Прямой эфир в субботу вечером
advertisement
Прямой эфир в субботу вечером Критики: Прямая трансляция, первый канал. Добрый вечер, добрый вечер, добрый вечер. Не переключайтесь, у нас шоу отладка. Сценаристы: Ну, в общем, начнём. Пожалуй, первым буду я. К: Представьтесь. Что вас беспокоит? С: Ну, все меня тут знают. Есть следующая задача. Вот у нас есть некая топология, и конечные пользователи, сидящие за ноутбуками – они не могут достучаться до внешнего мира. Нужно её починить и попытаться дать интернет. К: А что же за топология такая? С: Сейчас. К: Есть документация на сеть вообще? С: Ну… К: Сразу видно – CCNP. А по документации что есть? А если найду? С: Немножко есть. В общем, у нас есть два роутера R1 и R2, они соединены друг с другом по Ethernet в сеть 10.2.0.0/24 К: По Ethernet – это кабель просто? С: Ну да, да, да. К: Кроссовый кабель? С: Кроссовый кабель. Ну да, всё правильно, кроссовый кабель. К: Хорошо. Проверим. С: Дальше. Каждый из этих роутеров имеет выход во внешнюю сеть. К: В облако? С: Да. К: Интерфейс? С: R1 – Serial 0/0, сеть 1.0.0.0/24 К: Какая ещё раз сеть? С: 1.0.0.0 К: А маска какая? С: 24 К: Serial? С: Да. К: Неплохо вы публичные адреса заимели. С: R2 тоже имеет выход в интернет и его сеть 2.0.0.0/24. К: Тоже Serial? С: Да. К: С этого конца, с роутерского, какой адрес используется из этой сети? С: Пусть будет первый. К: На обоих первый? С: Да. К: 1.0.0.1 и 2.0.0.1. Хорошо. А между R1 и R2 какие IPшники? С: R1 – первый, а R2 – второй. К: Прекрасно. R1 R2 пингует? 10.2.0.2? С: Да. К: Интернет, 10… Я предлагаю топологию сначала собрать. Нет, ну хохмы ради. Вдруг уже на этом этапе. Ну ладно, продолжаем с топологией. С: К R2, ну будем считать, подключён третий роутер, который является DHCP-сервером. К: А что за роутер? А подключён как? Кроссовым кабелем или чем? С: Да, кроссовым кабелем. К: Прямо в него? Сурово. Как он называется? С: R3 пусть будет. К: Раз уж мы про сети говорим, может там сразу сказать про R2-R3? С: Хорошо. Между R2 и R3 10.3.0.0. К: Маска 24? С: Да. К: А кто первый, кто второй, или там второй третий? С: Второй третий пусть будет – R2. К: Прекрасно. С: Далее, R1 и R2 соединены со свитчом SW0. Далее SW0 соединён с двумя свитчами SW1 и SW2. Они образуют колечко. К: SW1 и SW2 соответственно, тоже между собой соединены? С: Да, да. К: Какая на всё это добро подсеть или подсети? С: Подсеть 10.1.0.0/24. У роутера R1 первый адрес, у R2 – второй адрес. К: Trunk где-то есть? С: Нет, здесь всё в первом VLAN. Ну и к SW1 и SW2 два компа подключены. К: Это которые не могут получить доступ к интернету? С: Да. К: Ноутбуки стало быть. Они как получают IPшники? По DHCP? С: Да. К: По DHCP… С: Ну по идее, должны. К: Т.е. ноутбуки воткнуты в коммутатор. Никакой точки доступа нет, которая бы… С: Нет, нет, нет. К: Хорошо, начнём с простого. Ноутбуки проверяем с помощью, не знаю какая операционка стоит, короче говоря, смотрим адрес, который по факту получился. С: Ну, в общем. Он ничего не получил. Т.е… К: Ну какой-то адрес у него есть. 169.254. Хорошо, смотрим на ноутбуках 169.254, пингуем с одного на другой. Проходит пинг? С: Да. К: Прекрасно. На R2 стоит helper-address? Стоп, стоп, стоп. Helper-address. Они по DHCP получили что-то по-твоему? Так в том-то и дело, что не получили. А причём тут helper-address? Если у них автомат конфигурации, то они с одного свитча до другого спокойно дозвонятся. А они же хотят в интернет ходить. Значит нужен DHCP. DHCP на R3, R2 не передаёт запросы как вариант. Проверяем. Так вот проверяем, ip helper-address команда есть? С: Значит… А где именно посмотреть? К: На R2. С: Какой интерфейс? К: На R2 на интерфейсе, который в коммутатор уходит. С: В общем, так ничего нет. К: А где есть? Show run и где есть? Show run – это деструктивная команда. А на R1 есть? С: На R1 тоже нет. К: Нигде нет. На R2 ни на одном из интерфейсов нет. С: Нет. К: Настраиваем. С: На R2 на все два интерфейса? К: Давайте на тот, который смотрит на коммутатор. Там точно надо. С: Хорошо. Helper-address поставили сюда. Но, к сожалению, ничего не поменялось. К: R3 – на нём на самом запущен DHCP? С: Да. К: Проверяем, есть ли у него какие-то лизы вообще. Что-то выдал? С: Да. К: Кому? С: А лизы, простите, я перепутал с пулом. Ничего не выдал никому. К: А пул какой? С: Пул начинается, пусть будет с 20 адреса 20 адресов. К: А сеть? С: 10.1.0.0 с маской 24. Там нормально. К: Т.е. пинги между R2 и R3 ходят? С: Да. Т.е. R2 пингует R3. К: Т.е. у нас сейчас есть команда ip helper-address 10.3.0.3 на R2? С: Угу. К: Внимание, вопрос. Если на ноутбуке настроить адрес 10.1.0.25, шлюз указать 10.1.0.2. Есть пинг до R3? С: Нет. К: А в R3 есть маршрут какой-нибудь в сеть 10.1.0.0? С: Нет, нет маршрута. К: Прекрасно. Значит надо сделать. Делаем статический маршрут по умолчанию ip route 0.0.0.0 0.0.0.0 на интерфейс соответствующий, который там. На next hop лучше, 10.3.0.2. С: 10.3.0.2. Поменяли. Но, к сожалению, всё равно не могут достучаться. К: От компьютера до R3? С: Нет, т.е. от компьютера до R3… К: Пинг идёт? С: Сейчас, сейчас, сейчас. К: Вы там настроили статический адрес в сети 10.1.0.0, указали правильным шлюзом R2. Соответственно, до R2 доходит пинг? С: До R2 доходит, да. К: До R2 до интерфейса в сторону R3 доходит пинг? С: Доходит. К: До R3 до 10.3.0.3 доходит пинг? С: Доходит. К: С ноутбука? С: С ноутбука. К: Значит как минимум у нас есть маршрут. Хорошо, на R2 есть ACL? С: Так… Нет, ничего нет. К: На R3? С: Тоже нет. К: И, в принципе, ipconfig /release, ipconfig /renew делаете, и ничего не получает? Ноутбук. Вот если сейчас сделать ipconfig /release, ipconfig /renew С: Нет. К: А у всех ноутбуков Windows и там получить IP-адрес автоматически? С: Да. К: Очевидно, где-то не доходит. Либо в одну сторону, либо в другую сторону. Судья: Я думаю, что Windows не активирован. К: Windows мстит, за то, что его не активировали. Скорее всего там пиратская Ubuntu стоит с темой под Windows. Ну ладно. А ping-то проходит? От компьютера, если статически настроить до R3. С: Да. А! К: Так да или нет? С: А я немножко забылся. Нет, лучше скажем, что нет, не проходит. Я забыл одну проблему, которая здесь не позволяла. К: Прошу судью занести в протокол, что он путается в показаниях. С: Чёрт. К: Значит пинг не доходит. Я подозреваю, что виноват тот, кто обратился в техподдержку. Причём маршруты у нас стоят. Значит R2 если запустить пинг с интерфейса, который 10.1.0.2 до R3 проходит? С: С 10.1.0.2 до R3 проходит. К: О как интересно. Значит до R3 доходит пинг. С: С R2 до R3 доходит пинг. К: Даже если мы делаем source интерфейс, который из другой подсети? С: … К: Ещё раз: мы пускаем пинг, отдельно указываем source 10.1.0.2. А у нас на коммутаторах не стоит каких-нибудь фильтров broadcast? Может стоять, не исключено. На коммутаторах есть фильтрующие настройки какие-нибудь? С: Нет. К: На них вообще есть какие-нибудь настройки? С: Не-а. К: Т.е. они как свитчи работают. Слушай, а вообще, STP на них есть? С: Да. К: Отработал STP? С: … К: Какие огоньки горят оранжевым? С: Ну, в общем, честно говоря… SW0 – там два огонька не горит. К: Два огонька. Вопрос – которые? С: Огоньки, которые ведут к SW1 и SW2. К: Прекрасно. Вот она и проблемка-то всплыла. А интерфейсы-то там подняты? С: Судя по всему нет. К: Давайте поднимем. Ну если коммутаторы, и их никто не настраивал… Обождите, стоп, секунду. А как тогда пинги от компьютера ходили до R2? Они не ходили. Они ходили. С: Я потом сказал, что они не дошли. Я сказал, что… К: А, т.е. они вышли, потом через 5 минут вернулись, сказали «извини, чувак, не дошли, вот как-то не добрались». Что-то мне подсказывает, что там нестабильная связь на физическом уровне. Либо нестабильно у сценаристов. С: Дело в том, что вы спросили 10.1.0.2 с интерфейса R2. К: Нет, ещё давно, давно, когда проверяли связь до R2. Всё-таки не было связи до R2? С: Забыл кое-что. К: Забыл кое-что выключить. Включили коммутатор. DHCP проходит теперь? С: DHCP проходит. К: Всё нормально? Адреса, шлюз указан нормально? Разбираемся дальше. К вопросу о шлюзе. Какой приходит шлюз? Нет ли у вас часом каких-нибудь FHRP? Два маршрутизатора и коммутатор очень похожи. С: Нет. Теперь уже нет. К: Погодите. У нас DHCP раздаётся, а в интернет мы не можем выйти. С: Да, в интернет мы не можем выйти. К: Шлюз какой раздаётся? С: 10.1.0.64 К: Ага исправляем. А давайте сделаем HSRP на него. Чего нам. С: Ну давайте, почему нет. К: А вот 10.1.0.64 – можно посмотреть standby конфигурацию или show running-config – есть чтонибудь? С: Нет, там ничего нет. К: У нас 10.1.0.64 не входит в раздаваемый пул? С: Нет. К: В excluded-address значится? С: Просто пул раздаёт с 20 по 39. К: А, понятно. С: Стоит как excluded-address? К: Нет. С: Давайте на всякий случай поставим. К: Подожди, 10.1.0.64 – это же вообще какой-то левый адрес. Это адрес из той подсети, но он не раздаётся. И я предлагаю на него сделать виртуальный роутер. Нет, уточните товарищи: вам просто интернет, или повыпендриваться? С: Давайте повыпендриваться. К: Раз ты предложил, тебе и настраивать. Так чего. На первом и на втором роутере standby ip, там одинаковая группа нужна. О господи, standby, группа одинаковая, ip… 10.0.1.64. С: Это, если я не ошибаюсь на интерфейсе или что-то такое? К: Нет, из конфига. Суров ты с конфига standby делать. Мне кажется, что standby делается всё-таки на интерфейсе. Ну да. Значит, на интерфейсе, которые идут на коммутатор. Так, с выпендриванием-то попали. Понятно, решил блеснуть знаниями. Я бы как сделал: надо зайти в режим конфигурирования интерфейса, нажать вопросик. Ну и что оно показывает? С: Т.е. вы сделали standby и ещё не хотели бы ничего поменять? Там, в DHCP настройках? К: Мы пока это делаем, а потом будем настройки DHCP менять. А DNS у вас вообще есть гденибудь? С: DNS нет. К: А как вы в интернет ходите? С: Ну… К: А есть у вас вообще DNS адрес? Сделайте 8.8.8.8 и всё. Ну всё, давайте 8.8.8.8. На том, который DHCP раздаёт прописываем DNS сервер 8.8.8.8. С: И ещё что? Мы там default-gateway прописывали или нет? К: Мы оставим 10.1.0.64. С: А. К: Мы даже на него подняли standby. Погодите, а у нас DHCP раздаётся, у нас шлюз пингуется или нет? С: Да. К: Пингуется. Теперь вопрос: как у нас, в интернеты уже выходят? С: Да. К: Ещё какие-то вопросы остались? С: Нет. Вопросов не осталось. К: Все довольны? С: Ну да. К: Понимаешь, можно один роутер на время загасить и будет связь. Судья: Хорошо, у меня вопрос к сценаристам. У вас два интернета – это разные интернеты, или один? С: Да, честно говоря, не думал. Пусть будет один. Только подключён с двух сторон. Судья: Т.е. нам выделили две сети класса A? К: С маской 24. Первую и вторую. Т.е. это вообще такой мега-интернет. Судья: Между первой и второй… К: Ситуация, когда IPv4 адреса уже никому не нужны. General Motors шли, шли, выбросили на помойку, а тут они шли и подобрали. Провайдер просто отжал сетки две. Судья: Хорошо, двигаемся дальше. С: Добрый день. У нас в некоторых местах не работает, в некоторых местах работает странно. К: Так погоди. WiFi что ли? Какая вообще топология? Как что с чем соединено? Документация есть? С: Документация у нас была раньше, она плохая. К: Давайте плохую. Понятно, а чем она была плохая. Срок давности этой документации? Она была на китайском. С: Ей уже лет 7 и с тех пор мы немного изменили. К: А документацию не изменили. Т.е. хабы, которые стояли, вы заменили на коммутаторы. Документацию изменить забыли. А голову вы не забыли? С: Нет. К: Ну ладно. Вначале будем делать документацию. Ещё раз в чём проблема? С: У нас в некоторых местах интернет не работает, в некоторых местах сеть работает странно. К: О, странно. А странно – это как? Какие симптомы? Куда ни заходишь – везде порно-сайты открываются. Проверьте hosts. С: Заходишь в Windows – там баннер. К: Просит SMS-ку. С: Грузит медленно. К: А, просто медленно. С: Причём, очень медленно. К: А медленно – это что? Т.е. пинг большой? Не грузится ничего, торренты не качают. Сделайте ping www.ru. Сколько там пингов потеряется? А пинги теряются, или только медленно ходят? С: Они дают большое время. К: Только большое время? А если trace сделать, то сколько шагов? Хотя бы до выхода, до ближайшего провайдерского IP адреса. Так www.ru пингуется. Так может он крутится. А, то кстати говоря да. С: Два. К: Два шага? Это мы и есть www.ru. Теперь всё понятно. А на каком шаге там много миллисекунд? С: До провайдера. К: Хорошо. И сколько до провайдера миллисекунд? Какая разница. Давайте топологию уже рисовать. Мы как-бы пытаемся. Два хопа до провайдера – это уже понимаешь. Мы ещё разминаемся. На каком хопе сколько миллисекунд получается? С: Ну, уже на первом. К: А второй сколько добавляет? Столько же много, или чуть-чуть? С: Немного. К: Ну хорошо. Может там какое-нибудь особо медленное подключение serial 9600. 1200. А какой кабель у вас воткнут вообще? Между первым и вторым хопом. У них же на первом хопе уже задержки. По кабелю или по беспроводному? С: По кабелю. К: Хорошо, какой кабель? С: Нормальный. 100 мегабит. К: Какое у вас устройство в качестве шлюза по умолчанию используется? С: Это наш маршрутизатор, и он одним концом смотрит в интернет, который нам выделил провайдер. К: Хорошо, и в ту сторону какой кабель? С: В ту? К: Да. С: Ethernet. К: Нормальный кабель? 100 мегабит, обжатый по нормальному стандарту? С: Там до провайдера мы гигабит запросили. К: А у вас там кабель медный, или оптика? С: Медный. К: Просто кроссовый кабель? Т.е. вы в одном здании с провайдером что ли находитесь? Я говорю, это www.ru, это они и есть. И спрашивают, почему у нас интернеты не работают. Значит, тут у нас прямой, т.е. кроссовый кабель до провайдера идёт. Хорошо, а вот от этого первого хопа пинг сколько? Пинг проходит? С: Да. К: Прекрасно. Сколько? Маленький? С: Угу. К: А вот от этого хопа до компьютера пинг большой. С: Угу. К: Между вот этим компьютером и роутером что-то ещё есть? Свитчи какие-нибудь? С: Есть. К: Прекрасно. Смотрим. Что там есть, какие устройства. Давайте обозначим первый хоп R1, второй хоп R2. Соответственно R2 подключен к провайдеру на 1 гигабит. С: У нас маршрутизатор один всего. К: А, всё понял. Тогда ISP. Т.е. к провайдеру от ISP до R1 гигабитный линк. А здесь у нас начинается локальная сеть. R1, у него значит два интерфейса задействовано. С: Три. К: Три, хорошо. Третий кто? Это наверное тот, который не работает. С: Да. К: Хорошо. Вот к этому R1… Давайте с другой стороны начнём. Вот у нас компьютер, у которого всё работает. Он воткнут в хаб, или в коммутатор? С: В коммутатор. К: В коммутатор. У вас есть какое-то название для этого коммутатора? По документации. Или его в документации ещё нет? Судья: Инвентарный номер есть. К: Тогда давайте его SW1 назовём. Замечательно. Дальше, этот коммутатор SW1 – он ещё воткнут в какие-нибудь коммутаторы? С: Так. Давайте я вам скажу топологию. У нас тот линк, где не работает – это коммутатор, который воткнут в маршрутизатор… К: Это где не работает? С: Да, он там один всего. И к нему подключены пользователи. К: У которых не работает. У всех? С: Да. К: Это SW1? Это уже SW2. С: SW2. К: Т.е. SW1 подключен в R1, SW2 подключен в R1. Правильно? С: Да. Теперь к SW1 подключен ещё SW3. К SW3 подключены SW4 и SW5. И к SW4 подключен SW6. К: Главный вопрос – зачем. Я не могу понять – к SW3 у нас два коммутатора подключены. С: Да. К: SW4 и SW5, а SW6 как подключен? С: К SW4. К: Куда они ведут? Кто к ним подключен? С: Пользователи подключаются к SW1, SW5, SW6 и SW4. К: Т.е. к SW3 они не подключаются. С: К SW3 пока нет. Но в будущем мы кого-нибудь там подключим. К: И к R1 подключен который из этих? С: SW1. К: Т.е. вот такой цепочкой. У все, кто подключен к этим разным свитчам интернет нормально работает? Нет, у них ненормально у всех. С: Он работает странно. Пользователи между собой некоторые нормально могут общаться, а некоторые плохо. К: А плохо – это медленно? С: Да. Но это бывает иногда, иногда нормально, иногда медленно. К: А у вас эти коммутаторы как-то настраивали, или просто они приехали с завода и вы их воткнули? С: Их настраивал администратор, но мы его уволили, потому что у нас и так всё хорошо работало. К: Ага. Это уже наводит. А вы где-то backup конфигураций храните? С: Да, мы один раз сохранили, иногда перезапускаем, восстанавливаем и всё. К: А вот у вас этот компьютер, на котором мы сейчас всё проверяли – он в какой коммутатор воткнут? С: Который проверяли? К: Вот с которого трассировку пускали в два хопа. С: Он был воткнут в SW6. К: Так, давайте по порядку. У кого работает хорошо и интернет, и локальная сеть. У тех, кто в SW1 включены. С: М-м-м… К: Что плохо? Интернет? Давайте с физики начнём. Вот этот компьютер, который воткнут в SW6 – он хорошо вообще работает с другими компьютерами, которые воткнуты в SW6? С: Да. К: Значит между ними всё хорошо. С компьютерами, которые воткнуты в SW4 – он хорошо работает или нет? С: Он их не видит и по документации он их и не должен видеть. К: А, т.е. он до них даже не может пинг пустить. Судья: Это по устаревшей документации? К: А у них другой нет. Хорошо пинги между компьютерами, которые воткнуты в SW6 и SW5 ходят или нет? С: Между некоторыми ходят, между некоторыми не ходят, между некоторыми и не должны ходить. К: А, есть такие, между которыми должны ходить, но не ходят или наоборот. С: Да. К: Пахнет private vlan. Теперь скажите, это был не я. Теперь, я понимаю, у нас были какие-то компьютеры, связь межу которыми в сети была, но медленно. Вот компьютер, который в SW6 воткнут. У него с какими компьютерами вот такая вот связь? С: Которые в SW1. К: А у нас ещё прямо в SW1 есть воткнутые компьютеры. С: Да. К: Ага, с этими плоховато. Слушайте коллеги, у меня чего-то возникла свежая мысль, когда я начал засыпать: а кто мешает снести всё нафиг и настроить по-человечьи. Какую задачу вы вообще решаете? Вам нужно, чтобы компьютеры просто ходили в интернет, или у вас есть ещё какие-то задачи, которые решаются с помощью такой хитрой конфигурации – одни должны, другие не должны, почему так вообще? Судья: Я так понимаю, им нужны шашечки. К: Я не знаю, что вам нужно. Кроме интернета. С: У нас есть много отделов, и мы завернули каждый в свой VLAN. К: А кто мешает взять и заново настроить грубо говоря? С: Тут на каждом свитче такие настройки, что переделывать… К: Нет, если вы скажете нам, какие компьютеры должны с какими связь иметь, грубо говоря, кто в одном отделе, кто в разных, мы вам настроим идеально, всё будет работать сразу. Буквально за 5 секунд. Удалённо, без telnet. С: Запутано. К: Что запутано? Сколько у вас компьютеров? Сразу скажите, конфигурации имеют историческую ценность, её нельзя сбивать. Я правильно понимаю? Подожди, нет, это не правильно. Не подсказывай. Мы должны без всякого уважения относиться к конфигурациям. А, я понял, конфигурация осталась как память об уволенном админе. С: … шесть. К: Вы послушайте, шесть. Шесть отделов всего. И вы из-за шести отделов нас заставляете городить такую фигню? А давайте мы вам иерархическую модель замутим. А вообще, вас сейчас беспокоит больше всего интернет или что? С: Беспокоит, что некоторые пользователи сидят без интернета… К: Это которые подключены на SW2. С: Да. И то, что у остальных нестабильная связь. К: Может дожмём у которых вообще нет связи. Им будет чуточку побольше счастья. Мне не нравится сама идея, что вместо того, чтобы настраивать по-человечески, мы пытаемся восстановить то, что было изначально криво и, вероятно, ещё подпорчено уходящим админом. На самом деле интересно узнать модель этих коммутаторов, и что они могут. Коммутаторы второго уровня. Потому что с точки зрения надёжности вот это вот SW1 точка отказа, R1 точка отказа, SW3 тоже неплохо – вылетает половина сети, если он. Т.е. подключение очень интересно сделано. Дерево несбалансированное. Да, можно переделать гораздо лучше, и у вас будет быстрее, эффективнее, безопаснее и куда проще управляться. Судья: Бюджета нету наверное. К: Что значит бюджета нет. Там даже бюджета не надо. Ты хочешь сказать, что мы бесплатно делать будем? Ну пока мы бесплатно ковыряемся с непонятной конфигурацией. Бесплатно? А вообще, какие у нас отношения с заказчиком? С: По идее, заказчик захотел – вы должны сделать. К: Заказчик не может хотеть, чтобы мы настроили на таком-то свитче с помощью такой-то команды такую-то конфигурацию. Мы вроде изначально обсуждали, что заказчик функционал задаёт. Кто сказал, что нет бюджета вообще?! С: Вы знаете, у нас такая топология, и такое оборудование почему? Потому что провода и так длинные, и если другую, то расстояние будет ещё больше. К: А где у нас провода длинные? С: Между свитчами. К: Где-то есть больше 100 метров? С: Вот если между любыми, которые не подключены – там больше 100 метров будет. К: Слушайте, вот выкинуть лишнее нафиг, сделать оптоволокно – было бы даже дешевле. Ну ладно. Вот и поговорили. Хорошо, разбираемся с теми, кто у кого не работает интернет. На свитче 2 есть настройки? С: Есть. К: Помимо по умолчальных. Что там есть? С: Там есть 3 VLAN. К: 3 VLAN. А сколько надо? С: 3 и нужно. К: Т.е. 3 отдела там? С: Там 2 отдела и сервер расположен. К: Что за сервер? С: Для другого отдела. К: К нему все должны иметь доступ? С: Один отдел. К: Только один отдел. А этот отдел где-то в другом месте находится? С: Да. К: А не проще ли перенести сервер к тому отделу, которому он реально нужен? Это вообще-то guide-line такой основной при разработке сетей. С: Он очень тяжёлый. К: Он замурован в стенку. Тогда переместите отдел нафиг. Компьютеры под мышку и пошли. С: Нет, там тяжело. Если есть грузчики, то можно. У вас есть знакомые грузчики? К: Есть. Мы в ночную смену работаем. Вот те специалисты, которые настраивали сеть – они как раз подойдут. Так, у нас есть, грубо говоря, три VLAN на этом свитче, я правильно понимаю? С: Да. К: И сервер находится в каком-то VLAN, в котором находится отдел, который тоже на этом же коммутаторе. С: Отдел – он на другом. К: Отдел у нас на дереве висит. А, отдел вообще в другом месте. Т.е. получается… С: Часть отдела на SW4, часть на SW5. К: Часть на SW4, часть на SW5. Шайтан! А не подскажите, на SW4 и SW5 этот отдел в каком VLAN вообще находится? С: 21. К: Давайте вообще запишем список VLAN. Их 6 штук? С: Да. К: Диктуем. Подожди, а сервер – он в отдельном VLAN или в чьём-то? С: В отдельном. К: Т.е. в седьмом? У нас 6 отделов и ещё для сервера один VLAN. С: Да. К: Да? Отдельный. Значит сервер у нас ещё в отдельном VLAN. Ну всё, давайте список VLAN. Вы их хотя бы именовали? С: Да. К: Хорошо, названия. И номера можно. С: 10, 11, 12 К: Подожди. 10, 11, 12. 21 я слышал. С: 20, 21, 22. К: Сервер в каком? С: А сервер в 23. К: Ещё какие-то есть номера? С: Нету. К: Врёте, первый точно должен быть. Ага, а также 1003, 1004, 1005 и 1006. А у них может быть оборудование не Cisco. У вас производитель оборудования кто? С: Cisco. К: Всё-таки Cisco. Так что врут. С: Мы их купили, денег больше у нас нет. К: Т.е. 1 ещё и тысяча там с чем-то. Ну тысячные нас не сильно интересуют. Но они там должны быть и они там есть. Интересно, а если выполнить команду show mac address… А откуда менеджеру знать? У нас менеджер даже про VLAN знает. Продвинутый. Чёрт. Может вообще IT менеджер. Это продвинутый грузчик я бы сказал. Просто уволился из этой конторы, а потом устроился менеджером. Но он просто уже всё забыл. Сбрил бороду и ушёл в менеджеры. Трагедия, трагедия. Вообще интересно… это вообще теоретический вопрос. Мне просто было интересно, MAC адреса есть какие-нибудь в 1 VLAN или нет. В 1 VLAN есть кто-то? С: В 1 VLAN нет. К: Best practices! На втором свитче есть сервер в 23 VLAN. Кто ещё на нём висит? С: Отдел, который в 10 VLAN и отдел, который в 11. К: Внутри отделов они на этом коммутаторе хотя бы нормально работают между собой? Стоп, второй вопрос. Вы говорил, что не все отделы должны пересекаться. Какие пересекаться не должны? С: 21 с остальными. А остальные между собой могут. К: 21 изолированный, у остальных связь всех со всеми. С: Да. К: И кому нужен… Так, а сервер? Сервер со всеми, видимо. А сервер с 21 общается? С: Они сейчас не могут. К: Они вообще должны или не должны с сервером общаться? Спросите пользователей. С: По документации к этому серверу имеют доступ пользователи 21 VLAN, остальные – нет. К: Подожди, в 21 же один… А, понял. Только пользователи 21 VLAN общаются с 23, а все остальные – нет. Т.е. они в каком-то смысле два вот таких изолированных. Пользователи 21 VLAN должны ходить в интернет? С: Да. К: Да должны. У нас на SW2 что за пользователи вообще сидят? С: Из 10 VLAN и из 11. К: Мне просто хочется им интернет дать. Внимание, вопрос: между SW2 и R1 линк какой? Trunk? С: Нет, access. К: Access, прекрасно. Настраиваем с одного конца switchport mode trunk. Native сделаем… Какой у вас native, вы сказали, что у вас первый убитый. А, у вас trunk нету, я забыл. С: У нас в других местах есть trunk. К: Native VLAN одинаковый? С: Да. К: Какой? Не выдаёт в консольку native VLAN mismatch? Потому что CDP отключен. А отключен CDP? Мы ещё не знаем. Cdp enable, я забыл… Cdp run. С: Где? К: Везде! На всех коммутаторах и маршрутизаторах просьба выполнить команду cdp run. С: Так, и дальше что? К: Кто кого видит по cdp, начнём с простого. Господи, мы так ничего не отладим. Все видят всех, кого должны? С: Да. К: Прекрасно. Судья: Спокойно вам за время платят. К: А что мы тогда торопимся, коллеги? У нас же ситуация не горит. Какой у вас native VLAN? С: Второй. К: Он у вас нигде не встречается? С: Да. К: SW2-R1 и SW1-R1 тоже сделаем второй. На интерфейсе настраиваем соответствующую инкапсуляцию. Настраиваем подинтерфейсы. С: Они есть. К: Какие? Инкапсуляция там dot1q стоит или isl? С: Dot1q. К: О. В сторону SW2 какие инкапсуляции поставлены? Сколько подинтерфейсов и какие инкапсуляции? С: Вы знаете, пользователи, которые на SW2 – они ходить стали. К: Ура. Мы сделали. Слышишь, пользователи – это в детском саду сеть – пользователи – они начали ходить. А в младшей ясельной группе интернета до сих пор нет. Они вообще не жалуются на качество жизни? С: Нет. К: А, у этих всё летает. С: Да, но у других отделов всё по-прежнему. К: Т.е. у других плохо. Внимание, давайте сразу сервер изолируем по горячим следам. Вот сервер должен связываться только с 21 – поставим ему ACL… А там вообще есть ACL? …на вход. Так, а куда он у нас вывешивается, на подинтерфейсы? Да, конечно. На подинтерфейсе, который 23 VLAN, сделаем следующее: на вход на подинтерфейсы, которые относятся к 10 и 11 VLAN ставим ACL с deny пакетов отправленных на адрес сервера. Соответственно, permit на всё остальное. Значит, 10 и 11 стали ходить в интернет. Подожди, про сервер пока не было речи. Вот мы когда сделали trunk, вот у нас 21 отдел – он ходит на 23? Мы пока про ту часть вообще молчим. Я просто хотел сервер сразу изолировать от 10 и 11 VLAN. А вообще вопрос такой: вот у нас есть сервер на 23. Там на маршрутизаторе уже был список контроля доступа ил нет? Может, там уже всё нормально. С: Да, был. К: А там что написано. Было, по крайней мере? Цифры, буковки написаны. У нас человек даже в VLAN разбирается. С: Там был ограничен 21… К: Ограничен – имеется в виду был доступ или нет? Так мы уже сделали нормально, Ярослав поставил. Так Ярослав что сказал, запретить доступ к 10 и 11 VLAN, а остальным permit. Если подменить один другим, то всё должно быть хорошо. Для 21 этот ACL не имеет значения, поскольку он стоит на входе подинтерфейсов 10 и 11 VLAN. А, вот так. Нет, всё нормально. Вот с этой частью мы его убили в том месте, где его надо убить. Теперь смотрим более длинную ветку. R1 со свитчом… Подожди, мы ещё… раз уж мы зацепились за этот ACL, надо его досмотреть. Т.е. какая идеология: мы его убираем и ставим ACL всем остальным, или мы поставим просто серверу индивидуальный. Я думаю, мы будем на source ставить, чтобы у нас меньше траффика ходило по этой топологии левого. Ну ACL нам всё равно ставить на роутере. Ах да. Т.е. этот ACL сносим, который стоял старый? Давайте снесём. Удаляем. Т.е. у нас требования есть, мы их удовлетворили. Снесла курочка дедушке ACL. Начисто. Так, ну что, получается мы эту ветку почти всё. Т.е. они у нас теперь ходят в интернет, не ходят на сервер и сервер ходит в 21 отдел. Давай пойдём, мне нравится по физическому уровню. Вот у нас R1, а следующий коммутатор SW1. Линк есть физический? С: Да. К: Trunk на SW1 настроен? С: Там везде trunk… К: На R1 инкапсуляция настроена? С: …у нас большая сеть, поэтому везде trunk. К: На R1 инкапсуляция настроена? Подожди, там даже интернет есть. На SW1 компьютеры из каких VLAN есть? С: 11, 12. К: Ага, т.е. у вас 11 VLAN – он существует ещё и здесь. Проходит связь от 11 SW1 к 11 SW2? С: Да. Но… К: А IP-сеть там одинаковая? Что но? С: Как-то плоховато иногда. К: В чём выражается? С: Иногда медленно. К: Иногда и медленно. Прерывается или медленно? С: Просто медленно. К: Просто медленно. С: Мы один раз разбирались – у нас вроде бы свитч, но он как-то работает как хаб. К: Таблица MAC адресов переполняется. С: Мы его перезагружаем, всё хорошо, потом опять. К: Слушайте, меня вот смущает. У нас отдел в 11 VLAN, и этот 11 VLAN есть на коммутаторе 2 и на коммутаторе 1, а коммутатор 2 и коммутатор 1 между собой каким-нибудь кабелем воткнуты? Т.е. соединены или нет? Т.е. у нас 11 есть и там и там. Вот! Это, кстати говоря, хороший вопрос. У нас есть R1. Там два подинтерфейса, разных. И мы на них назначаем одну подсеть, так? И как это должно работать? Так, а IP адреса, которые на коммутатор 2 и на коммутатор 1 – они из одной подсети? Не подсказывай, пусть сами выкручиваются. IP адреса и маска какие? С: Ещё раз. К: Вот у нас есть компьютеры из VLAN 11. На коммутаторе 2 и на коммутаторе 1, как я понимаю из вашей идеологии, это должен быть один и тот же отдел. С: Да. К: Вот. Скажите, пожалуйста, IP адрес и маску компьютера, который в этом VLAN на коммутаторе 2 и IP адрес и маску компьютера, который в этом VLAN на коммутаторе 1. С: Так… На… К: Нет, ну тут можно выкрутиться пока ещё. С: На втором 10.1.11.1. К: Маска какая? С: 24. К: А на SW1? С: 10.0.11.1 К: И маска 24. Ага. Ну я же говорил, что можно ещё выкрутиться. Т.е. оно тут как бы идеологически не совсем верно VLAN тут у нас розданы. Немножко идеологически совсем неверно. Так, и вы говорите, что у вас между компьютером, который на SW1, и который на SW2 как там со связью? С: Иногда как-то не очень. К: Ну ладно, SW1. Проще. На SW1 таблица MAC адресов – сколько записей? С: Ой, много чего-то. К: Много, это сколько? 8192? Т.е. show mac address команду когда вводишь, там в конце какая цифра? С: Мы до утра мотаем. К: Т.е. не хватало времени. А какие записи там содержатся? Кстати говоря, сколько экранов вы проматываете? Всё, что больше трёх – это много. С: Мы экранов 100 промотали, потом забили. К: 100 экранов. А сколько у вас компьютеров вообще в этом сегменте, которые через SW1 и SW2; которые через SW1, 3, 4, 5 и 6 – сколько там вообще компьютеров? С: В сумме? К: Да. С: Ну, по документации написано, что их 60, но тут записей больше. Судья: Документация же устарела. К: А по инвентаризации? Сколько настраивали? Сколько там компьютеров физически? С: В документации было 60, но некоторые убрали, некоторые подключили, так что 70. К: Т.е. 70 компьютеров. И при этом сколько экранов, 10? 10 экранов по 20 строчек. 100 экранов. Короче говоря, у них за 2000. Что делаем сейчас на всякий случай для профилактики на всех свитчах делаем… С: У нас ещё этот свитч – там порты тогда для того, чтобы пользователи втыкали ноутбуки – возможно там что-то поломали. К: Сколько стоит старение записей? Это ты тонко вообще. В таблице MAC адресов адреса вообще устаревают, или вы их навеки настроили, чтобы оно запоминало? Кстати говоря, они динамические получаются, или статические? Там слово dynamic или static? С: Dynamic. Судья: Антистатик. К: Антистатик. А у вас антивирусы стоят на всех… Не, не, не, ещё раз. Сколько стоит старение? Видимо, вы поставили всё-таки старение MAC адресов. Бесконечность? Меняли ли вы настройки… Короче, куда лезли своими руками? С: Мы поставили старение большое число. К: Сделайте нормальное число. По умолчанию. 300. Что прибор? 300. Что 300? А что прибор? Поставили? С: Да. К: Ну давайте 5 минут подождём, вот они прошли. Сколько сейчас, что у вас там с MAC адресами? С: Их тоже… К: Давайте мы таблицу собьём уже. С: …многовато. К: Clear mac address-table. Да, наступила ночь, мы выполнили команду clear mac address-table. А, в любое время. С: Их много, но меньше уже. К: Сколько? Внимание… Сколько экранов проматываете? Господи… Проще: на те порты, которые не предназначены для подключения… С: Предназначены все. К: Всех кого попало. Т.е. у вас все порты для всех, кого попало. Switchport security – нет такого понятия? У них вообще security – такого понятия нет, они не знают, что такое безопасность. Давайте туда навешаем port-security и по единичке dynamic. Пусть они подключают что хотят, лишь бы не точки доступа. А у вас точек доступа нету? С: Нету. К: Это хорошо, что нету. Официально нету. С: Чтобы из других отделов не слушали. К: Чего? С: Чтобы другие отделы интернет не брали. К: А SW1 интернет в отделы продают. Короче, port-security mac-address sticky, и режим сделаем shutdown и посмотрим, кого вырубит в первую очередь. С: Угу. К: Зачем sticky? Кого вырубило? Зачем sticky вообще? Просто единичкой ограничить. Ну давайте. Т.е. максимальное количество адресов на каждом порту – единичка. Кого зашатдаунило? С: Вроде нормально всё, никто не жалуется. К: Т.е. у всех всё нормально стало. Ну ладно. Будем считать, что починили. Что будем делать с соединением SW1-R1? И одинаковыми VLAN? С SW1 скорость нормальная стала? С: Ну, получше. К: С 11 получше, или нормально? С: Ну и ещё тут сейчас пожаловался один из пользователей, который в SW5, что у него интернет. К: Т.е. у него пропал интернет. С: Да. Но он что-то там сделал. К: Объявите ему амнистию за сдачу точки доступа. Порт включен, который… Что! Мы! Делаем! С! Тем! Что! У! Нас! Одинаковые адреса на двух разных портах маршрутизатора! Нет, уже разные. Выкрутились, ты прослушал. Здесь 10.1, а тут 10.0. Это один VLAN? Один VLAN, но адреса разные. Ну так и ладно. Состоит из разных адресов? Ну у них в принципе криво. Т.е. это идеологически неверно, но у них всё работает у пользователей… Судья: У меня вопрос: а администратора точно уволили за то, что всё работало? К: Я бы сказал, что удивительно, что всё работает, кроме одного пользователя. С: Мы просили его, чтобы он пароли везде снял, он снял и ушёл. К: Давайте сначала дожмём этого пользователя, а потом уже будем настраивать идеологически верно. Добьём его. У пользователя комп включен? С: Да. К: Когда show interfaces команду выполняете, что там в первой строчке? С: Это деструктивная атака, в первой строчке. К: 28 символ 3 строки назовите пожалуйста. Нет, нет, там очень просто. Там есть err-disable, или там всё нормально? С: Нормально всё. Судья: Вообще в первой строчке написано интерфейс такой-то. К: Нет, я конечно могу ошибаться, я уже давно не это, но там по-моему в первой же строчке пишется, что интерфейс в up. Судья: Нет, это пишется во второй. К: interface is up, line protocol is up, так? Судья: Это во второй пишется, а в первой пишется имя интерфейса. К: Я хочу срочно оборудование. Ломка уже началась? Ну ладно, короче интерфейс в up, line protocol в up, никаких err-disable нет. С: Угу. К: Ага, и это именно тогда, когда у вас произошло… Он настройки не менял. С: Он их подкручивал маленько. К: Вопрос. Внимание, вопрос. У вас адреса все статически настраиваются? С: Да. К: Во всей фирме? 60 компов и плюс ещё сколько-то – всё статикой. Вы не задумывались о том, что на R1 можно настроить DHCP сервер? Давайте юзера дожмём. Что он там подковыривал? С: Он себе IP адрес более красивый взял. К: Внимание, вопрос. А какой у него должен быть по документации IP адрес? Такой и ставим. С: Из 11 VLAN. К: Шлюз – это интерфейс R1, подинтерфейс, у которого инкапсуляция – 11. С: Угу. К: Всё, заработало? С: Да. К: Ещё у каких-то пользователей что-то? Да, есть какие-нибудь проблемы? У них проблема – это вся сеть. Подожди. Т.е. сейчас нет проблем? С: Нет. К: Хотите ли вы, чтобы мы вам за отдельные деньги сделали вам нормальную сеть? Судья: Нет, они за отдельные деньги не хотят, потому что они все деньги потратили на покупку оборудования. Поэтому, пожалуйста, пусть сценаристы скажут, почему у них был флуд MAC адресов и переходим к следующему. С: Потому что был физический доступ к портам и там человек воткнул ноутбук и запустил. К: Вредители. Мы, конечно, вредителя не отследили. Может, отследим? Не, я же сказал, кто зашатдаунится, тот и виноват. А, мы же port-security сделали с shutdown. Да, специально. По умолчанию же shutdown. Хотя лучше restrict, чтобы мы спалили, а у товарища просто раз и что-то не пошло. Хотя shutdown тоже лучше – он кабель начнёт дёргать – посмотрим. Вообще, Саша, ты правильно сказал, давайте этого пользователя найдём, у которого shutdown сделался. Как его имя и фамилия, мне интересно? С: М-м-м. К: Или вы сами разберётесь? С: Мы разобрались. К: Тогда всё нормально. Он уже на дне Исети. Судья: И последняя проблема на сегодня. С: Ладно, чего уж. Была коммутируемая сеть предприятия, потом взяли и построили ЦОД. К: Что построили? С: Была сеть предприятия коммутируемая, потом построили ЦОД. Т.е. вот уровень ядра, два шеститонника поставили. К: А что, можно даже смотреть? А сеть предприятия – она располагалась в одном здании? А в чём проблема тоже расскажут? С: Была сеть коммутируемая предприятия в одном здании, потом мы уже построили ЦОД. Всё вот это. Там раньше было интернет подключение, потом построили ЦОД. Шеститонники поставили, здесь кластер поставили из сетевого экрана, ну Cisco естественно. Два подключения к провайдерам, BGP с ними поднято, здесь автономка. И свой ЦОД. Nexus стоят и много blade. К: Учитесь как сети нужно документировать. С: Потом подключили существующую сеть к ЦОДу, и появилась такая проблема, что серверы стали недоступны для интернет пользователей. Вообще ЦОД стал проблемно доступен. К: В чём проблема? С: Сервера недоступны для внешних пользователей. К: Что значит проблемно доступен? И ещё для кого не доступен? С: Для вот этих пользователей. К: А, для пользователей. С: Т.е. ЦОД отвалился просто. К: А если выдернуть сеть предприятия, то всё работает? С: Да. К: Так, а вы здесь воткнули – здесь просто кабели подходят? С: Здесь HSRP стоит – один active, другой – standby, здесь коммутатор стоит. Коммутатор просто. К: Т.е. это коммутатор второго уровня. С: Да. И мы подключили сюда. К: Так. Это в принципе-то наводит… Может это вообще… А компьютеры, которые внутри сети, они между собой раньше умели, могли общаться, пинговать друг друга? С: Да. Там раньше был отдельный маршрутизатор, его убрали. К: Т.е. теперь ваша сеть выходит в интернет грубо говоря через ЦОД. С: Да, через ядро, к которому там прокси-сервер подсоединён, и через него уже туда. К: Так, ну это я пока не запомнил. Значит вот после того, как вы воткнули вот этими кабелями – здесь в коммутатор и здесь в коммутатор – компьютеры внутри той сети – они продолжили между собой спокойно общаться, или тоже проблемы начались? С: Ну, между VLAN перестало. К: А внутри VLAN всё нормально? С: Внутри VLAN? Да. К: Оно не выходит выше. Ну, мне просто интересно отсечь некоторые проблемы. Ты понимаешь, что я хочу отсечь. Хорошо. После того, как вы подключились сюда вот в коммутаторы, у вас между VLAN связь пропала, до серверов вы по-прежнему не имеете связь, и пользователи здесь – они перестали иметь возможность общаться с серверами здесь. Ага. Ну, а что, начинаем с третьего уровня. Ну да, что-то на третьем уровне сломалось, видимо. Так, у вас есть вот здесь наружу выход в интернет. У вас какие-то default стоят маршруты, или… С: Немного неправильно сказал. К: У нас тут такой был случай. Сейчас выяснится, что всё на самом деле работает. Clear by testing. С: …я сам ещё… К: Сейчас. Плановая перезагрузка. С: … К: Но картинка красивая. По крайней мере, всё задокументировано. Осталось сказать, что оно в принципе и так само заработало. Я вам документацию показать хотел. На самом деле мы вам позвонили просто: работаете или нет. Нам заказали аудит документации. Это эффект админа: они нам позвонили, мы повоздействовали своей аурой… Через астрал. Да, и сразу всё поднялось и заработало. С: Ладно, я пока отложу это дело. Пусть на следующий раз. В следующий раз проблема нормальная будет. К: Зато поймите, человек он как бы реально подходит. Т.е. не просто накидал, у него там Nexus, коммутаторы третьего уровня, изображены, там link-aggregation. С: Во всей этой архитектуре есть проблема. Судья: Прямо в архитектуре проблема? С: Да, над которой надо будет… К: Стиль не стыкуется. С: Пока всё. К: Не смог выкрутиться. А вот этот товарищ смог выкрутиться. У него был 11 VLAN и два коммутатора, которые друг с другом не связаны. Судья: Ну что, делайте вывод, какая топология лучше. Ну что, две проблемы отладили, третья проходит по классификации «устранилось само». Вот. Видимо, на этом наша сегодняшняя сессия подходит к концу. Давайте, в следующий раз меняемся. К: А в следующий раз наоборот? Я там чего-нибудь! Саш, главное условие: это должно быть отлаживаемо за полтора часа. Нет, желательно за полчаса, потому что нас же трое будет. Или нас будет ещё больше? Судья: Вы на самом деле можете действовать командно. К: Можем сделать одну во весь стол топологию. С: С кучей проблем. К: Да. Судья: Ну что, всё тогда на сегодня.
