Господа, день добрый. Интересует вот что: какие есть стандарты построения сети (с точки зрения внутренней настройки оборудования).
Я о том, что есть, например, варианты поднятия HSRP на распределении, различные варианты балансировки и т.д..
Хочу пересмотреть структуру своей сети - может есть лучший вариант, нежели тот, который применен сейчас.В данный момент все просто: Между доступом (по 2-3 vlan на коммутатор) и распределением etherchannel стандартный из двух аплинков от каждого свитча. Уровней распределения всего 4, в каждый из них по 8-10 коммутаторов уровня доступа. От распределения до ядра тоже etherchannel. На ядре подняты vlan-if для каждой vlan. В общем всё стандартно.
Распределение и ядро состоит из стека двух коммутаторов 3750-x. Соответственно если отваливается один - разваливается etherchannel и работу принимает на себя второй оставшийся коммутатор.
Может подскажите что-то интересное? Какие нынче тенденции в этом направлении?
L3 прямо с доступа :) и никаких FHRP ненадо.
А если текущая схема устраивает и все работает зачем ищете альтернативу?
> L3 прямо с доступа :) и никаких FHRP ненадо.
> А если текущая схема устраивает и все работает зачем ищете альтернативу?Начальство сказало - надо) Мне-то в общем и целом решение, которое здесь у меня, нравится. На предыдущем месте работы было на ядре (он же и распределение) поднят на двух хуавеях 56-ых VRRP. Но схема с etherchannel мне нравится больше - более просто (а значит более надёжно)) и не надо тюнить HSRP/VRRP.
Просто хотелось бы знать есть ли какие-то новые веяния в этой теме) На циско-экспо помню что-то рассказывали, да я прослушал блин)
>> L3 прямо с доступа :) и никаких FHRP ненадо.
>> А если текущая схема устраивает и все работает зачем ищете альтернативу?
> Начальство сказало - надо) Мне-то в общем и целом решение, которое здесь
> у меня, нравится. На предыдущем месте работы было на ядре (он
> же и распределение) поднят на двух хуавеях 56-ых VRRP. Но схема
> с etherchannel мне нравится больше - более просто (а значит более
> надёжно)) и не надо тюнить HSRP/VRRP.
> Просто хотелось бы знать есть ли какие-то новые веяния в этой теме)
> На циско-экспо помню что-то рассказывали, да я прослушал блин)VSS
>>> L3 прямо с доступа :) и никаких FHRP ненадо.
>>> А если текущая схема устраивает и все работает зачем ищете альтернативу?
>> Начальство сказало - надо) Мне-то в общем и целом решение, которое здесь
>> у меня, нравится. На предыдущем месте работы было на ядре (он
>> же и распределение) поднят на двух хуавеях 56-ых VRRP. Но схема
>> с etherchannel мне нравится больше - более просто (а значит более
>> надёжно)) и не надо тюнить HSRP/VRRP.
>> Просто хотелось бы знать есть ли какие-то новые веяния в этой теме)
>> На циско-экспо помню что-то рассказывали, да я прослушал блин)
> VSSVSS это дело хорошее, только у меня в конторе в ядре 3750X, так что никакого VSS и быть не может)
>> L3 прямо с доступа :) и никаких FHRP ненадо.
>> А если текущая схема устраивает и все работает зачем ищете альтернативу?
> Начальство сказало - надо) Мне-то в общем и целом решение, которое здесь
> у меня, нравится. На предыдущем месте работы было на ядре (он
> же и распределение) поднят на двух хуавеях 56-ых VRRP. Но схема
> с etherchannel мне нравится больше - более просто (а значит более
> надёжно)) и не надо тюнить HSRP/VRRP.
> Просто хотелось бы знать есть ли какие-то новые веяния в этой теме)
> На циско-экспо помню что-то рассказывали, да я прослушал блин)Езерченел штука такая....было у меня Loop detection на них, ни с того ни с сего...
>[оверквотинг удален]
>>> А если текущая схема устраивает и все работает зачем ищете альтернативу?
>> Начальство сказало - надо) Мне-то в общем и целом решение, которое здесь
>> у меня, нравится. На предыдущем месте работы было на ядре (он
>> же и распределение) поднят на двух хуавеях 56-ых VRRP. Но схема
>> с etherchannel мне нравится больше - более просто (а значит более
>> надёжно)) и не надо тюнить HSRP/VRRP.
>> Просто хотелось бы знать есть ли какие-то новые веяния в этой теме)
>> На циско-экспо помню что-то рассказывали, да я прослушал блин)
> Езерченел штука такая....было у меня Loop detection на них, ни с того
> ни с сего...странно...и не понятно из-за чего? И часто возникает? Оборудование Cisco?
>[оверквотинг удален]
>>> Начальство сказало - надо) Мне-то в общем и целом решение, которое здесь
>>> у меня, нравится. На предыдущем месте работы было на ядре (он
>>> же и распределение) поднят на двух хуавеях 56-ых VRRP. Но схема
>>> с etherchannel мне нравится больше - более просто (а значит более
>>> надёжно)) и не надо тюнить HSRP/VRRP.
>>> Просто хотелось бы знать есть ли какие-то новые веяния в этой теме)
>>> На циско-экспо помню что-то рассказывали, да я прослушал блин)
>> Езерченел штука такая....было у меня Loop detection на них, ни с того
>> ни с сего...
> странно...и не понятно из-за чего? И часто возникает? Оборудование Cisco?скорее всего беда была в одном из патчкордов...да cisco catalyst 2950 :)
> Начальство сказало - надо)Мотивация понятная, но идиотская.
Посмотрите на инфраструктуру в целом, возможно у вас есть бизнес или технические задачи решение которых может в ближайшем будущем потребовать другой схемы организации сети. Если реальных задач требующих изменения схемы нет, апгрейд магистралей до 10Гиг и соответственно замена ядра\распределения и доступа будет достойным по идиотичности ответом.
Так же не дурно присмотреться к вашему начальству его видимо скоро заменят потому как выкидывание хозяйских денег в трубу занятие конечно веселое, но не безопасное. Хотя российские реалии говорят нам, что такое может происходить достаточно долго без каких либо последствий.
>> L3 прямо с доступа :) и никаких FHRP ненадо.
>> А если текущая схема устраивает и все работает зачем ищете альтернативу?
> Начальство сказало - надо) Мне-то в общем и целом решение, которое здесь
> у меня, нравится. На предыдущем месте работы было на ядре (он
> же и распределение) поднят на двух хуавеях 56-ых VRRP. Но схема
> с etherchannel мне нравится больше - более просто (а значит более
> надёжно)) и не надо тюнить HSRP/VRRP.
> Просто хотелось бы знать есть ли какие-то новые веяния в этой теме)
> На циско-экспо помню что-то рассказывали, да я прослушал блин)FHRP - точно нафиг не надо, на уровне распределения оставить стек.
Уровень ядра имеет смысл из стека разобрать, и между ядром - распределением настроить чистый L3 с динамической маршрутизацией.
Последнее поднимет надежность и предсказуемость.
Т.к. стек хорошо спасает, когда болк питания дохнет, или выключается. А вот при софтварно-аппаратных глюках - как он себя поведет не понятно. ИМХО 2 отдельные железки в L3 режиме значительно предсказуемее и надежнее.При этом считаю что на уровне распределения стек все же предстказуемее STP + HSRP.
FHRP - это вообще штука актуальная на нексусах в случае использования vPC, которого на каталистах нет в принципе.
А вообще принципы кслассического дизайна оч хорошо описанны в книжке по курсу CCDP.
>[оверквотинг удален]
> Последнее поднимет надежность и предсказуемость.
> Т.к. стек хорошо спасает, когда болк питания дохнет, или выключается. А вот
> при софтварно-аппаратных глюках - как он себя поведет не понятно. ИМХО
> 2 отдельные железки в L3 режиме значительно предсказуемее и надежнее.
> При этом считаю что на уровне распределения стек все же предстказуемее STP
> + HSRP.
> FHRP - это вообще штука актуальная на нексусах в случае использования vPC,
> которого на каталистах нет в принципе.
> А вообще принципы кслассического дизайна оч хорошо описанны в книжке по курсу
> CCDP.А у меня весь трафик из всех подсетей приходит в итоге на ядро. Т.е. все подсети офиса на железке ядра is directly connected, а маршрут 0.0.0.0 направлен на firewall. Так что динамика вроде как ни к чему. Или я что-то не понял. Так что на мой взгляд тут есть только два варианта - либо оставлять всё , как есть (с LACP), либо HSRP) Ну мне вариант с LACP больше по душе.
> А у меня весь трафик из всех подсетей приходит в итоге на
> ядро. Т.е. все подсети офиса на железке ядра is directly connected,
> а маршрут 0.0.0.0 направлен на firewall. Так что динамика вроде как
> ни к чему. Или я что-то не понял. Так что на
> мой взгляд тут есть только два варианта - либо оставлять всё
> , как есть (с LACP), либо HSRP) Ну мне вариант с
> LACP больше по душе.Ну у тебя распределение работает на L2 - в таком варианте ИМХО стек лучше.
Я тебе предложил сделать маршрутизацию на уровне распределения. В качестве доп бонуса - ты еще получишь заметную разгрузку процессора ядра от ARP и MAC процессов всей сети, что в случае различных L2 атак/проблем - заметно повысит устойчивость.
>[оверквотинг удален]
>> ни к чему. Или я что-то не понял. Так что на
>> мой взгляд тут есть только два варианта - либо оставлять всё
>> , как есть (с LACP), либо HSRP) Ну мне вариант с
>> LACP больше по душе.
> Ну у тебя распределение работает на L2 - в таком варианте ИМХО
> стек лучше.
> Я тебе предложил сделать маршрутизацию на уровне распределения. В качестве доп бонуса
> - ты еще получишь заметную разгрузку процессора ядра от ARP и
> MAC процессов всей сети, что в случае различных L2 атак/проблем -
> заметно повысит устойчивость.т.е. я правильно понимаю, что ты предлагаешь снять все vlan-интерфейсы с ядра и повесить их на уровни распределения - где какие нужны, и поднять на них же, допустим, eigrp. А ядро будет работать в L2-режиме?
> А ядро будет работать в
> L2-режиме?Нет, ядро тоже в L3 режиме. Между ядром и распределением маршрутизируемые /30 сети.
Соответсвенно стек ядра разобрать на 2 отдельных "рутера". Балансировку трафика делать за счет протоколов маршрутизации.По L2 безопасности доступа. Самый правильный вариант - комплекс из:
1.) IP DHCP snooping + IP source guard + Dynamic ARP inspection
+
2.) 802.1x authentication
есть какие-то полезные решения с точки зрения L2 безопасности на доступе? Кроме bpduguard и dhcp snooping? Что используете? Понимаю, что это индивидуально всё и зависит от целей, но всё же.