URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16903
[ Назад ]

Исходное сообщение
"Проектирование сети (1000 пользователей)"
Отправлено s0ulflames , 11-Авг-08 17:08

Всем доброго времени суток. Хочу заранее поблагодарить всех, кто не пожалеет немного своего времени вникнуть в мою задачу и помочь советом. Итак, основная суть:
Есть достаточно крупная московская компания. У них назрел переезд в новый офис. Есть необходимость предоставить видение проекта ЛВС, архитектуру, спеку на оборудование, базовую политику безопасности. Новый офис будет располагаться на 4-ех этажах, но хитрым образом: 2 этажа в районе 5-6 (то есть рядом) и еще 2 этажа в районе 40-45, то есть получается как бы 2 офиса по 2 этажа в каждом, территориально удаленных друг от друга на расстояние ~40 этажей в рамках одного здания. Между этажами - ессно будет оптика. Высота между перекрытиями - 3,9 м.
Основные требования, обозначенные заказчиком:
1. На каждом этаже - минимум 1 коммутационный центр.
2. Вся СКС на всех этажах пойдет под фальш полом, у рабочих мест - FloorBox-ы (лючки)
2. К рабочим местам юзеров должен подходить 1Gb/s по Cat6.
3. Полная отказоустойчивость ядра, уровня распределения (если он будет).
4. RSTP, HSRP, DHCP snooping, port-security, flood control. Само собой routed VLANs, скорее всего OSPF (пока не решили еще правда), а также BGP у прова на 2 канала в инет.
5. Безопасность - наверное пара IDS на входе, потом фаеры типа пиксов и т.д. - это уже не совсем наша задача будет, но базовые положения тем не менее нужно расписать.
6. Никаких удаленных филиалов нет, так что WAN-не требуется. Никаких VPN, IPSec, GRE тоже вроде как не надо, на данном этапе по крайней мере.
Распределение юзеров по этажам примерно такое:
5-й этаж
350 Ethernet Ports
350 Phone Ports
6-й этаж
350 Ethernet Ports
350 Phone Ports
40-й этаж
200 Ethernet Ports
200 Phone Ports
100 Server Ethernet Ports
41 этаж
100 Ethernet Ports
100 Phone Ports
Вся сеть - на Cisco. У меня такие идеи возникают, при анализе требований: 2xCat6509 c оптическими модулями + 2 48xGigabitEthernet module (в каждый шеститонник по одному, на всякий случай) + NAM для последующего мониторинга. Trunk-ами на PortChannel-ах подключаются свитчи доступа, к каждому шеститоннику свой portchannel, состоящий минимум из 2-ух оптических 1GB-линков. Свитчи доступа - Catalyst 3560G-48 - они и гигабит держат, и третий уровень неплохо умеют (а вдруг понадобится?)), и производительность хорошая. Для серверов - 3750G-48, 2 стека по 2 в каждом + еще 2 в резерве. Их транками на portchannel-ах из четырех оптик каждый (4GB/s) к ядру. Настраиваем VLANы и подсети, далее RSTP и HSRP - каркас готов. Далее причесываем по безопасности и мониторингу. Потом прикручиваем динамическую маршрутизацию и ставим экран на периметр (этим правда безопасники займутся скорее всего) и вуаля, сеть готова (ну, почти готова, по крайней мере)!
Теперь непосредственно просьба: вникните пожалуйста в суть написанного и оцените архитектуру - все ли я правильно прикинул по скоростям, отказоустойчивости и конкретным протоколам? Хватит ли 2-ух шеститонников, или надо 4 - по 2 на каждые 2 этажа? Какие модули ставить в шеститонники, хватит тех, что я указал, или нужно что-то еще? Порекомендуйте другие модели Cisco, подходящие под описанные требования (я правда сколько ни искал - лучше, как мне показалось, ничего не нашел, умные люди, поправьте меня пожалуйста))). Буду также крайне признателен за любые ссылки на документацию, ориентированную на описание особенностей проектирования подобного рода сетей, с описанием best practices, тонких моментов и подводных камней.
Еще раз всех заранее благодарю за потраченное на данную тему время,
с уважением,
S0ulflames.

Содержание

Проектирование сети (1000 пользователей),Ярослав Росомахо, 18:14 , 11-Авг-08
Проектирование сети (1000 пользователей),Михаил, 18:33 , 11-Авг-08
- Проектирование сети (1000 пользователей),andrey andrey, 21:03 , 11-Авг-08
Проектирование сети (1000 пользователей),Mikhail, 22:43 , 11-Авг-08
Проектирование сети (1000 пользователей),Mt, 03:45 , 12-Авг-08
- Проектирование сети (1000 пользователей),Mt, 03:53 , 12-Авг-08
  - Проектирование сети (1000 пользователей),s0ulflames, 08:49 , 12-Авг-08
    - Проектирование сети (1000 пользователей),Mt, 10:59 , 12-Авг-08
      - Проектирование сети (1000 пользователей),s0ulflames, 11:18 , 12-Авг-08
        
        Проектирование сети (1000 пользователей),s0ulflames, 15:16 , 12-Авг-08
        
        Проектирование сети (1000 пользователей),mt, 00:01 , 13-Авг-08
- Проектирование сети (1000 пользователей),wr, 16:43 , 12-Авг-08
  - Проектирование сети (1000 пользователей),Аноним, 20:52 , 12-Авг-08

Сообщения в этом обсуждении

"Проектирование сети (1000 пользователей)"
Отправлено Ярослав Росомахо , 11-Авг-08 18:14

Лучше обратитесь в нормальный интегратор.
Важно не только купить железки, но и спроектировать, задокументировать и поддерживать инфраструктуру. Стоимость услуг как правило составляет 10-20% от стоимости железа - по сравнению с риском которого вы избегаете - копейки.
Если вариантов нет и очень хочется наступать на грабли - почитайте для начала обзорную статью по современным кампусным сетям http://www.cisco.com/en/US/docs/solutions/Enterprise/Campus/...

"Проектирование сети (1000 пользователей)"
Отправлено Михаил , 11-Авг-08 18:33

>[оверквотинг удален]
>я указал, или нужно что-то еще? Порекомендуйте другие модели Cisco, подходящие
>под описанные требования (я правда сколько ни искал - лучше, как
>мне показалось, ничего не нашел, умные люди, поправьте меня пожалуйста))). Буду
>также крайне признателен за любые ссылки на документацию, ориентированную на описание
>особенностей проектирования подобного рода сетей, с описанием best practices, тонких моментов
>и подводных камней.
>
>Еще раз всех заранее благодарю за потраченное на данную тему время,
>с уважением,
>S0ulflames.
Есть что предложить, пишите на почту

"Проектирование сети (1000 пользователей)"
Отправлено andrey andrey , 11-Авг-08 21:03

Ваш проект подходит как пример cisco medium enterprise design. Двух шеститонников хватит, если
сделать server farm, и distribution по этажам. Ну и access распределенный.

"Проектирование сети (1000 пользователей)"
Отправлено Mikhail , 11-Авг-08 22:43

Обратитесь к интегратору, поверьте, в начале, это будет действительно дешевле.

"Проектирование сети (1000 пользователей)"
Отправлено Mt , 12-Авг-08 03:45

Доброй ночи :)
Обратится к партнеру (интегратору) это правильно:
1. они сделают дизайн/спецификацию (чаще всего бесплатно)
2. продадут коробки (cisco не продает напрямую)
3. настроят (вот тут уже деньги)
4. поставят на поддержку
Что ждать от интегратора чтоб не впарили остатки склада (разные бывают партнеры у нас):
1. Ядро сети - все линки 10GE
3 (видимо) 6504-sup720-6704
2. Распределение/Доступ - в одной коробке uplink-и 10GE:
4507К с нужным числом портов на linecard-ах - не забыть тут про PoE на voice портах если вам это нужно
У вас большая плотность портов - зачем городить 3650 ? 45xx тут надежнее и дешевле должно выйти из расчета на порт.

3. Датацентр - 100 серверных портов это у вас 50 серверов (dualhome) или все-таки 100 dualhome ? В любом случае это не мало и тут будет 2 уровня:
3.1 датацентр-агрегация
1 или 2 6509-sup720-(2x ?)fwsm-6704
3.2 датацентр-доступ
2 или 4 4948-10GE (uplink на агрегацию 10GE)
(2 это если у вас будет 48 серверов dualhome, 4 соответственно 96)

Забудьте про NAM в ядре сети, и вообще сервисные модули в ядре сети не бывают :)
Аккуратно отнеситесь к fwsm для защиты серверов - производительность 1 fwsm максимально 5 Gbps, реально около 4х. Если у вас действительно 100 серверов - нужно внимательно смотреть на архитектуру datacenter - 1-tier, 2-tier, 3-tier etc...
Еще к вопросу о серверах - используйте там на доступе именно 4948 - это коробка wirespeed в то время как 3750 с серьезным oversubscription.

Если у вас нет своего интегратора/партнера по cisco позвоните в офис cisco - попросите соединить с ISAM - inside sales account manager - опишите ситуацию - вам посоветуют партнера и/или системный инженер поможет с дизайном. Наврядли посоветуют конкретного - но альтернативу предложат :)

При обращении к интегратору оптимизируйте техзадание так что бы число портов было кратно 24 (48), т.е. если вы пишите 300 портов и это грубая оценка - лучше напишите 280 или сразу тогда 330 и т.т. Дешевле проект выйдет. Разница в цене между 100 портов и 96 ровно 1на железка или карта на 48(24) порта.
Удачи!

"Проектирование сети (1000 пользователей)"
Отправлено Mt , 12-Авг-08 03:53

>2. Распределение/Доступ - в одной коробке uplink-и 10GE:
>4507К с нужным числом портов на linecard-ах - не забыть тут про
>PoE на voice портах если вам это нужно
>У вас большая плотность портов - зачем городить 3650 ? 45xx тут
>надежнее и дешевле должно выйти из расчета на порт.
4507R всмысле.... вот ведь эти переключалки :)

"Проектирование сети (1000 пользователей)"
Отправлено s0ulflames , 12-Авг-08 08:49

>>2. Распределение/Доступ - в одной коробке uplink-и 10GE:
>>4507К с нужным числом портов на linecard-ах - не забыть тут про
>>PoE на voice портах если вам это нужно
>>У вас большая плотность портов - зачем городить 3650 ? 45xx тут
>>надежнее и дешевле должно выйти из расчета на порт.
>
>4507R всмысле.... вот ведь эти переключалки :)
Огромное вам спасибо за детальный ответ, к сожалению, обратиться к интегратору возможности нет, причины называть не буду, но, думаю, и так догадаетесь о наиболее вероятных ))
Не посоветуете ли напоследок что-нибудь почитать на данную тему? Например, какую-нибудь success-story, либо статьи, посвященные теме современных кампусных сетей?

"Проектирование сети (1000 пользователей)"
Отправлено Mt , 12-Авг-08 10:59

>Не посоветуете ли напоследок что-нибудь почитать на данную тему? Например, какую-нибудь
>success-story, либо статьи, посвященные теме современных кампусных сетей?
Общего плана к сожалению нет ничего под рукой, по cisco начните отсюда:
http://www.cisco.com/go/srnd
разделы campus и datacenter в первую очередь :)
Там где-то на cisco.com и success story есть - поиск найдет - но не расчитывайте на них сильно - маркетинг :)
В принципе есть книжка Cisco Press про кампусные сети, ее ценность в русском переводе несколько сомнительна, но лучше чем ничего.
Раз уж вы будуте все внедрять сами - то закупайте коробки со смартнетами и активируйте их _сразу_ чтобы иметь возможность обратится в TAC если что пошло не так...
Я попробую узнать у inside sales готовы ли они поддерживать заказчика без партнера в плане выработки технического решения, если что - отпишу сюда.

"Проектирование сети (1000 пользователей)"
Отправлено s0ulflames , 12-Авг-08 11:18

>[оверквотинг удален]
>В принципе есть книжка Cisco Press про кампусные сети, ее ценность в
>русском переводе несколько сомнительна, но лучше чем ничего.
>
>Раз уж вы будуте все внедрять сами - то закупайте коробки со
>смартнетами и активируйте их _сразу_ чтобы иметь возможность обратится в TAC
>если что пошло не так...
>
>Я попробую узнать у inside sales готовы ли они поддерживать заказчика без
>партнера в плане выработки технического решения, если что - отпишу сюда.
>
Еще раз благодарю за помощь, cisco.com штудирую в данный момент, саксес стори пока не нашел, а вот по srnd очень много полезной информации.
Что касается inside sales - не совсем понял вашу фразу "...готовы ли они поддерживать заказчика без партнера..." - вы имеете ввиду, согласится ли Cisco дать рекомендации по тех. решению напрямую, без официального запроса и обращения к интегратору, чисто на словах, по-дружески? ))

"Проектирование сети (1000 пользователей)"
Отправлено s0ulflames , 12-Авг-08 15:16

Еще возникло пара вопросов по ходу исследования:
1. Вы написали в своем предыдущем детальном посте: "2. Распределение/Доступ - в одной коробке uplink-и 10GE, 4507К с нужным числом портов на linecard-ах..."
Имеется ввиду, что 4507 совместят в себе и уровень распределения, и уровень доступа? И вообще, не понял смысл слова "коробка", распишите, пожалуйста, чуть поподробнее, как должны правильно выглядеть уровни распределения и доступа в моем случае.
2. Вот это не совсем тоже ясно: "1. Ядро сети - все линки 10GE, 3 (видимо) 6504-sup720-6704". Имеются ввиду 3 отдельные железки, коммутируемые между собой на 10GB/s?

"Проектирование сети (1000 пользователей)"
Отправлено mt , 13-Авг-08 00:01

>[оверквотинг удален]
>1. Вы написали в своем предыдущем детальном посте: "2. Распределение/Доступ - в
>одной коробке uplink-и 10GE, 4507К с нужным числом портов на linecard-ах..."
>
>Имеется ввиду, что 4507 совместят в себе и уровень распределения, и уровень
>доступа? И вообще, не понял смысл слова "коробка", распишите, пожалуйста, чуть
>поподробнее, как должны правильно выглядеть уровни распределения и доступа в моем
>случае.
>2. Вот это не совсем тоже ясно: "1. Ядро сети - все
>линки 10GE, 3 (видимо) 6504-sup720-6704". Имеются ввиду 3 отдельные железки, коммутируемые
>между собой на 10GB/s?
Добрый вечер!
Не нужен вам отдельно уровень распределения. Так что совмещайте доступ-распределение в одной коробке. По поводу стеков 3750 - еще не известно что дешевле 300 портов на 3750 или на 4507R. + к этому у 4507R 2 супера и резервное питание.
"Коробка"=="железка"==1 единица чего-то активного :)
В ядре скорее всего 3 коммутатора - так уж у вас этажи расположены. Между ними линки 10ки по разным трассам.
Теперь по теме :)
Позвоните Екатерине Андреевой +7 499 929 5726 или +7 495 961 1410 (ресипшн)
поговорите и получите системного инженера который поможет проанализировать техзадание, дизайн и составить спецификацию. Может быть поуговаривают обратиться к партнеру. Денег за это не берут :)
К чему нужно быть готовому:
1. Назвать себя
2. Внятно рассказать что нужно (тут проблемы нет у вас)
3. Позвонить до четверга !!!!!
Если все-таки захотите звонить - после четверга смысла не имеет, всвязи с некоторыми особенностями бизнес-процесса.
Ясное дело звонить необязательно, можно и самому все :)
Удачи :)

"Проектирование сети (1000 пользователей)"
Отправлено wr , 12-Авг-08 16:43

>2. Распределение/Доступ - в одной коробке uplink-и 10GE:
>4507К с нужным числом портов на linecard-ах - не забыть тут про
>PoE на voice портах если вам это нужно
>У вас большая плотность портов - зачем городить 3650 ? 45xx тут
>надежнее и дешевле должно выйти из расчета на порт.
Как вариант стек 3750-48 с PoE или без.
Или в ЗИП положить супервайзор и блоки питания для 45хх.

"Проектирование сети (1000 пользователей)"
Отправлено Аноним , 12-Авг-08 20:52

>>2. Распределение/Доступ - в одной коробке uplink-и 10GE:
>>4507К с нужным числом портов на linecard-ах - не забыть тут про
>>PoE на voice портах если вам это нужно
>>У вас большая плотность портов - зачем городить 3650 ? 45xx тут
>>надежнее и дешевле должно выйти из расчета на порт.
>
>Как вариант стек 3750-48 с PoE или без.
>Или в ЗИП положить супервайзор и блоки питания для 45хх.
на уровне доступа можно использовать как уже предложили стекируемые коммутаторы - cat3750E c 10GE магистральными портами, в качестве распределения можно использовать 45хх
либо совместить ядро\распределение 65хх на последних SUP (как выбирать модули и сервисные платы можете почитать на сайте, а так же пообщаться с представительством cisco)
в принципе базовая IP-сеть в Вашем случае стандартная, вопрос лишь в различных сервисах, которые могут потребоваться, другие задачи как огранизация серверной фермы и системы безопастности нужно разрабатыть отдельно и подходить более ясно...
для надежности и отказоустойчивости можно использовать метод построения из блоков-коммутаторов, в совокупности с протоколами hsrp,stp.