Сеть управления. Лучшие практики: большие VLAN или маршрутизируемые интерфейсы

13

Мы собираемся развернуть сеть кампуса с приблизительно 50 коммутаторами (Core, Agg, Access). Некоторые из них будут L2 (20), а другие будут L3 (30). Мы думаем о том, как управлять этими устройствами:

Большая VLAN на всех коммутаторах. Простота развертывания, удобная адресация, но большой домен вещания L2.
Управление VLAN для коммутаторов L2. Для доступа к ядру и коммутаторам агрегации используйте маршрутизируемые (или SVI) интерфейсы.

Что бы вы предпочли использовать в своей сети?

cisco

— Эдуард Буремный
источник

8

Я не могу представить ни одного сценария, в котором одна VLAN, охватывающая 50 коммутаторов, могла бы когда-либо считаться хорошим дизайнерским решением. Это не тот случай, если, но когда кто-то сделает петлю в этой VLAN и мгновенно заблокирует вас от половины ваших коммутаторов.

— Jwbensley

Вам помог какой-нибудь ответ? Если это так, вы должны принять ответ, чтобы вопрос не появлялся вечно, ища ответ. Кроме того, вы можете предоставить и принять свой собственный ответ.

— Рон Мопин

5

Как вы сказали, важно, сколько устройств мы говорим, но помимо этого, чего вам следует избегать, если это вообще возможно, это иметь только «внутриполосное» управление вашими устройствами. Вы не хотите, чтобы ваш управляющий трафик проходил в той же сети, что и производственный трафик. Если не все ваши коммутаторы имеют отдельный интерфейс Ethernet для управления, это нормально, но почти у каждого отдельного устройства есть некоторая форма последовательной консоли. ИСПОЛЬЗУЙ ЭТО. Особенно в качестве резервной копии для внутреннего управления. Это спасет вашу задницу, если устройство упадет с планеты. Я также предлагаю использовать совершенно отдельныйфизическая инфраструктура для управления подключением к вашему оборудованию. Это относится вдвойне для последовательного доступа к консоли. Если вы используете один из ваших интерфейсов на своих коммутаторах (это не выделенный интерфейс управления), это тоже не так уж сложно, если у вас есть отдельная сеть для подключения к нему.

50 устройств - это не слишком разумно, чтобы использовать одну VLAN (опять-таки, если вы не выполняете внутриполосное управление) и иметь один широковещательный домен для - возможно, вы пытаетесь оптимизировать слишком рано на этом этапе. Если ваши основные коммутаторы являются модульными блоками, то они, безусловно, должны иметь интерфейсы управления Ethernet - я бы посоветовал вам использовать их, а не SVI или физический маршрутизируемый интерфейс.

редактировать: мои личные предпочтения в основном обрисовывают в общих чертах то, что я посоветовал выше: всегда последовательные консоли. Используйте специальные интерфейсы управления Ethernet, где это применимо. Если выделенные интерфейсы управления Ethernet недоступны, тогда записывайте физический порт на коробке, но всегда всегда отдельную сеть для последовательных консолей на абсолютном минимуме.

— Джон Дженсен
источник

Например, у меня SUP7L-E для шасси 4500E. Это питание имеет выделенный порт управления Ethernet. Что я должен сделать для управления устройством: получить доступ через SVI или подключить этот порт mgmt к порту LineCard в VLAN управления. Последний вариант кажется странным, как по мне.

— Эдуард Буремный

Извините, я думаю, мне следовало уточнить - для управления вашим комплектом должна использоваться совершенно отдельная физическая сеть. Я исправлю свой ответ сейчас.

— Джон Дженсен

3

Это действительно зависит от сети, но я бы склонялся к L2 VLAN. Хотя некоторые выражали озабоченность по поводу цикла в VLAN, но за 12 лет в больших сетях я НИКОГДА не видел цикл, созданный в VLAN управления сетью.

Не сказать, что это не может произойти, но обычно люди, которые знают достаточно для настройки VLAN управления, обычно знают достаточно, чтобы не вызывать петли в сети. Большинство петель, с которыми я сталкивался, находятся в пользовательских VLAN, где конечный пользователь подключал / настраивал что-то неправильно или когда администратор сервера неправильно конфигурирует агрегацию / избыточность ссылок на своем сервере или неправильно конфигурирует среду виртуальной машины.

Переход к подходу L3 позволяет избежать этой конкретной проблемы, но также легко испортить маршрутизируемую сеть. Да, вы можете принять меры предосторожности, но я придерживаюсь KISS, когда могу, и маршрутизация является более сложной, чем переключение. Должны ли мы начать перечислять основные инциденты, которые произошли из-за проблем маршрутизации, представленных в Интернете?

В конечном счете, как отметил Джон Дженсен, у вас обязательно должна быть и система управления OOB, однако я бы вообще назвал это резервной копией для внутреннего управления. Вообще говоря, я не рекомендую изменять настройки скорости на консольном порту (когда дело доходит до ситуаций восстановления, необходимость выяснить, является ли консольный порт по умолчанию, изменен или изменен неправильно, может быть проблемой), и даже при скорости передачи 115 кб, консоль порты могут быть слишком медленными (и многие производители по умолчанию используют 9600 бод).

— YLearn
источник

Облегчает ли VRF ваши опасения по поводу использования L3? Какие еще преимущества есть у L2 по сравнению с L3? Я не думаю, что вы захотите, чтобы L2 охватил большую сеть.

— generalnetworkerror

1

Я бы использовал отдельную управляющую VLAN, как уже заявили наши коллеги, а затем трафик vlans столько, сколько требуется. Кроме того, я хотел бы быть более осторожным, как вы собираетесь связать все эти коммутаторы, какая версия программного обеспечения работает на каждом устройстве (вы должны быть уверены, что вы используете стабильную версию и, что более всего, знаете о любой сообщенной ошибке), а затем планировать другие вещи: как вы настраиваете транки, эфирные каналы и конечно же "STP".

— LAF
источник