Построение офисных сетей · 718
Страница 312: Прокси: когда нужен и как не ломать приложения — практика
Энциклопедия: как спроектировать, построить и эксплуатировать офисную сеть: Страница 312: Прокси: когда нужен и как не ломать приложения — практика.
Помощь на месте
Если нужно — приедем в любое время в Миасс или по Челябинской области и поможем с настройкой, ремонтом и диагностикой.
Если нужно — приедем в любое время в Миасс или по Челябинской области и поможем с настройкой, ремонтом и диагностикой.
Контекст
Это энциклопедия «Как спроектировать, построить и эксплуатировать офисную сеть: от маленькой до огромной». Вы читаете Страница 312: Прокси: когда нужен и как не ломать приложения — практика. Тема страницы: Прокси: когда нужен и как не ломать приложения — практика.
Под «офисной сетью» мы понимаем полный контур: СКС и питание, коммутация и маршрутизация, Wi‑Fi, сервисы (DHCP/DNS/NTP/IPAM/AAA), безопасность (сегментация, периметр, 802.1X, журналы), эксплуатация (мониторинг, изменения, бэкапы, DR) и документация. Цель — дать практическую дорожную карту «под ключ» без внешних источников.
Почему тема важна
Любой раздел энциклопедии оценивайте через три вопроса: что мы настраиваем, зачем это нужно бизнесу и как мы докажем, что стало лучше. Если вы не можете показать метрику (например, «доля времени доступности», «время восстановления», «количество инцидентов», «средняя задержка Wi‑Fi», «потери пакетов», «загрузка аплинков») — вы не сможете ни защитить бюджет, ни управлять качеством.
Архитектурные паттерны
В офисах встречаются повторяющиеся архитектуры. Важно заранее выбрать паттерн, потому что он определяет закупку, кабельные трассы, адресный план, безопасность и дальнейшее масштабирование.
| Масштаб | Рекомендуемая схема | Ключевые решения | Почему так |
|---|---|---|---|
| 10–50 пользователей | Один распределительный узел (MDF) + 1–2 access коммутатора + 1 шлюз | VLAN 3–6 шт, один FW/маршрутизатор, Wi‑Fi с контроллером или облаком | Минимум сложности, но есть сегментация и управляемость |
| 50–200 пользователей | MDF + 2–6 IDF, uplink 10G, L3 на distribution или на core | RSTP/MSTP, LACP, DHCP snooping/DAI, отдельные VLAN для VoIP/IoT/гостей | Чёткая роль уровней сети снижает аварии и упрощает поддержку |
| 200–1000 пользователей | Access/Distribution/Core, резервирование шлюзов, 10/25G uplink | OSPF (внутри), VRF для крупных сегментов, централизованный мониторинг | Нужна масштабируемость, предсказуемая маршрутизация и контроль домена L2 |
| 1000–5000+ пользователей | Spine‑leaf (в больших офисах/кампусах), EVPN/VXLAN (концептуально) | Политики через ACL/SGT/NAC, автоматизация, строгий change management | Классические L2 домены становятся дорогими в эксплуатации |
СКС и физический уровень: ключевые принципы
Ошибки физического уровня обходятся дороже всего: вы будете «лечить» L2/L3/Wi‑Fi, хотя проблема в патч‑корде, обрыве пары, перегибе оптики, неправильном заземлении экрана или перегретом шкафу. Поэтому дисциплина L1 — это не «монтажники», а фундамент эксплуатации.
| Компонент | Что выбрать | Критерий выбора | Что проверить на приёмке |
|---|---|---|---|
| Медь | Cat6/Cat6A (по задаче), UTP/FTP | 10G, длины, помехи, требования к экранированию | Сертификация линии, маркировка, радиусы, отсутствие «скруток» |
| Оптика | OM4 для MM внутри DC, OS2 для магистралей | Длины/скорости, бюджет потерь, совместимость модулей | OTDR/OLTS, чистота коннекторов, укладка запаса |
| Питание | UPS онлайн/линейно-интерактивный, PDU | Автономия, качество сети, сервис батарей | Тест отключения питания, нагрузка, журнал обслуживания |
| PoE | 802.3af/at/bt по потреблению устройств | Камеры/AP/телефоны/контроль доступа | PoE budget, приоритеты, стабильность под нагрузкой |
Пример расчёта PoE бюджета (упрощённо) Коммутатор: PoE budget 370W Устройства: - 12 камер по 7W = 84W - 8 точек доступа по 13W = 104W - 20 телефонов по 4W = 80W Итого: 268W (есть запас 102W) Правило: закладывайте запас 20–30% на пики и будущие добавления.
Коммутация и маршрутизация: каркас офиса
Два главных врага кампусной сети: большой L2 домен без дисциплины и отсутствие сегментации. VLAN/VRF, STP‑защиты, LACP и корректный дизайн inter‑VLAN routing делают сеть предсказуемой.
Универсальный CLI‑стиль (логика одинакова у вендоров, синтаксис отличается) 1) VLAN и access порт vlan 10 name USERS interface access-1 switchport mode access switchport access vlan 10 spanning-tree portfast spanning-tree bpduguard enable 2) Trunk uplink interface uplink-1 switchport mode trunk switchport trunk allowed vlan 10,20,30,40 3) LACP (порт-канал) interface range uplink-1,uplink-2 channel-group 1 mode active interface port-channel 1 switchport mode trunk switchport trunk allowed vlan 10,20,30,40 4) Inter-VLAN routing (SVI) interface vlan 10 ip address 10.10.10.1/24 interface vlan 20 ip address 10.10.20.1/24 5) DHCP relay (если DHCP на сервере) interface vlan 10 ip helper-address 10.10.0.10 interface vlan 20 ip helper-address 10.10.0.10
| Механизм | Зачем | Неправильная настройка выглядит как | Быстрая проверка |
|---|---|---|---|
| STP/RSTP | Не дать петле положить сеть | «все тормозит», шторм, flapping | show spanning-tree / counters broadcast |
| DHCP snooping | Защитить от поддельного DHCP | клиенты получают «левые» адреса | таблица snooping, доверенные uplink |
| DAI | Защитить ARP от подмены | доступ пропадает «пятнами» | логи DAI, таблицы bindings |
| IGMP snooping | Мультимедиа без заливки сети | видео «сыпется», весь VLAN в multicast | таблица групп, счетчики |
| QoS | Голос/видео под нагрузкой | VoIP «роботит» в пике | очереди/маркировки/политики |
Интернет‑периметр и безопасность
Безопасность в офисе — это комбинация сегментации, контроля доступа, журналирования и дисциплины обновлений. Правильный принцип: минимально необходимый доступ между сегментами и управление только из доверенных зон.
Модель «зоны» (пример) - ZONE_USERS: рабочие станции - ZONE_SERVERS: серверы и сервисы - ZONE_VOIP: телефония - ZONE_CCTV: видеонаблюдение - ZONE_IOT: контроллеры доступа/IoT - ZONE_GUEST: гости (только интернет) - ZONE_MGMT: управление оборудованием Базовое правило: deny inter-zone, разрешаем только нужные сервисы.
| Поток | Разрешить? | Почему | Как ограничить |
|---|---|---|---|
| GUEST → INTERNET | Да | гостям нужен интернет | только 80/443/53, rate-limit |
| GUEST → LAN | Нет | изоляция | drop + лог |
| USERS → SERVERS | Да (по списку) | доступ к приложениям | по портам/приложениям, сегментация по ролям |
| IOT → SERVERS | Ограниченно | телеметрия/контроллеры | разрешить только к конкретным адресам |
| MGMT → NETWORK | Да | администрирование | только SSH/HTTPS/SNMP, MFA/VPN |
802.1X (концепция) - Endpoint (ПК/телефон/AP) ↔ Switch/AP ↔ RADIUS (NPS/FreeRADIUS) ↔ Directory (AD/LDAP) - Результат: динамический VLAN/политика, учётная запись устройства/пользователя, журнал доступа
Любые примеры правил и команд нужно адаптировать под конкретного вендора. Важно сохранять логику: «кто кому и зачем», а не копировать строки.
Wi‑Fi: от обследования до эксплуатации
Плохой Wi‑Fi редко «чинится» одной галочкой. Это всегда сочетание радиоусловий, плотности клиентов, правильной мощности, планирования каналов, настроек roaming и корректной сегментации гостевой/корпоративной сети.
Мини‑шпаргалка планирования 2.4 ГГц: только 1/6/11 (20 MHz), минимум точек, избегать высокой мощности 5 ГГц: основной диапазон офиса, 20/40 MHz (80 MHz только при низкой плотности) 6 ГГц: если есть Wi‑Fi 6E/7 клиенты, планируйте отдельно Roaming: включайте 802.11k/v, а 802.11r — после тестов (особенно для VoIP)
| Симптом | Частая причина | Как проверить | Что сделать |
|---|---|---|---|
| Медленно в одной зоне | перегруженный канал/помехи | spectrum, RSSI/SNR, retries | перепланировать каналы, снизить ширину |
| Обрывы при ходьбе | roaming не настроен | логи контроллера, время handoff | 802.11k/v, правильные пороги RSSI |
| «Липнет» к дальнему AP | мощность AP слишком высокая | RSSI на клиенте, sticky clients | снизить TX power, band steering |
| Гость видит принтеры | нет изоляции | проверка маршрутов/ACL | guest VLAN + L3 deny + client isolation |
Эксплуатация: мониторинг, изменения, аварии
Эксплуатация — это то, что происходит 95% времени жизни сети. Если процессы не описаны, то любая авария превращается в «героизм», а любая модернизация — в риск простоя.
| Артефакт | Что в нём должно быть | Зачем | Как часто обновлять |
|---|---|---|---|
| Схемы L1/L2/L3 | стойки/патч‑панели, VLAN, L3 связи, периметр | ускорение диагностики | при каждом изменении |
| Адресный план | подсети, шлюзы, DHCP пулы, резервации, статические адреса | исключить конфликты и хаос | при изменениях |
| Runbook аварий | пошаговые действия и контакты | сократить MTTR | после инцидентов |
| Бэкап конфигов | сетевое оборудование, FW, контроллеры Wi‑Fi | быстро восстановиться | автоматически ежедневно |
Мини‑runbook: «Интернет пропал» 1) Проверить питание, линк WAN, состояние модема/ONU 2) Проверить дефолтный маршрут и DNS на шлюзе 3) Проверить BGP/PPPoE/DHCP на WAN (если применимо) 4) Проверить политики FW и падение туннелей VPN/SD-WAN 5) Сравнить с мониторингом: когда началось, что изменилось 6) Если есть резервный канал — переключить и зафиксировать время 7) Собрать артефакты (логи/снимки) и оформить инцидент
Мини‑runbook: «Петля в сети» 1) Ищем признаки: рост broadcast/multicast, flapping портов, STP topology changes 2) Локализуем: по дереву STP, по счётчикам, отключаем подозрительные access порты 3) Включаем защиты: BPDU Guard, storm-control, loop guard (если доступно) 4) Документируем порт‑маппинг и причину (часто: «перекинули патч‑корд»)
Практические таблицы: симптомы → причина → проверка → исправление
| Симптом | Вероятная причина | Проверка | Исправление |
|---|---|---|---|
| DHCP не раздаётся | uplink не доверен, relay отсутствует, пул закончился | проверить bindings/relay/пул | доверить uplink, добавить relay, расширить пул |
| Пакеты теряются | ошибки порта, плохой кабель, перегрузка, петля | counters CRC, графики, STP changes | замена кабеля, QoS, локализация петли |
| Не работает принтер | DNS/маршрутизация/ACL, спящий порт, конфликт IP | ping, arp, dns, логи | исправить записи, разрешить порт, устранить конфликт |
| VoIP «роботит» | нет QoS, перегруз uplink, Wi‑Fi roaming | jitter/packet loss, очереди | QoS, разделить VLAN, настроить roaming |
| Камеры «сыпятся» | multicast без IGMP snooping, PoE просадки | IGMP таблицы, PoE budget | включить snooping, поправить питание/приоритет |
Универсальные команды диагностики (пример) Windows: ipconfig /all, route print, nslookup/dnslookup, ping, tracert, netsh interface ip show config Linux/macOS: ip a, ip r, nmcli, dig, ping, traceroute/mtr, ss -tulpn, tcpdump -i IFACE Сетевое оборудование: show interfaces counters, show mac-address-table, show spanning-tree, show vlan, show arp, show ip route
Шаблоны документов (структуры)
Шаблон таблицы VLAN VLAN_ID | VLAN_NAME | PURPOSE | SUBNET | GW | DHCP | ACL/Policy | NOTES Шаблон порт-маппинга SW | PORT | MODE (access/trunk) | VLAN/Allowed | DESCRIPTION | ROOM/WORKPLACE | PATCH_PANEL/PORT | POE | NOTES Шаблон адресного плана SITE | VRF | SUBNET | PURPOSE | DHCP_RANGE | STATIC_RANGE | DNS | GW | NOTES
Эти шаблоны нужны не «для бумажки», а чтобы авария решалась по данным, а не по памяти людей.
Практические таблицы: симптомы → причина → проверка → исправление
| Симптом | Вероятная причина | Проверка | Исправление |
|---|---|---|---|
| DHCP не раздаётся | uplink не доверен, relay отсутствует, пул закончился | проверить bindings/relay/пул | доверить uplink, добавить relay, расширить пул |
| Пакеты теряются | ошибки порта, плохой кабель, перегрузка, петля | counters CRC, графики, STP changes | замена кабеля, QoS, локализация петли |
| Не работает принтер | DNS/маршрутизация/ACL, спящий порт, конфликт IP | ping, arp, dns, логи | исправить записи, разрешить порт, устранить конфликт |
| VoIP «роботит» | нет QoS, перегруз uplink, Wi‑Fi roaming | jitter/packet loss, очереди | QoS, разделить VLAN, настроить roaming |
| Камеры «сыпятся» | multicast без IGMP snooping, PoE просадки | IGMP таблицы, PoE budget | включить snooping, поправить питание/приоритет |
Универсальные команды диагностики (пример) Windows: ipconfig /all, route print, nslookup/dnslookup, ping, tracert, netsh interface ip show config Linux/macOS: ip a, ip r, nmcli, dig, ping, traceroute/mtr, ss -tulpn, tcpdump -i IFACE Сетевое оборудование: show interfaces counters, show mac-address-table, show spanning-tree, show vlan, show arp, show ip route
Шаблоны документов (структуры)
Шаблон таблицы VLAN VLAN_ID | VLAN_NAME | PURPOSE | SUBNET | GW | DHCP | ACL/Policy | NOTES Шаблон порт-маппинга SW | PORT | MODE (access/trunk) | VLAN/Allowed | DESCRIPTION | ROOM/WORKPLACE | PATCH_PANEL/PORT | POE | NOTES Шаблон адресного плана SITE | VRF | SUBNET | PURPOSE | DHCP_RANGE | STATIC_RANGE | DNS | GW | NOTES
Эти шаблоны нужны не «для бумажки», а чтобы авария решалась по данным, а не по памяти людей.
Счётчик символов страницы
≈ 10267 символов
Краткое резюме
- Фокус страницы: Прокси: когда нужен и как не ломать приложения — практика.
- Начинайте с требований и измеримых метрик качества, иначе сеть невозможно «защитить» и развивать.
- Физический уровень (СКС/питание/PoE) — основной источник скрытых проблем.
- Сегментация (VLAN/VRF) и дисциплина L2 (STP/LACP/защиты) делают сеть устойчивой.
- Периметр и контроль доступа (FW/802.1X/AAA) — часть архитектуры, а не «плагин».
- Wi‑Fi требует радиообследования и правильных параметров каналов/мощности.
- Эксплуатация — это процессы: мониторинг, изменения, бэкапы, аварийные планы.
Чек‑лист
- Зафиксировать требования (пользователи/приложения/критичность).
- Составить адресный план и таблицу VLAN/зон.
- Определить точки отказа и план резервирования.
- Спроектировать СКС: трассы, стойки, PDU/UPS, маркировка.
- Рассчитать PoE бюджет и запас мощности.
- Спроектировать L2: STP, LACP, защиты edge‑портов.
- Спроектировать L3: где шлюзы, inter‑VLAN, VRF (если нужно).
- Определить периметр: FW политики, VPN, MFA, журналы.
- Запланировать Wi‑Fi: site survey, каналы, мощность, roaming.
- Подготовить мониторинг: SNMP/syslog/flow, алерты и дашборды.
- Настроить бэкапы конфигов и тест восстановления.
- Подготовить документацию L1/L2/L3 и runbook аварий.
- Провести приёмочные тесты и оформить ввод в эксплуатацию.
Типичные ошибки и как их избежать
- Одна большая плоская сеть без VLAN: исправление — сегментация и правила межсегментного доступа.
- Нет STP/защит edge‑портов: исправление — RSTP + PortFast/BPDU Guard + storm control.
- Trunk на пользовательских портах: исправление — строго разделить access и trunk, аудит конфигов.
- PoE без расчёта бюджета: исправление — считать и закладывать запас 20–30%.
- Wi‑Fi «на глаз» без обследования: исправление — site survey и план каналов/мощности.
- Управление сетью из любой подсети: исправление — MGMT VLAN/VRF + ACL + VPN/MFA.
- Нет бэкапов конфигов: исправление — автоматический бэкап и регулярный тест восстановления.
- Нет документации порт‑маппинга: исправление — стандарты маркировки и актуализация схем.
- Отключенные логи/мониторинг: исправление — syslog/SNMP/flow + алерты.
- Изменения без процедуры: исправление — change management и план отката.
Мини‑глоссарий
- MDF/IDF — главный/промежуточный распределительный узел.
- SVI — L3 интерфейс VLAN на коммутаторе.
- Trunk/Access — режимы портов для VLAN.
- RSTP/MSTP — протоколы защиты от петель.
- LACP — агрегация каналов (Port‑Channel/LAG).
- VRF — изоляция таблиц маршрутизации.
- NAC/802.1X — контроль доступа устройств к сети.
- PoE budget — доступная мощность питания по Ethernet.
- SLO/SLA — метрики качества сервиса и договорные обязательства.
- MTTR/RTO/RPO — метрики восстановления и потерь данных.
Команда «Оптоволокно Миасс» может помочь вам на территории Миасского городского округа и по Челябинской области.
Печатать следующую страницу?