Praca dyplomowa. - Projekt sieci - napotykane trudności

Witam wszystkich i z góry dziękuje za chęci pomocy i porady. Zamierzam aktualizować ten post wraz z napotkanymi problemami i nieprzyjemnosciami w mojej drodze do napisania inzynierki. Takze prosze o cierpliwe nie usuwanie postu:P
Nie dawno zaczalem sie za to zabierac i juz na starcie napotkałem kilka dylematów.

Projekt jakim będe się zajmował to Projekt Sieci LAN / WLAN dla małe sieci z typowym naciskiem kształcenia na informatyke i zagadnienia temu podobne.
Planuje 2 IDF 1 MDF, w każdym z 3 pomieszczen Switch - rozdzielajacy ruch na kolejne podsieci. Wyodrebnienie zasobow poszczegolnych Uzytkownikow poprzez zastosowanie VLANów, dla zwiekszenia bezpieczenstwa. (myslalem na Hub'ami i puszczeniem ruchu na "standadrowych" uzytkownikow ale skoro ma byc to szkola informatyczna - moze lepiej oszczedzic sobie tego typu zagran?) Docelowo planuje tylko 1 miejsce, w którym udostepniona bedzie siec WiFI. zaopiekuje sie nia access point - ale o tym pozniej.

Temat zamierzam rozwijać o bardziej szczegółowe informacje w dalszych postach - aby nie zaśmiecać głowy mniej zainteresowanym całym wątkiem, a poszczególnymi problemami.

Dochodząc do pytan, które mnie trapią:
1. Ciekaw jestem jak wyglada od strony prkatycznej dzierżawa łącza internetowego o naprawde DUZEJ przepustowosci - skoro ma byc to szkola typowo informatyczna, co chce zaznaczyc po raz kolejny- nie zaspokoi swoich potrzeb standadrowym przyłączem.
2. Potrzebowal bym informacji jak dobrac dobry router z oferty Cisco, najprawdopodobniej bakuje mi wiedzy odnosnie tak owych skoro nie moge znalezc niczego od razu mowiacego o wyposazeniu tak owego w porty ST/SC 100base SX. Czy potrzebny jest koniecznie adapter? W krotkim czasie przyswoilem tyle informacji, ze zaczynam sie juz gubic. dlatego prosze o porade.
3. Kolejny z moim problemów dotyczy przeprowadzenia przewodów wewnątrz budynku.


Patrząc na rysunek * Plan - potrzebuje przedostać sie z IDF/MDF do LAB w górnej czesci... niezbędne wydaje mi sie przeprowadzenie przewodów przez schody, ewentualnie przed nimi w metalowych korytach podwieszanych pod sufitem ( przewody przechodza korytami z poziomych w pionowych w SALA 1 - LAB 02 wychodza z sufitu i dalej biegna przy podlodze jak w całej reszcie okablowania) czy sa jakies inne mozliwe rozwiazania z tymi schodami?

Z góry dziękuje za POMOC, mam nadzieje, ze temat pomoże nie tylko mi.

Cytat:

1. Ciekaw jestem jak wyglada od strony prkatycznej dzierżawa łącza internetowego o naprawde DUZEJ przepustowosci - skoro ma byc to szkola typowo informatyczna, co chce zaznaczyc po raz kolejny- nie zaspokoi swoich potrzeb standadrowym przyłączem.

W większych miastach można rozważyć dołączenie do MANu, którym zazwyczaj opiekuje się jakaś uczelnia - ale to tylko taki luźny pomysł, nie mam pojęcia jak wygląda dołączanie jednostek do takiej sieci.
Jeśli łącze ma być od zewnętrznego operatora, rozsyłasz zapytania ofertowe po przedstawicielach handlowych z każdej z większych firm(tylko nie rób tego naprawdę, jeśli zaczniesz maila od "Robię projekt na uczelnie", nikt Ci na niego nie odpowie), kompletujesz oferty i porównujesz, przechodzisz do etapu negocjacji i wybierasz najtańszą i najlepszą ofertę. I tyle.
Nie wiem dlaczego szkoła "informatyczna" miałaby mieć szybkie połączenie z Internetem - żeby się szybko iso z linuxem ściągało? Chyba, że szybkie, to 10/10.

Cytat:

2. Potrzebowal bym informacji jak dobrac dobry router z oferty Cisco, najprawdopodobniej bakuje mi wiedzy odnosnie tak owych skoro nie moge znalezc niczego od razu mowiacego o wyposazeniu tak owego w porty ST/SC 100base SX. Czy potrzebny jest koniecznie adapter? W krotkim czasie przyswoilem tyle informacji, ze zaczynam sie juz gubic. dlatego prosze o porade.

Nie adapter, a wkładka SFP do routera z takowym portem, np. Cisco 3800 mają port na wkładki SFP, chociaż można to obejść - switch cisco z "dziurką" na sfp i już Fast/Gigabit Ethernetem do routera po kabelku. Wydzielasz sobie Vlan i po kłopocie - jak dobrze zabezpieczysz;)

Cytat:

3. Kolejny z moim problemów dotyczy przeprowadzenia przewodów wewnątrz budynku.

Po ścianie w korytku pod sufitem się nie da? Okno? Stricte sufitem to raczej niezbyt ładne rozwiązanie.

Dziekuje, za pomocne rady, poczytalem o tych modułach SFP - rozjaśniło mi sytuacje. Kontynuuję pisanie w takim razie, zobaczymy co wyniknie w dalszej części.

PS jakby ktoś miał ciekawą literarurę typowo odnośnie wszystkich potrzebnych urządzeń w szafach i ich połączeń było by miło.

Witam, kolejny problem jaki napotkałem na drodze to podział szkoły na VLANy.
Z założenia mam kilka grup, których ruch chciałbym wyodrębnić od siebie.
Mianowicie są to:
STUDENCI ( stud, pracownik ochrony, komp ogolnodostepne na uczelni - korytarz, PC łączące sie z Access Pointem - tym chcialbym aby DHCP przypisywał adresy)
DYREKCJA ( dyrekcja / sekretarki )
OFFICE ( Bilbioteka / Wykładowcy)

Dodatkowo chciałbym Aby wszyscy korzystali z dobrodziejstw internetu i wspoldziekenia zasobów serwerowych i drukarek.

Wszystkie urzadzenia sieciowe z założenia beda firmy Cisco, 1 Router i 3* Przełączniki z odpowiednia ilościa portów w poszczególnych IDF na każdym z 3 pięter.

przechodząc do problemu :
**Jak zrobić komunikacje miedzy VLAnami ( może nawet gdzie umiejscowić serwery logicznie i fizycznie) Aby każdy miał do nich dostęp ( określeniem poszczegołnym usług zajmie sie ActiveD z tego co wiem) ale nie mógł komunikować sie między sobą.

** Czy wystarczy zaostosowanie rozszerzonych ACL aby zapewnic wykladowcom i DYREKCJI komunikacje do VLAN STUDENTów i jednoczesnie ograniczenie stud. komunikacji z tymi pierwszymi?

** Dodatkowo nie mam pojęcia jak zająć sie tym AccessPointem a żeby przydzielał łączącym się adresy z puli VLAnu nalezacego do studentów - jakies sugestie o czym poczytać były by mile widziane.

Nie oczekuje gotowego rozwiązania, jedynie podpowiedzi i informacji o czym poczytać aby zdobyć odpowiednia wiedzę. Dziekuje.

Studenci i współdzielenie drukarek? Bad idea
Literatura - odnośnie pierwszej części poszukaj tematyki okablowania strukturalnego (możesz też szukać zagadnień na MOLEX Premise Networks).
Druga część - Cisco CCNA, kursy MS 70-64X

ad ** i ad ** - tak, rozszerzonymi ACLami załatwisz blokadę komunikacji między VLANami (przepuszczając odpowiednie porty np AD).

ad ** Możesz wpiąć tego APka w VLAN studentów i tyle.

Kolejne pytanie jakie mam dotyczy łączenia tych 3 switchy. ( chociaz nie koniecznie 3...)
kolejno piętrami mam IDF/MDF/IDF (analogicznie 40/65/70 userów daje mi to przynajmniej 5przelacznikow...?), jak można osiągnać takie ilości portów? Jakies formy stackowania switchy? Laczenie dwóch 48* i agregacja Gb skrętek aby zapobiec efektowi wąskiego gardła? Początkowo myslalem o polaczeniu switchy Swiatlowodem jednomodowym, zastosowanie tych wkładek sfp i polaczenie ich ze soba, ale jesli sie nie myle to max przepustowość to i tak tylko 1Gb to po co pchać sie w to jak można miedzią nie tracać "miedzi"? Nie wiem czy dobrze rozumuje.
Chetnie uslyszal bym jak WY widzicie to polaczenie :
40PC >>> S1 >>> S2 (70pc+serwer) >>>S3 >>>65pc.
Hosty chcialbym polaczyc skretka kat 6, ale jak zapewnić im dobre pasmo miedzy przelacznikami, serwerem? NO idea. z góry dziękuje.

miniGBIC 10G też da się kupić. Tylko, że raczej nie ma sensu do tego kupować switcha (cena).
Mimo wszystko porty Ethernet lepiej zostawić dla komputerów. Kupisz po 4 wkładki SFP i przy pomocy LACP je pogrupujesz (niektóre switche mają też specjalne porty uplink, ale ten temat odpuśćmy), uzyskując ~4Gb/s. Światłowód wielomodowy, SM stosuje się na duże dystanse.
Ilość przełączników: 5 switchy 48port (1x + 2x + 2x).
CAT6 to przestrzał (no chyba, że myślisz o upgrade w przyszłości do 10GE) - CAT5e wystarczy.

Tym razem interesuje mnie wątek odpowiedniego podziału mojej szkoły na VLANy,
mianowicie:
planuje 3 vlany ( studenci / dyrekcja / office) dodatkowo vlan przykladowo 100 dla zarządzania
Nie jestem pewien czy dobrze rozumuje ale planuje przypisać każdemu inna sieć co jest koniecznoscia bez bawienia sie w VLSM z racji iz adresy i tak sa z puli prywatnej.
Komputery studentów planuje aby przypisywał DHCP, statycznie tylko na switchu i Access point?
Dyrekcji i Office przypisze wszystko statycznie z opcja wylaczenia portów po przyłączeniu wiecej niz 1 maca na gniezdzie? odpowiednie drukarki wrzuce w odp vlan im rowniez statycznie.
Intryguje mnie kwestia serwera, czy wystarczylo by go wrzucic w vlan zarzadzania a pozniej ACLami okreslic kto do czego ma dostep?

Kolejne pytanko to czym sie kierować dobierajac sprzet, gama jest tak szeroka, ze nie mam pojęcia jak to wybrać aby solidnie ze sobą współpracowało. Projekt chciałbym oprzec na Cisco.
Potrzebowal bym 5 przełączników 48 portowych połączyc je SFP ( opcja LCAP jest standardowo czy należało by szukać dedykowanych jakiś?) ewentualnie x2 po jednym kabelku? tudzież też jakas wkładka typu sfp potrzebna? Swiatłowód MM?
Switche lacze po kolei pietrami w dół 2>2>1 czy ten ostatni nie winien być "najmocniejszy?
O tym jak polaczyć to z routerem (jakim i jak) też pojęcie mam mizerne. 1 SFP miniGb winno wystarczyc?
Jesli mozecie mi polecic jakis sprzet bede wdzieczny.
Powoli zastanawiam się nad zmianą tematu pracy.

Dobrą lekturą dotycząca ACL też nie pogardzę, z CCNA za duzo info nie wyniosłem, az dziwne bo jeste glodny wiedze. Pozdrawiam i juz leci kolejne piwko.

refresh.

Switche:
ja bym wybrał Catalysty Cisco 48 portowe, może być np: Cisco Catalyst 2950SX, albo jeżeli Ci się "uda" kupić starszy model 2950G. Dla Twoich potrzeb są moim zdaniem idealne. Switche zawsze kupuje się z zapasem. Na dzień dzisiejszy potrzebujesz np 50 gniazd, ale nie oznacza to ze oplaca sie kupic 48 + 24 porty. Nie wiesz, czy za dwa lata nie bedziesz potrzebowac juz 70 portow. Lepiej zawsze miec zapas.

Router:
Tutaj sprawa jest ważniejsza i wymaga większego zastanowienia. Co on dokladnie bedzie mial robic i jakie protokoly routingu przewidujesz. Liczy sie oczywiscie przyszla rozbudowa sieci i lacza, jakie ma posiadac. Czy musi miec gniazda FC czy nie, czy musi miec lacza trunkowe, czy musi miec serialowe porty itd.
Ja bym polecał sensowny model z serii 2900 CISCO.

Witam ponownie, z kolejnym małym problemem

Mianowcie troche rozwinąłem się z moją siecią, aktualna konfiguracja wyglada tak jak na zdjęciu:


4 vlany w tym jeden natywny na trunk
Chciałbym ograniczyc ruch z sieci 192.168.3.0 do 192.168.1.0 - jednostronnie...
No i tu zaczyna sie maly problem, mianowicie zastosowalem komendę:

access-list 101 deny ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 permit ip any any

int fa 2/0.3
ip access-group 101 in

nie mam skonfigurowanych innych acl
wszystko ładnie pieknie sie blokuje, aż za pieknie bo ruch z sieci 192.168.1.0 nie chce sie przedostać do 192.168.30.0 ;/

Jakies sugestie? dzieki za odp mistrzu

Dodano po 1 [minuty]:

MrFanta napisał:

access-list 101 deny ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 permit ip any any

int fa 2/0.3
ip access-group 101 in

nie mam skonfigurowanych innych acl
wszystko ładnie pieknie sie blokuje, aż za pieknie bo ruch z sieci 192.168.1.0 nie chce sie przedostać do 192.168.30.0 ;/

Powinno być 192.168.3.0 czy 30 ?
Jeżeli 3 to prawdopodobnie ruch z .1. przechodzi do .3. ale nie dostaniesz żadnej odpowiedzi bo ruch z .3. do .1. jest zablokowany na aclu

3 oczywiscie.
Sprytna podpowiedz, tylko jak teraz zablokować .3. vlan dostep do zasobów .1. i jednoczesnie pozwolić .1. na korzystanie z tego .3.
Chcaialbym odizolować vlan Studentów od sekretariatu, a jednoczesnie pozwolić tym drugim uprzykrzać życie studentom.

O ile dobrze pamiętam:

access-list 101 permit tcp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 eq established
access-list 101 deny tcp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 permit ip any any


Z tym że to zadziała na ruch TCP

EDIT:
Ew. Jeżeli miałoby to być dla wszystkich protokołów to Reflexive ACL

Jednakże nie jestem biegły w CISCO więc więcej nie pomogę.

Zna może ktoś może jakis inny symulator niz packet tracer? Co próbuję się bardziej zagłębić w któryś z tematów to tak owy mnie ogranicza...
Coś na czym można skonfigurować autoryzacje hostów na radius'ie po kablu? ewentualnie te /Reflexive ACL? z moich spostrzeżeń w PT nie ma takich opcji.

Zostaje Ci GNS/DynamIPS. No i oczywiście kwestia legalnego pozyskania obrazów IOSa...

Witam,
pytanko małe na szybko bo szukam i nie widzę.
Zastosowałem u siebie Translacje NAT i wszystko ładnie chodzi ale mam mały dylemat(do tego już przywykłem)
Mam u siebie w sieci wewnętrznej serwer i chciałbym aby był widoczny również z zewnątrz pod swoim prywatnym adresem, znalazłem mała wzmiankę o binat/ dwukierunkowym nat, ale nie wpadłem jeszcze na nic. Mozna to jakos ustawic w pt? dzieki za odp

Ktoś poleci na szybko jakies dobre firmy Skrętki, patchpaneli, gniazd itd?

skrętka: A-LAN, Madex
patchpanele: Linkbasic
gniazdka: A-LAN

MOLEX, R&M, 3M, CobiNet, AMP - tych używam najczęściej.

dzieki:)

Witam ponownie już,
Potrzebował bym typowy access point jakis sensowny pod moja konfiguracje, planuje
podłaczyc go Gigabitem uzytkowników do 50~.

Jesli bylby ktos w stanie polecic cos dobrej firmy bede wdzieczny.

Dodano po 19 [minuty]:

Serwer dla 200 userów domeny, http ftp i radius - byłby równie mile widziany.
Sprzet jak wiadomo dla szkoły wiec oprogramowanie i licencje zbędne.

Na jednym? Nierealne...
Proponuję zainteresować się access pointami z centralnym kontrolerem: HP Networks, Cisco, Meru.
Ja bym proponował coś takiego: HP MSM710 - kontroler (max. 10 AP), 10 APków MSM 430 (dual radio 802.11n, zintegrowane anteny), oprogramowanie RF Planner (planowanie rozmieszenia AP), Guest Management - zarząddzanie dostepem do sieci dla gości (jednorazowe lub czasowe loginy/hasła).

Chyba jakies nieporozumienie:D Chodzi bardziej o AP dla 50 userów...
No i sprzęt - serwer dla 200 Osobne zagadnienia:D ale tego HP rozważe

Jakie nieporozumienie? chcesz 50 użytkowników podłączyć jednym access pointem? Jeśli tak, to jest właśnie nieporozumienie. W prawdziwej sieci użytkownicy zagryźli by cię za to. W miarę komfortowo z jednego AP może korzystać max. do 10 osób. Sprawdzone empirycznie.