Итак, по итогам наших недавних проектов мы решили сформулировать 3 простых, но универсальных правила, из-за которых и заказчики страдали, и наши инженеры потратили много часов (и вырванных седых волос) в попытках разобраться, что же пошло не так и почему оборудование не работает:
1) оставлять везде дефолтную адресацию 192.168.1.0/24
когда вы так делаете, то любое новое устройство, подключенное к сети случайно или намеренно, у которого данная сеть с высокой долей вероятности является также преднастроенной по умолчанию, будет конфликтовать с вашими "боевыми" настройками. Чем долго разбираться, кто прав, а кто виноват, лучше вообще не допускать, чтобы дефолтные адреса как-то маршрутизировались ( из сети 192.168.1.0/24).
Выберите для "прода" другую сеть - и всего и делов-то!
Выберите для "прода" другую сеть - и всего и делов-то!
2) использовать VLAN 1
На самом деле причина примерно такая же, как и выше - во всех "лучших практиках" (best practice) пишут, что надо изменять настройки по умолчанию. Тут такая же штука - VLAN 1 есть везде и всегда, поэтому если вы что-то стекируете / объединяете (транком), то убедитесь, что у вас там есть только разрешенные VLAN и лучше отличные от №1
3) использовать native VLAN 1
В сочетании с ошибкой №2 "native" режим для VLAN дает умопомрачительный эффект! Весь нетегированный трафик попадает по умолчанию в 1-й ВЛАН и если это "продакшн", то неудивительно, что в сети могут непредсказуемо появляются странные глюки / ошибки / пропадание серверов (адресов) - неожиданно возникший ARP-ответ или gratious ARP от только что инициализированного коммутатора на 192.168.1.1 еще и не то может сделать!
Всем удачи и да не пребудут с нами эти 3 ошибки!
P.S> Для самых внимательных и продвинутых дополнительные шаги для чек-листа:
- настроен доступ к консоли управления по SSH и HTTPS
- отключён доступ к консоли управления по telnet и HTTP
- firmware обновлены до последней стабильной версии, рекомендованной производителем
- настроен (M)STP, для исключения петель коммутации. работа протестирована, свичи подключены по топологии кольцо производительными (10Г) интерфейсами
- vlan 1 исключён из всех транков, native VLAN является 404 (как вариант)
- по vlan 1 работает отдельное (M)STP дерево
- все незадействованные в схеме порты (и транки к старой сети) административно погашены
- сменить пароли от учетки по-умолчанию, для рутинных операций создать персональные учетные записи