Rete di gestione. Best practice: VLAN di grandi dimensioni o interfacce instradate

13

Distribuiremo una rete di campus con circa 50 switch (Core, Agg, Access). Alcuni di essi saranno L2 (20) e altri saranno L3 (30). Stiamo pensando a come gestire questi dispositivi:

  1. Una grande VLAN su tutti gli switch. Facile da implementare, indirizzamento semplice, ma grande dominio broadcast L2.
  2. VLAN di gestione per switch L2. Per accedere agli switch core e di aggregazione utilizzare interfacce indirizzate (o SVI).

Cosa preferiresti utilizzare nella tua rete?

cisco 
Эдуард Буремный
fonte
8
Non riesco a immaginare uno scenario in cui una VLAN con 50 switch possa mai essere considerata una buona decisione di progettazione. Non è un caso se, ma quando, qualcuno farà un loop su quella VLAN e ti bloccherà fuori dalla metà degli switch in un istante.
Jwbensley,
Qualche risposta ti è stata d'aiuto? in tal caso, dovresti accettare la risposta in modo che la domanda non continui a comparire per sempre, cercando una risposta. In alternativa, potresti fornire e accettare la tua risposta.
Ron Maupin

Risposte:

5

Come hai detto, è importante il numero di dispositivi di cui stiamo parlando, ma a parte ciò, cosa dovresti evitare, se possibile, avere una gestione "in-band" dei tuoi dispositivi. Non vuoi che il tuo traffico di gestione si trovi sulla stessa rete del tuo traffico di produzione. Se non tutti i tuoi switch dispongono di un'interfaccia Ethernet separata per la gestione, va bene, ma quasi ogni singola apparecchiatura in circolazione ha una qualche forma di console seriale. USARLO. Soprattutto come backup per la gestione in-band. Questo ti salverà il culo se un dispositivo cade dal pianeta. Sto anche suggerendo di utilizzare un completamente separatoinfrastruttura fisica per la connettività di gestione delle apparecchiature. Questo vale doppiamente per l'accesso alla console seriale. Se stai utilizzando una delle tue interfacce sui tuoi switch (che non è un'interfaccia di gestione dedicata), anche questo non è un grosso problema, a condizione che tu abbia una rete separata per collegarlo.

50 dispositivi non sono troppo irragionevoli di un footprint per usare una singola VLAN (di nuovo, supponendo che tu non stia facendo la gestione in banda) e per cui hai un dominio di trasmissione - potresti provare a ottimizzare troppo presto in questa fase. Se i tuoi switch core sono box modulari, dovrebbero sicuramente avere interfacce di gestione Ethernet - ti consiglierei di usarli piuttosto che una SVI o un'interfaccia fisica indirizzata.

modifica: le mie preferenze personali sostanzialmente descrivono ciò che ho consigliato sopra: sempre console seriali. Utilizzare interfacce di gestione Ethernet dedicate ove applicabile. Se non sono disponibili interfacce di gestione Ethernet dedicate, masterizzare una porta fisica sulla scatola, ma sempre sempre una rete separata, per le console seriali al minimo assoluto.

John Jensen
fonte
Ad esempio, ho SUP7L-E per telaio 4500E. Questo sup ha una porta di gestione Ethernet dedicata. Cosa devo fare per gestire il dispositivo: accedere tramite SVI o collegare questa porta mgmt alla porta LineCard nella VLAN di gestione. L'ultima variante sembra essere strana, per quanto mi riguarda.
Эдуард Буремный,
Siamo spiacenti, suppongo che avrei dovuto chiarire che dovrebbe essere utilizzata una rete fisica completamente separata per la gestione del kit. Modificherò la mia risposta ora.
John Jensen,
3

Dipende molto dalla rete, ma mi spingerei verso la VLAN L2. Mentre alcuni hanno espresso preoccupazione per un loop sulla VLAN, ma in 12 anni su grandi reti, non ho mai visto un loop creato su una VLAN di gestione della rete.

Per non dire che non potrebbe accadere, ma in genere le persone che sanno abbastanza per configurare una VLAN di gestione generalmente sanno abbastanza per non causare loop sulla rete. La maggior parte dei loop che ho riscontrato sono su VLAN utente in cui un utente finale ha collegato / configurato qualcosa in modo errato o quando un amministratore del server configura erroneamente l'aggregazione / ridondanza del collegamento sul proprio server o configura un ambiente VM.

Passare a un approccio L3 evita quel particolare problema, ma è anche facile rovinare una rete instradata. Sì, puoi prendere delle precauzioni, ma mi attengo a KISS quando posso e il routing è più complesso del passaggio. Cominciamo a elencare i principali incidenti verificatisi a causa di problemi di routing introdotti su Internet?

In definitiva, come ha sottolineato John Jensen, dovresti sicuramente avere anche un sistema di gestione OOB, tuttavia in genere mi riferirò a questo come un backup per la gestione in-band. In generale, non consiglio di modificare le impostazioni di velocità su una porta della console (quando si tratta di situazioni di ripristino, dover capire se una porta della console è predefinita, cambiata o errata può essere una seccatura), e anche a 115k baud, console le porte possono essere troppo lente (e molti fornitori impostano automaticamente 9600 baud).

YImparare
fonte
VRF allevia le tue preoccupazioni sull'uso di L3? Quali altri vantaggi ci sono nel fare L2 rispetto a L3 qui. Non penso che vorresti che L2 fosse distribuito su una grande rete.
generalnetworkerror
1

Vorrei utilizzare una VLAN di gestione separata come già affermato dai nostri colleghi, quindi il traffico vlan quanti ne sono necessari. Inoltre, starei più attento a come interconnetti tutti questi switch, quale versione del software gira su ciascun dispositivo (devi assicurarti di eseguire una versione stabile e soprattutto conoscere eventuali bug segnalati), quindi pianificare altre cose: come si configurano trunk, canali eterici e ovviamente "STP".

LAF
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.