Найти в Дзене
Loader Net
16 подписчиков

Сеть офиса на 50-150 человек (Часть 2)

3 мин
В этой части уделим внимание тому, без чего не получится реализовать качественную сеть - роутинг. В прошлой части мы выбрали путь "разделяй и властвуй" в части деления сети на подсети. Описали идею, как именно это делается. И что в итоге? В итоге у нас есть набор разных подсетей, между которыми как-то должен ходить трафик. Ясно-понятно, что пакеты между подсетями перекидывает роутер. Но зато как он это делает! Как работает L3 (IP) В L3 пакете есть заголовок и полезная нагрузка. Заголовок содержит данные об отправителе, получателе и еще чуток информации. Очень похоже на L2, и работает точно так же. Заголовок - это тоже интерпретируемые данные, но интерпретируются они уже не коммутатором, а роутером. L3 пакет весь целиком лежит внутри полезной нагрузки L2 пакета. Выглядит в итоге это примерно так: В этой схеме - курьерская служба (сеть коммутаторов) не заглядывает внутрь L2 пакета, она просто его передает. Маршрутизаторы - разбирают L3 пакет и передают получателю. Маршрутизатор может сно
Оглавление

В этой части уделим внимание тому, без чего не получится реализовать качественную сеть - роутинг.

В прошлой части мы выбрали путь "разделяй и властвуй" в части деления сети на подсети. Описали идею, как именно это делается. И что в итоге?

В итоге у нас есть набор разных подсетей, между которыми как-то должен ходить трафик. Ясно-понятно, что пакеты между подсетями перекидывает роутер. Но зато как он это делает!

Как работает L3 (IP)

В L3 пакете есть заголовок и полезная нагрузка. Заголовок содержит данные об отправителе, получателе и еще чуток информации. Очень похоже на L2, и работает точно так же.

Заголовок - это тоже интерпретируемые данные, но интерпретируются они уже не коммутатором, а роутером.

L3 пакет весь целиком лежит внутри полезной нагрузки L2 пакета.

Выглядит в итоге это примерно так:

  • Вам (отправителю) нужно передать другу железную кружку. Вы отдаете ее жене и просите отправить на адрес проезд Шварценгольта д.6 кв 555.
  • Жена (роутер) запаковывает ее в коробку (L3) пакет, чтоб кружку не запачкали и не поцарапали и вызывает курьерскую службу.
  • Курьерская служба (сеть коммутаторов) кладет коробочку в пакет с ручками (L2 пакет), клеит наклейку (заголовок с адресами) и везет на адрес.
  • На адресе, жена друга (роутер) вынимает коробку из пакета (L2), открывает коробку (L3 пакет), видит кружку и отдает вашему другу (получатель).

В этой схеме - курьерская служба (сеть коммутаторов) не заглядывает внутрь L2 пакета, она просто его передает.

Маршрутизаторы - разбирают L3 пакет и передают получателю.

Маршрутизатор может снова запаковать его и отправить дальше (отправить кружку на дачу или в офис).

В отличие от жены, маршрутизатор имеет таблицу маршрутизации в которой вписаны сети с привязкой к портам:
- 10.1.1.0/24, port1
- 10.1.2.0/24, port2
- 10.1.3.0/27, port3
- 10.1.3.32/27, port4
- 10.1.3.64/27, port5
- 10.1.3.96/27, port6
- 10.1.3.128/27, port7
- ...

В качестве port1..7 может быть как физический порт, так и виртуальный (vlan, vpn).

Маршрутизатор получает пакет, смотрит адрес получателя, ищет в таблице маршрутизации в какой он сети, получает оттуда же номер порта и отправляет пакет в нужный порт.

В общем и целом на этом всë.

А что будет, если маршрута нет в таблице маршрутизации? Пакет будет отброшен, а его отправителю будет отправлен icmp-ответ no route to host.

У большинства маршрутизаторов в большинстве таблиц маршрутизации есть маршрут 0.0.0.0/0, который ведет к провайдеру, и судя по маске 0 - любой пакет, который явно не указан в других строчках таблицы уйдет в провайдера.

Звучит как место потенциальных глюков? Так и есть.

На уровне L3 хоть и меньше проблем, чем на L2, но они есть!

Одна из них - отправка всего, что не понравилась в маршрут по умолчанию (0.0.0.0/0)

Чем это плохо?

  1. Хлам, улетающий в провайдера, проходит через NAT и забивает его. Когда NAT забьется, начнут рваться полезные соединения пользователей.
  2. Канал к провайдеру может быть не очень широким или быть вообще разделяемым (GPON), и тогда каждый лишний пакет влияет на пользователей, которые вынуждены ждать прохода хлама.
  3. При таком поведении отсутствует ответ no route to host, что усложняет диагностику, увеличивает задержки до времени таймаута, а вместо четкой и понятной ошибки юзер получает connection timeout. Собственно, вы от юзера получаете непонятный запрос без диагностики.

Как лечить?

Сразу зарулить все неиспользуемые сети "большой маской" в null-роут:
- 10.0.0.0/8, Null
- 192.168.0.0/16, Null
- 172.16.0.0/12, Null

И добавить в фаервол правило, чтобы пакет отправляемый в null был отвечен по icmp сообщением no route to host.

Проблема кажется незначительной, но в момент роста 50->150 юзеров она обязательно выстрелит и создаст пачку труднодиагностируемых заявок от пользователей. Вам точно будет не до них.

Хотите иметь сеть для роста офиса?

Мы специализируемся на построении офисных сетей, и построение сети- одна из наших услуг. Быстро и без болей и простоев, мы смигрируем Вашу сеть в подобную схему и этим решим пул проблем и снизим число неполадок и обращений в helpdesk. Обращайтесь: https://loader-net.ru/business/localnet.html
Так же, мы можем работать в "срочном режиме", если этого требуют обстоятельства и сократить сроки работ на столько, на сколько это возможно.