- Структура корпоративной сети среднего предприятия, eek, 12:49 , 23-Май-12 (1)
L3 прямо с доступа :) и никаких FHRP ненадо. А если текущая схема устраивает и все работает зачем ищете альтернативу?
- Структура корпоративной сети среднего предприятия, Huaweiboy, 13:00 , 23-Май-12 (2)
> L3 прямо с доступа :) и никаких FHRP ненадо. > А если текущая схема устраивает и все работает зачем ищете альтернативу?Начальство сказало - надо) Мне-то в общем и целом решение, которое здесь у меня, нравится. На предыдущем месте работы было на ядре (он же и распределение) поднят на двух хуавеях 56-ых VRRP. Но схема с etherchannel мне нравится больше - более просто (а значит более надёжно)) и не надо тюнить HSRP/VRRP. Просто хотелось бы знать есть ли какие-то новые веяния в этой теме) На циско-экспо помню что-то рассказывали, да я прослушал блин)
- Структура корпоративной сети среднего предприятия, Seva, 13:48 , 23-Май-12 (3)
>> L3 прямо с доступа :) и никаких FHRP ненадо. >> А если текущая схема устраивает и все работает зачем ищете альтернативу? > Начальство сказало - надо) Мне-то в общем и целом решение, которое здесь > у меня, нравится. На предыдущем месте работы было на ядре (он > же и распределение) поднят на двух хуавеях 56-ых VRRP. Но схема > с etherchannel мне нравится больше - более просто (а значит более > надёжно)) и не надо тюнить HSRP/VRRP. > Просто хотелось бы знать есть ли какие-то новые веяния в этой теме) > На циско-экспо помню что-то рассказывали, да я прослушал блин) VSS
- Структура корпоративной сети среднего предприятия, Huaweiboy, 14:02 , 23-Май-12 (4)
>>> L3 прямо с доступа :) и никаких FHRP ненадо. >>> А если текущая схема устраивает и все работает зачем ищете альтернативу? >> Начальство сказало - надо) Мне-то в общем и целом решение, которое здесь >> у меня, нравится. На предыдущем месте работы было на ядре (он >> же и распределение) поднят на двух хуавеях 56-ых VRRP. Но схема >> с etherchannel мне нравится больше - более просто (а значит более >> надёжно)) и не надо тюнить HSRP/VRRP. >> Просто хотелось бы знать есть ли какие-то новые веяния в этой теме) >> На циско-экспо помню что-то рассказывали, да я прослушал блин) > VSS VSS это дело хорошее, только у меня в конторе в ядре 3750X, так что никакого VSS и быть не может)
- Структура корпоративной сети среднего предприятия, jied83, 14:20 , 23-Май-12 (5)
>> L3 прямо с доступа :) и никаких FHRP ненадо. >> А если текущая схема устраивает и все работает зачем ищете альтернативу? > Начальство сказало - надо) Мне-то в общем и целом решение, которое здесь > у меня, нравится. На предыдущем месте работы было на ядре (он > же и распределение) поднят на двух хуавеях 56-ых VRRP. Но схема > с etherchannel мне нравится больше - более просто (а значит более > надёжно)) и не надо тюнить HSRP/VRRP. > Просто хотелось бы знать есть ли какие-то новые веяния в этой теме) > На циско-экспо помню что-то рассказывали, да я прослушал блин) Езерченел штука такая....было у меня Loop detection на них, ни с того ни с сего...
- Структура корпоративной сети среднего предприятия, Huaweiboy, 15:14 , 23-Май-12 (6)
>[оверквотинг удален] >>> А если текущая схема устраивает и все работает зачем ищете альтернативу? >> Начальство сказало - надо) Мне-то в общем и целом решение, которое здесь >> у меня, нравится. На предыдущем месте работы было на ядре (он >> же и распределение) поднят на двух хуавеях 56-ых VRRP. Но схема >> с etherchannel мне нравится больше - более просто (а значит более >> надёжно)) и не надо тюнить HSRP/VRRP. >> Просто хотелось бы знать есть ли какие-то новые веяния в этой теме) >> На циско-экспо помню что-то рассказывали, да я прослушал блин) > Езерченел штука такая....было у меня Loop detection на них, ни с того > ни с сего...странно...и не понятно из-за чего? И часто возникает? Оборудование Cisco?
- Структура корпоративной сети среднего предприятия, jied83, 15:18 , 23-Май-12 (7)
>[оверквотинг удален] >>> Начальство сказало - надо) Мне-то в общем и целом решение, которое здесь >>> у меня, нравится. На предыдущем месте работы было на ядре (он >>> же и распределение) поднят на двух хуавеях 56-ых VRRP. Но схема >>> с etherchannel мне нравится больше - более просто (а значит более >>> надёжно)) и не надо тюнить HSRP/VRRP. >>> Просто хотелось бы знать есть ли какие-то новые веяния в этой теме) >>> На циско-экспо помню что-то рассказывали, да я прослушал блин) >> Езерченел штука такая....было у меня Loop detection на них, ни с того >> ни с сего... > странно...и не понятно из-за чего? И часто возникает? Оборудование Cisco?скорее всего беда была в одном из патчкордов...да cisco catalyst 2950 :)
- Структура корпоративной сети среднего предприятия, eek, 07:07 , 24-Май-12 (8)
> Начальство сказало - надо)Мотивация понятная, но идиотская. Посмотрите на инфраструктуру в целом, возможно у вас есть бизнес или технические задачи решение которых может в ближайшем будущем потребовать другой схемы организации сети. Если реальных задач требующих изменения схемы нет, апгрейд магистралей до 10Гиг и соответственно замена ядра\распределения и доступа будет достойным по идиотичности ответом. Так же не дурно присмотреться к вашему начальству его видимо скоро заменят потому как выкидывание хозяйских денег в трубу занятие конечно веселое, но не безопасное. Хотя российские реалии говорят нам, что такое может происходить достаточно долго без каких либо последствий.
- Структура корпоративной сети среднего предприятия, Pve1, 10:22 , 24-Май-12 (9)
>> L3 прямо с доступа :) и никаких FHRP ненадо. >> А если текущая схема устраивает и все работает зачем ищете альтернативу? > Начальство сказало - надо) Мне-то в общем и целом решение, которое здесь > у меня, нравится. На предыдущем месте работы было на ядре (он > же и распределение) поднят на двух хуавеях 56-ых VRRP. Но схема > с etherchannel мне нравится больше - более просто (а значит более > надёжно)) и не надо тюнить HSRP/VRRP. > Просто хотелось бы знать есть ли какие-то новые веяния в этой теме) > На циско-экспо помню что-то рассказывали, да я прослушал блин) FHRP - точно нафиг не надо, на уровне распределения оставить стек. Уровень ядра имеет смысл из стека разобрать, и между ядром - распределением настроить чистый L3 с динамической маршрутизацией. Последнее поднимет надежность и предсказуемость. Т.к. стек хорошо спасает, когда болк питания дохнет, или выключается. А вот при софтварно-аппаратных глюках - как он себя поведет не понятно. ИМХО 2 отдельные железки в L3 режиме значительно предсказуемее и надежнее. При этом считаю что на уровне распределения стек все же предстказуемее STP + HSRP. FHRP - это вообще штука актуальная на нексусах в случае использования vPC, которого на каталистах нет в принципе. А вообще принципы кслассического дизайна оч хорошо описанны в книжке по курсу CCDP.
- Структура корпоративной сети среднего предприятия, Huaweiboy, 11:06 , 24-Май-12 (10)
>[оверквотинг удален] > Последнее поднимет надежность и предсказуемость. > Т.к. стек хорошо спасает, когда болк питания дохнет, или выключается. А вот > при софтварно-аппаратных глюках - как он себя поведет не понятно. ИМХО > 2 отдельные железки в L3 режиме значительно предсказуемее и надежнее. > При этом считаю что на уровне распределения стек все же предстказуемее STP > + HSRP. > FHRP - это вообще штука актуальная на нексусах в случае использования vPC, > которого на каталистах нет в принципе. > А вообще принципы кслассического дизайна оч хорошо описанны в книжке по курсу > CCDP.А у меня весь трафик из всех подсетей приходит в итоге на ядро. Т.е. все подсети офиса на железке ядра is directly connected, а маршрут 0.0.0.0 направлен на firewall. Так что динамика вроде как ни к чему. Или я что-то не понял. Так что на мой взгляд тут есть только два варианта - либо оставлять всё , как есть (с LACP), либо HSRP) Ну мне вариант с LACP больше по душе.
- Структура корпоративной сети среднего предприятия, Pve1, 11:18 , 24-Май-12 (11)
> А у меня весь трафик из всех подсетей приходит в итоге на > ядро. Т.е. все подсети офиса на железке ядра is directly connected, > а маршрут 0.0.0.0 направлен на firewall. Так что динамика вроде как > ни к чему. Или я что-то не понял. Так что на > мой взгляд тут есть только два варианта - либо оставлять всё > , как есть (с LACP), либо HSRP) Ну мне вариант с > LACP больше по душе.Ну у тебя распределение работает на L2 - в таком варианте ИМХО стек лучше. Я тебе предложил сделать маршрутизацию на уровне распределения. В качестве доп бонуса - ты еще получишь заметную разгрузку процессора ядра от ARP и MAC процессов всей сети, что в случае различных L2 атак/проблем - заметно повысит устойчивость.
- Структура корпоративной сети среднего предприятия, Huaweiboy, 11:43 , 24-Май-12 (13)
>[оверквотинг удален] >> ни к чему. Или я что-то не понял. Так что на >> мой взгляд тут есть только два варианта - либо оставлять всё >> , как есть (с LACP), либо HSRP) Ну мне вариант с >> LACP больше по душе. > Ну у тебя распределение работает на L2 - в таком варианте ИМХО > стек лучше. > Я тебе предложил сделать маршрутизацию на уровне распределения. В качестве доп бонуса > - ты еще получишь заметную разгрузку процессора ядра от ARP и > MAC процессов всей сети, что в случае различных L2 атак/проблем - > заметно повысит устойчивость.т.е. я правильно понимаю, что ты предлагаешь снять все vlan-интерфейсы с ядра и повесить их на уровни распределения - где какие нужны, и поднять на них же, допустим, eigrp. А ядро будет работать в L2-режиме?
- Структура корпоративной сети среднего предприятия, Pve1, 14:32 , 24-Май-12 (14)
> А ядро будет работать в > L2-режиме?Нет, ядро тоже в L3 режиме. Между ядром и распределением маршрутизируемые /30 сети. Соответсвенно стек ядра разобрать на 2 отдельных "рутера". Балансировку трафика делать за счет протоколов маршрутизации. По L2 безопасности доступа. Самый правильный вариант - комплекс из: 1.) IP DHCP snooping + IP source guard + Dynamic ARP inspection + 2.) 802.1x authentication
- Структура корпоративной сети среднего предприятия, Huaweiboy, 11:38 , 24-Май-12 (12)
есть какие-то полезные решения с точки зрения L2 безопасности на доступе? Кроме bpduguard и dhcp snooping? Что используете? Понимаю, что это индивидуально всё и зависит от целей, но всё же.
|