Дмскутироват о том, кто где рулит можно долго, но опять же при подходе именно бизнесовом (стремяшееся к нулю время простоя из-за поломки) циске нет равных.

zuek 9 июл 2019 в 12:27

Ради пары PoE-потребителей проще PoE-блок питания приколхозить — именно малому бизнесу это — оптимальное решение. Для "менее мелкого" бизнеса (те самые "пара серверов", NAS и VoIP с несколькими сотнями пользователей) — уже да, надо сегментировать по типам устройств, при чём банального сегментирования по VLAN не хватит — у SG250 процессоры не справляются с одновременным потоком видео с камер и бэкапом серверов (по мониторингу, загрузка CPU уходит в предел где-то при четырёх гигабитных сессиях) — надо или более дорогие железки ставить, или изолировать физически непересекающиеся потоки на разных свитчах.

Hebelz 9 июл 2019 в 13:39

Ооооочень сомневаюсь(уверен, пробовал) что 4 потока гиговых ЦП утилят под сотку. А инжекторы это колхоз, от которого нужно избавляться, да и цисковские инжекторы по цене тоже около 100 баксов, так что не вижу смысла сэкономить пару соток на свитче, а потом их тратить на инжекторы, ну а о использовании каких-то алишных адаптеров даже задумываться не стоит, мы же строим надежную сеть

zuek 9 июл 2019 в 15:15

Инжекторы зачастую идут в комплекте с камерами (встречал у D-Link и ST) и добавляют к стоимости оных совсем не $100, плюс, мне кажется весьма логичным видео вынести на отдельный физический свитч, хоть SF220-24P-K9-EU, хоть LGS124P-EU — по-моему, и дешевле, и надёжнее (в случае сетевых аномалий, видео не пострадает, и не будет создавать лишнюю нагрузку на оборудование).
А по поводу утилизации — увы, это из личного опыта, правда там сеть была чуть-чуть посложнее — шесть 48/50-портовых SG250, в двух кольцевых стэках (не уверен, как это называется у Cisco — термин от 3Com из начала нулевых), так при запуске бэкапов на двух серверах (с четырьмя объединёнными сетевухами на каждом) в пределах одного стэка, доступность других узлов в этом стэке резко падала, при этом утилизацию CPU монитор показывал 100%. Но повторюсь — я не сетевик (я чем-то типа руководителя IT был), "шайтан-машину" настраивал не я — мне приходилось лишь пару раз аварийно разруливать затыки в сети, ну и мониторить обстановку для постановки задач людям более сведущим. Не исключено, что большую нагрузку создавала необходимость обрабатывать "объединение" интерфейсов, раскиданных по двум физическим коммутаторам ("для отказоустойчивости" — отключение любого одного свитча в любом стеке не нарушало работоспособности сети) — это как раз случай, когда инфраструктура переросла возможности сетевого ядра, изначально построенного на цисках, "с запасом".

anthtml 9 июл 2019 в 15:53

Наоборот таки, на старте обычно считают каждую копейку и не рискуют вкладываться сразу в энтерпрайз сегмент.
Количество камер, да с течением времени в офисе может немного увеличиваться, если заказчик хочет следить за работниками, если это просто охранка, то обычно система сразу ставится на перекрытие всех входов-выходов и основных коридоров — рост не сильно большой
Точки доступа при правильном радиоанализе тоже обычно сразу же покрывают всю территорию офиса, либо изначально прописывается полное покрытие (типо сейчас ставим 2 в офисе, через полгода 2 на складе, через год 4 в цеху)
Пока не сталкивался с типичной офисной сеткой где poe-хостов больше чем обычных, если только у каждого юзера не стоит по ip телефону в разрыв LANа

ivalnew 9 июл 2019 в 13:32

У меня вопрос. Вы писали выше про рекламацию. Это реально на SMB сериях?? Мы в некоторых точках и филиалах ставим SG, но это скорее вызвано тем, что быстрее пойти в магазин и купить на замену SG из наличия, чем ставить туда 2960 и если что-то случится ждать пока привезут замену. Хотя с SG проблем не было ещё, правда у нас их не больше десятка и им года по 2 всего, а то и меньше.

Hebelz 9 июл 2019 в 13:34

Не могу ничего сказать про СНГ, но в Европе все дистрибуторы Циски имеют подменный фонд, да и сам производитель рекламации проводит достаточно быстро

ivalnew 9 июл 2019 в 15:04

Я наверное неправильно выразился. Для enterprise подменка есть всегда. Также ли это с smb? Просто насколько я знаю при smb тебе не обязаны менять железку пока не пройдет экспертиза СЦ, собственно поэтому это и smb. Я ошибаюсь?

Hebelz 9 июл 2019 в 15:51

Если честно, не вникал в вопрос подменка это обязаловка или доброта душевная дилеров, не мой головняк. Но работаем с 3 дилерами и у всех есть подменка и в smb

kakvampredlojenie 9 июл 2019 в 14:40

В целом полезная статья, мне зашла. Для тех кто только вкатывается самое оно. Единственное что рассмотрел бы подобную историю НЕ из веб-интерфейса, думаю объяснять почему всё на практике настраивается из командной строки не нужно.