The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Структура корпоративной сети среднего предприятия"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Разное)
Изначальное сообщение [ Отслеживать ]

"Структура корпоративной сети среднего предприятия"  +/
Сообщение от Huaweiboy (ok) on 23-Май-12, 12:21 
Господа, день добрый. Интересует вот что: какие есть стандарты построения сети (с точки зрения внутренней настройки оборудования).
Я о том, что есть, например, варианты поднятия HSRP на распределении, различные варианты балансировки и т.д..
Хочу пересмотреть структуру своей сети - может есть лучший вариант, нежели тот, который применен сейчас.

В данный момент все просто: Между доступом (по 2-3 vlan на коммутатор) и распределением etherchannel стандартный из двух аплинков от каждого свитча. Уровней распределения всего 4, в каждый из них по 8-10 коммутаторов уровня доступа. От распределения до ядра тоже etherchannel.  На ядре подняты vlan-if для каждой vlan. В общем всё стандартно.  
Распределение и ядро состоит из стека двух коммутаторов 3750-x. Соответственно если отваливается один - разваливается etherchannel и работу принимает на себя второй оставшийся коммутатор.  


Может подскажите что-то интересное? Какие нынче тенденции в этом направлении?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Структура корпоративной сети среднего предприятия"  +/
Сообщение от eek email on 23-Май-12, 12:49 
L3 прямо с доступа :) и никаких FHRP ненадо.
А если текущая схема устраивает и все работает зачем ищете альтернативу?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Структура корпоративной сети среднего предприятия"  +/
Сообщение от Huaweiboy (ok) on 23-Май-12, 13:00 
> L3 прямо с доступа :) и никаких FHRP ненадо.
> А если текущая схема устраивает и все работает зачем ищете альтернативу?

Начальство сказало - надо) Мне-то в общем и целом решение, которое здесь у меня, нравится. На предыдущем месте работы было на ядре (он же и распределение) поднят на двух хуавеях 56-ых VRRP. Но схема с etherchannel мне нравится больше - более просто (а значит более надёжно))  и не надо тюнить HSRP/VRRP.
Просто хотелось бы знать есть ли какие-то новые веяния в этой теме) На циско-экспо помню что-то рассказывали, да я прослушал блин)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Структура корпоративной сети среднего предприятия"  +/
Сообщение от Seva (??) on 23-Май-12, 13:48 
>> L3 прямо с доступа :) и никаких FHRP ненадо.
>> А если текущая схема устраивает и все работает зачем ищете альтернативу?
> Начальство сказало - надо) Мне-то в общем и целом решение, которое здесь
> у меня, нравится. На предыдущем месте работы было на ядре (он
> же и распределение) поднят на двух хуавеях 56-ых VRRP. Но схема
> с etherchannel мне нравится больше - более просто (а значит более
> надёжно))  и не надо тюнить HSRP/VRRP.
> Просто хотелось бы знать есть ли какие-то новые веяния в этой теме)
> На циско-экспо помню что-то рассказывали, да я прослушал блин)

VSS

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Структура корпоративной сети среднего предприятия"  +/
Сообщение от Huaweiboy (ok) on 23-Май-12, 14:02 
>>> L3 прямо с доступа :) и никаких FHRP ненадо.
>>> А если текущая схема устраивает и все работает зачем ищете альтернативу?
>> Начальство сказало - надо) Мне-то в общем и целом решение, которое здесь
>> у меня, нравится. На предыдущем месте работы было на ядре (он
>> же и распределение) поднят на двух хуавеях 56-ых VRRP. Но схема
>> с etherchannel мне нравится больше - более просто (а значит более
>> надёжно))  и не надо тюнить HSRP/VRRP.
>> Просто хотелось бы знать есть ли какие-то новые веяния в этой теме)
>> На циско-экспо помню что-то рассказывали, да я прослушал блин)
> VSS

VSS это дело хорошее, только у меня в конторе в ядре 3750X, так что никакого VSS и быть не может)


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Структура корпоративной сети среднего предприятия"  +/
Сообщение от jied83 (ok) on 23-Май-12, 14:20 
>> L3 прямо с доступа :) и никаких FHRP ненадо.
>> А если текущая схема устраивает и все работает зачем ищете альтернативу?
> Начальство сказало - надо) Мне-то в общем и целом решение, которое здесь
> у меня, нравится. На предыдущем месте работы было на ядре (он
> же и распределение) поднят на двух хуавеях 56-ых VRRP. Но схема
> с etherchannel мне нравится больше - более просто (а значит более
> надёжно))  и не надо тюнить HSRP/VRRP.
> Просто хотелось бы знать есть ли какие-то новые веяния в этой теме)
> На циско-экспо помню что-то рассказывали, да я прослушал блин)

Езерченел штука такая....было у меня Loop detection на них, ни с того ни с сего...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Структура корпоративной сети среднего предприятия"  +/
Сообщение от Huaweiboy (ok) on 23-Май-12, 15:14 
>[оверквотинг удален]
>>> А если текущая схема устраивает и все работает зачем ищете альтернативу?
>> Начальство сказало - надо) Мне-то в общем и целом решение, которое здесь
>> у меня, нравится. На предыдущем месте работы было на ядре (он
>> же и распределение) поднят на двух хуавеях 56-ых VRRP. Но схема
>> с etherchannel мне нравится больше - более просто (а значит более
>> надёжно))  и не надо тюнить HSRP/VRRP.
>> Просто хотелось бы знать есть ли какие-то новые веяния в этой теме)
>> На циско-экспо помню что-то рассказывали, да я прослушал блин)
> Езерченел штука такая....было у меня Loop detection на них, ни с того
> ни с сего...

странно...и не понятно из-за чего? И часто возникает? Оборудование Cisco?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Структура корпоративной сети среднего предприятия"  +/
Сообщение от jied83 (ok) on 23-Май-12, 15:18 
>[оверквотинг удален]
>>> Начальство сказало - надо) Мне-то в общем и целом решение, которое здесь
>>> у меня, нравится. На предыдущем месте работы было на ядре (он
>>> же и распределение) поднят на двух хуавеях 56-ых VRRP. Но схема
>>> с etherchannel мне нравится больше - более просто (а значит более
>>> надёжно))  и не надо тюнить HSRP/VRRP.
>>> Просто хотелось бы знать есть ли какие-то новые веяния в этой теме)
>>> На циско-экспо помню что-то рассказывали, да я прослушал блин)
>> Езерченел штука такая....было у меня Loop detection на них, ни с того
>> ни с сего...
> странно...и не понятно из-за чего? И часто возникает? Оборудование Cisco?

скорее всего беда была в одном из патчкордов...да cisco catalyst 2950 :)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Структура корпоративной сети среднего предприятия"  +/
Сообщение от eek email on 24-Май-12, 07:07 
> Начальство сказало - надо)

Мотивация понятная, но идиотская.

Посмотрите на инфраструктуру в целом, возможно у вас есть бизнес или технические задачи решение которых может в ближайшем будущем потребовать другой схемы организации сети. Если реальных задач требующих изменения схемы нет, апгрейд магистралей до 10Гиг и соответственно замена ядра\распределения и доступа будет достойным по идиотичности ответом.

Так же не дурно присмотреться к вашему начальству его видимо скоро заменят потому как выкидывание хозяйских денег в трубу занятие конечно веселое, но не безопасное. Хотя российские реалии говорят нам, что такое может происходить достаточно долго без каких либо последствий.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Структура корпоративной сети среднего предприятия"  +/
Сообщение от Pve1 (ok) on 24-Май-12, 10:22 
>> L3 прямо с доступа :) и никаких FHRP ненадо.
>> А если текущая схема устраивает и все работает зачем ищете альтернативу?
> Начальство сказало - надо) Мне-то в общем и целом решение, которое здесь
> у меня, нравится. На предыдущем месте работы было на ядре (он
> же и распределение) поднят на двух хуавеях 56-ых VRRP. Но схема
> с etherchannel мне нравится больше - более просто (а значит более
> надёжно))  и не надо тюнить HSRP/VRRP.
> Просто хотелось бы знать есть ли какие-то новые веяния в этой теме)
> На циско-экспо помню что-то рассказывали, да я прослушал блин)

FHRP - точно нафиг не надо, на уровне распределения оставить стек.

Уровень ядра имеет смысл из стека разобрать, и между ядром - распределением настроить чистый L3 с динамической маршрутизацией.  

Последнее поднимет надежность и предсказуемость.
Т.к. стек хорошо спасает, когда болк питания дохнет, или выключается. А вот при софтварно-аппаратных глюках - как он себя поведет не понятно. ИМХО 2 отдельные железки в L3 режиме значительно предсказуемее и надежнее.

При этом считаю что на уровне распределения стек все же предстказуемее STP + HSRP.

FHRP - это вообще штука актуальная на нексусах в случае использования vPC, которого на каталистах нет в принципе.

А вообще принципы кслассического дизайна оч хорошо описанны в книжке по курсу CCDP.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

10. "Структура корпоративной сети среднего предприятия"  +/
Сообщение от Huaweiboy (ok) on 24-Май-12, 11:06 
>[оверквотинг удален]
> Последнее поднимет надежность и предсказуемость.
> Т.к. стек хорошо спасает, когда болк питания дохнет, или выключается. А вот
> при софтварно-аппаратных глюках - как он себя поведет не понятно. ИМХО
> 2 отдельные железки в L3 режиме значительно предсказуемее и надежнее.
> При этом считаю что на уровне распределения стек все же предстказуемее STP
> + HSRP.
> FHRP - это вообще штука актуальная на нексусах в случае использования vPC,
> которого на каталистах нет в принципе.
> А вообще принципы кслассического дизайна оч хорошо описанны в книжке по курсу
> CCDP.

А у меня весь трафик из всех подсетей приходит в итоге на ядро. Т.е. все подсети офиса на железке ядра is directly connected, а маршрут 0.0.0.0 направлен на firewall. Так что динамика вроде как ни к чему. Или я что-то не понял. Так что на мой взгляд тут есть только два варианта - либо оставлять всё , как есть (с LACP), либо HSRP) Ну мне вариант с LACP больше по душе.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Структура корпоративной сети среднего предприятия"  +/
Сообщение от Pve1 (ok) on 24-Май-12, 11:18 
> А у меня весь трафик из всех подсетей приходит в итоге на
> ядро. Т.е. все подсети офиса на железке ядра is directly connected,
> а маршрут 0.0.0.0 направлен на firewall. Так что динамика вроде как
> ни к чему. Или я что-то не понял. Так что на
> мой взгляд тут есть только два варианта - либо оставлять всё
> , как есть (с LACP), либо HSRP) Ну мне вариант с
> LACP больше по душе.

Ну у тебя распределение работает на L2 - в таком варианте ИМХО стек лучше.

Я тебе предложил сделать маршрутизацию на уровне распределения. В качестве доп бонуса - ты еще получишь заметную разгрузку процессора ядра от ARP и MAC процессов всей сети, что в случае различных L2 атак/проблем - заметно повысит устойчивость.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Структура корпоративной сети среднего предприятия"  +/
Сообщение от Huaweiboy (ok) on 24-Май-12, 11:43 
>[оверквотинг удален]
>> ни к чему. Или я что-то не понял. Так что на
>> мой взгляд тут есть только два варианта - либо оставлять всё
>> , как есть (с LACP), либо HSRP) Ну мне вариант с
>> LACP больше по душе.
> Ну у тебя распределение работает на L2 - в таком варианте ИМХО
> стек лучше.
> Я тебе предложил сделать маршрутизацию на уровне распределения. В качестве доп бонуса
> - ты еще получишь заметную разгрузку процессора ядра от ARP и
> MAC процессов всей сети, что в случае различных L2 атак/проблем -
> заметно повысит устойчивость.

т.е. я правильно понимаю, что ты предлагаешь снять все vlan-интерфейсы с ядра и повесить их на уровни распределения - где какие нужны, и поднять на них же, допустим, eigrp. А ядро будет работать в L2-режиме?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Структура корпоративной сети среднего предприятия"  +/
Сообщение от Pve1 (ok) on 24-Май-12, 14:32 
> А ядро будет работать в
> L2-режиме?

Нет, ядро тоже в L3 режиме. Между ядром и распределением маршрутизируемые /30 сети.
Соответсвенно стек ядра разобрать на 2 отдельных "рутера". Балансировку трафика делать за счет протоколов маршрутизации.

По L2 безопасности доступа. Самый правильный вариант - комплекс из:
1.) IP DHCP snooping + IP source guard + Dynamic ARP inspection
+
2.) 802.1x authentication


Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

12. "Структура корпоративной сети среднего предприятия"  +/
Сообщение от Huaweiboy (ok) on 24-Май-12, 11:38 
есть какие-то полезные решения с точки зрения L2 безопасности на доступе? Кроме bpduguard и dhcp snooping? Что используете? Понимаю, что это индивидуально всё и зависит от целей, но всё же.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру