https://opennet.me/openforum/vsluhforumID6/23809.html Господа, день добрый. Интересует вот что: какие есть стандарты построения сети (с точки зрения внутренней настройки оборудования). <br>Я о том, что есть, например, варианты поднятия HSRP на распределении, различные варианты балансировки и т.д.. <br>Хочу пересмотреть структуру своей сети - может есть лучший вариант, нежели тот, который применен сейчас. <br><br>В данный момент все просто: Между доступом (по 2-3 vlan на коммутатор) и распределением etherchannel стандартный из двух аплинков от каждого свитча. Уровней распределения всего 4, в каждый из них по 8-10 коммутаторов уровня доступа. От распределения до ядра тоже etherchannel. На ядре подняты vlan-if для каждой vlan. В общем всё стандартно. <br>Распределение и ядро состоит из стека двух коммутаторов 3750-x. Соответственно если отваливается один - разваливается etherchannel и работу принимает на себя второй оставшийся коммутатор. <br><br><br>Может подскажите что-то интересное? Какие нынче тенденции в этом направлении?<br> https://opennet.me/openforum/vsluhforumID6/23809.html#14 Thu, 24 May 2012 10:32:42 GMT &gt; А ядро будет работать в <br>&gt; L2-режиме?<br><br>Нет, ядро тоже в L3 режиме. Между ядром и распределением маршрутизируемые /30 сети.<br>Соответсвенно стек ядра разобрать на 2 отдельных "рутера". Балансировку трафика делать за счет протоколов маршрутизации.<br><br>По L2 безопасности доступа. Самый правильный вариант - комплекс из:<br>1.) IP DHCP snooping + IP source guard + Dynamic ARP inspection<br>+<br>2.) 802.1x authentication<br><br><br> https://opennet.me/openforum/vsluhforumID6/23809.html#13 Thu, 24 May 2012 07:43:19 GMT &gt;[оверквотинг удален]<br>&gt;&gt; ни к чему. Или я что-то не понял. Так что на <br>&gt;&gt; мой взгляд тут есть только два варианта - либо оставлять всё <br>&gt;&gt; , как есть (с LACP), либо HSRP) Ну мне вариант с <br>&gt;&gt; LACP больше по душе.<br>&gt; Ну у тебя распределение работает на L2 - в таком варианте ИМХО <br>&gt; стек лучше.<br>&gt; Я тебе предложил сделать маршрутизацию на уровне распределения. В качестве доп бонуса <br>&gt; - ты еще получишь заметную разгрузку процессора ядра от ARP и <br>&gt; MAC процессов всей сети, что в случае различных L2 атак/проблем - <br>&gt; заметно повысит устойчивость.<br><br>т.е. я правильно понимаю, что ты предлагаешь снять все vlan-интерфейсы с ядра и повесить их на уровни распределения - где какие нужны, и поднять на них же, допустим, eigrp. А ядро будет работать в L2-режиме?<br><br> https://opennet.me/openforum/vsluhforumID6/23809.html#12 Thu, 24 May 2012 07:38:55 GMT есть какие-то полезные решения с точки зрения L2 безопасности на доступе? Кроме bpduguard и dhcp snooping? Что используете? Понимаю, что это индивидуально всё и зависит от целей, но всё же.<br><br> https://opennet.me/openforum/vsluhforumID6/23809.html#11 Thu, 24 May 2012 07:18:55 GMT &gt; А у меня весь трафик из всех подсетей приходит в итоге на <br>&gt; ядро. Т.е. все подсети офиса на железке ядра is directly connected, <br>&gt; а маршрут 0.0.0.0 направлен на firewall. Так что динамика вроде как <br>&gt; ни к чему. Или я что-то не понял. Так что на <br>&gt; мой взгляд тут есть только два варианта - либо оставлять всё <br>&gt; , как есть (с LACP), либо HSRP) Ну мне вариант с <br>&gt; LACP больше по душе.<br><br>Ну у тебя распределение работает на L2 - в таком варианте ИМХО стек лучше.<br><br>Я тебе предложил сделать маршрутизацию на уровне распределения. В качестве доп бонуса - ты еще получишь заметную разгрузку процессора ядра от ARP и MAC процессов всей сети, что в случае различных L2 атак/проблем - заметно повысит устойчивость.<br><br><br><br> https://opennet.me/openforum/vsluhforumID6/23809.html#10 Thu, 24 May 2012 07:06:07 GMT &gt;[оверквотинг удален]<br>&gt; Последнее поднимет надежность и предсказуемость.<br>&gt; Т.к. стек хорошо спасает, когда болк питания дохнет, или выключается. А вот <br>&gt; при софтварно-аппаратных глюках - как он себя поведет не понятно. ИМХО <br>&gt; 2 отдельные железки в L3 режиме значительно предсказуемее и надежнее.<br>&gt; При этом считаю что на уровне распределения стек все же предстказуемее STP <br>&gt; + HSRP.<br>&gt; FHRP - это вообще штука актуальная на нексусах в случае использования vPC, <br>&gt; которого на каталистах нет в принципе.<br>&gt; А вообще принципы кслассического дизайна оч хорошо описанны в книжке по курсу <br>&gt; CCDP.<br><br>А у меня весь трафик из всех подсетей приходит в итоге на ядро. Т.е. все подсети офиса на железке ядра is directly connected, а маршрут 0.0.0.0 направлен на firewall. Так что динамика вроде как ни к чему. Или я что-то не понял. Так что на мой взгляд тут есть только два варианта - либо оставлять всё , как есть (с LACP), либо HSRP) Ну мне вариант с LACP больше по душе.<br> https://opennet.me/openforum/vsluhforumID6/23809.html#9 Thu, 24 May 2012 06:22:58 GMT &gt;&gt; L3 прямо с доступа :) и никаких FHRP ненадо.<br>&gt;&gt; А если текущая схема устраивает и все работает зачем ищете альтернативу?<br>&gt; Начальство сказало - надо) Мне-то в общем и целом решение, которое здесь <br>&gt; у меня, нравится. На предыдущем месте работы было на ядре (он <br>&gt; же и распределение) поднят на двух хуавеях 56-ых VRRP. Но схема <br>&gt; с etherchannel мне нравится больше - более просто (а значит более <br>&gt; надёжно)) и не надо тюнить HSRP/VRRP.<br>&gt; Просто хотелось бы знать есть ли какие-то новые веяния в этой теме) <br>&gt; На циско-экспо помню что-то рассказывали, да я прослушал блин) <br><br>FHRP - точно нафиг не надо, на уровне распределения оставить стек.<br><br>Уровень ядра имеет смысл из стека разобрать, и между ядром - распределением настроить чистый L3 с динамической маршрутизацией. <br><br>Последнее поднимет надежность и предсказуемость. <br>Т.к. стек хорошо спасает, когда болк питания дохнет, или выключается. А вот при софтварно-аппаратных глюках - как он себя поведет не понятно. ИМХО 2 отдельные железки в L3 режиме зна https://opennet.me/openforum/vsluhforumID6/23809.html#8 Thu, 24 May 2012 03:07:12 GMT &gt; Начальство сказало - надо)<br><br>Мотивация понятная, но идиотская. <br><br>Посмотрите на инфраструктуру в целом, возможно у вас есть бизнес или технические задачи решение которых может в ближайшем будущем потребовать другой схемы организации сети. Если реальных задач требующих изменения схемы нет, апгрейд магистралей до 10Гиг и соответственно замена ядра\распределения и доступа будет достойным по идиотичности ответом.<br><br>Так же не дурно присмотреться к вашему начальству его видимо скоро заменят потому как выкидывание хозяйских денег в трубу занятие конечно веселое, но не безопасное. Хотя российские реалии говорят нам, что такое может происходить достаточно долго без каких либо последствий.<br> https://opennet.me/openforum/vsluhforumID6/23809.html#7 Wed, 23 May 2012 11:18:47 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; Начальство сказало - надо) Мне-то в общем и целом решение, которое здесь <br>&gt;&gt;&gt; у меня, нравится. На предыдущем месте работы было на ядре (он <br>&gt;&gt;&gt; же и распределение) поднят на двух хуавеях 56-ых VRRP. Но схема <br>&gt;&gt;&gt; с etherchannel мне нравится больше - более просто (а значит более <br>&gt;&gt;&gt; надёжно)) и не надо тюнить HSRP/VRRP.<br>&gt;&gt;&gt; Просто хотелось бы знать есть ли какие-то новые веяния в этой теме) <br>&gt;&gt;&gt; На циско-экспо помню что-то рассказывали, да я прослушал блин) <br>&gt;&gt; Езерченел штука такая....было у меня Loop detection на них, ни с того <br>&gt;&gt; ни с сего...<br>&gt; странно...и не понятно из-за чего? И часто возникает? Оборудование Cisco?<br><br>скорее всего беда была в одном из патчкордов...да cisco catalyst 2950 :)<br> https://opennet.me/openforum/vsluhforumID6/23809.html#6 Wed, 23 May 2012 11:14:38 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; А если текущая схема устраивает и все работает зачем ищете альтернативу?<br>&gt;&gt; Начальство сказало - надо) Мне-то в общем и целом решение, которое здесь <br>&gt;&gt; у меня, нравится. На предыдущем месте работы было на ядре (он <br>&gt;&gt; же и распределение) поднят на двух хуавеях 56-ых VRRP. Но схема <br>&gt;&gt; с etherchannel мне нравится больше - более просто (а значит более <br>&gt;&gt; надёжно)) и не надо тюнить HSRP/VRRP.<br>&gt;&gt; Просто хотелось бы знать есть ли какие-то новые веяния в этой теме) <br>&gt;&gt; На циско-экспо помню что-то рассказывали, да я прослушал блин) <br>&gt; Езерченел штука такая....было у меня Loop detection на них, ни с того <br>&gt; ни с сего...<br><br>странно...и не понятно из-за чего? И часто возникает? Оборудование Cisco?<br><br><br><br>