#1
|
|||
|
|||
Ядро сети Нuawei
Maxim Gribanov написал(а) к All в Jan 19 11:29:24 по местному времени:
Привет, All! Ну скажем мне нужно настроить ядро сети, вот что думаю: 1. создать стек из двух коммутаторов huawei уровня L3. (s5700-si) 2. В данном стеке создать три коммутатора wrf (виртуальных). Преимуществом виртуальной маршрутизации является полная изоляция маршрутов между виртуальными маршрутизаторами. 3. Один из wrf используется для коммутации серверной группы, второй для общей сети предприятия, третий для служебного (SNMP,syslog,tacacs+,telnet,ssh) трафика. 4. Определится используем ли мы старые "xxxxx" для уровня агрегации, или совмещаем его с уровнем ядра на этих же коммутаторах. 5. серверная группа подключается к коммутаторам с использованием NIC Teaming (например протоколы LACP, Link Aggregation, PAgP, или что там поддерживается) для увеличение пропускной способности и отказоустойчивости. 6. Оптические линки подключаются к коммутаторам, при этом для каждого линка или группы настраивается VLAN. Например отдельно для бухгалтерии, отдельно для ИТ-отдела, менеджеров и.т.п. У всех vlan соответственно разные подсети. Преимуществом VLAN является как минимум разограничение широковещательных доменов. 7. Настраиваем маршрутизацию на уровне L3 между vlan там где это нужно (чтобы пользователи видели серверную группу, и где надо имели доступ друг к другу (без маршрутизации L3 например бухгалтерия не сможет "видеть" менеджеров и.т.п.) 8. Порты коммутаторов настраиваются в режиме trunk/acess (подразумевается для vlan) в зависимости от дизайна сети. 9.На всех коммутаторах уровня доступа по организации так же настраиваются vlan. 10. На клиентских компах прописываются новые ip адреса в зависимости от группы VLAN (можно поднять DНCP сервер), так же на всех коммутаторах изменятся управляющие адреса и выводятся в wrf для служебного пользования. 11. На всех серверах и виртуальных машинах добавляется по виртуальному интерфейсу для WRF managment. 12. Ну еще как вариант сделать отдельный WRF для сети резервирования для того чтобы во время резервного копирования например виртуальных машин не загружать пользовательскую сеть данными бэкапов. Это позволит не "проседать" в скорости сети в моменты работы средств резервного копирования Просто мой ход мыслей правильный? Или wfr не нужен? Просто на vlan сделать? Какую маршрутизацию использовать между VLAN статическую, или например ospf? Если нужет запрет между vlan использовать acl? Дайте общие советы и мысли. С наилучшими пожеланиями, Maxim. --- -Пиши, старик, пиши! Мы тебя не покинем. |
#2
|
|||
|
|||
Re: Ядро сети Нuawei
Alexander Kruglikov написал(а) к Maxim Gribanov в Jan 19 18:56:54 по местному времени:
Привет, Maxim! 16 янв 19 11:29, Maxim Gribanov писал(а) к All: MG> Просто мой ход мыслей правильный? Или wfr не нужен? VRF. Virtual routing and forwarding. MG> Просто на vlan сделать? Да. vrf я вижу только там, где надо использовать одни и те же IP. А потом тебе ВНЕЗАПНО понадобится ходить из vrf в vrf, ты начнёшь нагромождать Route Leaking и конфигурация только усложнится... Поскольку это твоя сеть и ты сразу всё задизайнишь так, что IP-адреса пересекаться не будут - всё нормально на VLAN и vlanif. MG> Какую маршрутизацию использовать между VLAN статическую, или например MG> ospf? В пределах одной коробки ospf? а месье знает толк... MG> Если нужет запрет между vlan использовать acl? да. MG> Дайте общие советы и мысли. Нормально всё, с S5700 работал, мне понравилось. Единственное, что у меня не получилось - заставить их сливать netflow из inter vlan. С наилучшими пожеланиями, Alexander. --- "GoldED+/LNX 1.1.5-b20180707" --- |
#3
|
|||
|
|||
Ядро сети Нuawei
Maxim Gribanov написал(а) к Alexander Kruglikov в Jan 19 09:28:16 по местному времени:
Привет, Alexander! 16 янв 19 18:56, Alexander Kruglikov -> Maxim Gribanov: AK> Привет, Maxim! MG>> Просто мой ход мыслей правильный? Или wfr не нужен? AK> VRF. Virtual routing and forwarding. MG>> Просто на vlan сделать? AK> Да. vrf я вижу только там, где надо использовать одни и те же IP. AK> А потом тебе ВНЕЗАПНО понадобится ходить из vrf в vrf, ты начнёшь AK> нагромождать Route Leaking и конфигурация только AK> усложнится... Поскольку это твоя сеть и ты сразу всё задизайнишь так, AK> что IP-адреса пересекаться не будут - всё нормально на VLAN и vlanif. Ну например серверной группе никогда не придется ходить в сеть общую, вот и думал чтоб не покупать отдельные коммутаторы использовать эти же, а для разделения либо vlan либо vrf. Просто интересно стало имеет ли второй вариант какие то преимущества.... MG>> Какую маршрутизацию использовать между VLAN статическую, или MG>> например ospf? AK> В пределах одной коробки ospf? а месье знает толк... Согласен, динамическая маршрутизация тут не нужно, ну а какая разница? ospf настраивается быстрее, а в будущем может еще и добавятся какие то маршрутизаторы. Ну хотя врятли. Тут скорее вопрос простоты администрирования, да и на стколько быстро коммутаторы будут передавать потоки на третьем уровне между vlan, имеет ли тут значения какой тип маршрутизации? MG>> Если нужет запрет между vlan использовать acl? AK> да. MG>> Дайте общие советы и мысли. AK> Нормально всё, с S5700 работал, мне понравилось. Единственное, что у AK> меня не получилось - заставить их сливать netflow из inter vlan. С netflow не сталкивался, мне snmp хватало всегда, да и vlan то у меня и не было до этого. Поковыряюсь, может что и получится. Спасибо. С наилучшими пожеланиями, Maxim. --- -Пиши, старик, пиши! Мы тебя не покинем. |
#4
|
|||
|
|||
Re: Ядро сети Нuawei
Alexander Kruglikov написал(а) к Maxim Gribanov в Jan 19 12:40:22 по местному времени:
Привет, Maxim! * Ответ на сообщение из CarbonArea (Мыльце для меня). 23 янв 19 09:28, Maxim Gribanov писал(а) к Alexander Kruglikov: AK>> Да. vrf я вижу только там, где надо использовать одни и те же IP. AK>> А потом тебе ВНЕЗАПНО понадобится ходить из vrf в vrf, ты начнёшь AK>> нагромождать Route Leaking и конфигурация только усложнится... AK>> Поскольку это твоя сеть и ты сразу всё задизайнишь так, что IP-адреса AK>> пересекаться не будут - всё нормально на VLAN и vlanif. MG> Ну например серверной группе никогда не придется ходить в сеть общую, Эээээмг. А пользователи с ними не работают? MG> вот и думал чтоб не покупать отдельные коммутаторы использовать эти MG> же, а для разделения либо vlan либо vrf. Просто интересно стало имеет MG> ли второй вариант какие то преимущества.... В твоём случае - точно нет. MG>>> Какую маршрутизацию использовать между VLAN статическую, или MG>>> например ospf? AK>> В пределах одной коробки ospf? а месье знает толк... MG> Согласен, динамическая маршрутизация тут не нужно, ну а какая разница? MG> ospf настраивается быстрее, а в будущем может еще и добавятся какие то MG> маршрутизаторы. Ну хотя врятли. Тут скорее вопрос простоты MG> администрирования, да и на стколько быстро коммутаторы будут MG> передавать потоки на третьем уровне между vlan, имеет ли тут значения MG> какой тип маршрутизации? Какая, нахрен, динамическая маршрутизация в перделах одной коробки? У тебя все сети из интерфейсов уже directly connected. MG>>> Дайте общие советы и мысли. AK>> Нормально всё, с S5700 работал, мне понравилось. Единственное, что у AK>> меня не получилось - заставить их сливать netflow из inter vlan. MG> С netflow не сталкивался, мне snmp хватало всегда Ты сейчас сравнил теплое с мягким. С наилучшими пожеланиями, Alexander. --- "GoldED+/LNX 1.1.5-b20180707" --- |
#5
|
|||
|
|||
Ядро сети Нuawei
Maxim Gribanov написал(а) к Alexander Kruglikov в Jan 19 12:28:28 по местному времени:
Привет, Alexander! 23 янв 19 12:40, Alexander Kruglikov -> Maxim Gribanov: AK> Привет, Maxim! AK> * Ответ на сообщение из CarbonArea (Мыльце для меня). AK> 23 янв 19 09:28, Maxim Gribanov писал(а) к Alexander Kruglikov: AK>>> Да. vrf я вижу только там, где надо использовать одни и те же AK>>> IP. А потом тебе ВНЕЗАПНО понадобится ходить из vrf в vrf, ты AK>>> начнёшь нагромождать Route Leaking и конфигурация только AK>>> усложнится... Поскольку это твоя сеть и ты сразу всё задизайнишь AK>>> так, что IP-адреса пересекаться не будут - всё нормально на VLAN AK>>> и vlanif. MG>> Ну например серверной группе никогда не придется ходить в сеть MG>> общую, AK> Эээээмг. А пользователи с ними не работают? Я просто не обьяснил правильно. Сервера по мимо точго что смотрят в сеть, еще соеденены между собой. То есть по сути серверная группа это кластер. Соеденены тоже они через коммутатор, вот Я и думал разбить коммутатор на два виртуальных, чтобы сеть кластера отделить от общей. Хотя по сути vlan не хуже. MG>> вот и думал чтоб не покупать отдельные коммутаторы использовать MG>> эти же, а для разделения либо vlan либо vrf. Просто интересно MG>> стало имеет ли второй вариант какие то преимущества.... AK> В твоём случае - точно нет. MG>>>> Какую маршрутизацию использовать между VLAN статическую, или MG>>>> например ospf? AK>>> В пределах одной коробки ospf? а месье знает толк... MG>> Согласен, динамическая маршрутизация тут не нужно, ну а какая MG>> разница? ospf настраивается быстрее, а в будущем может еще и MG>> добавятся какие то маршрутизаторы. Ну хотя врятли. Тут скорее MG>> вопрос простоты администрирования, да и на стколько быстро MG>> коммутаторы будут передавать потоки на третьем уровне между vlan, MG>> имеет ли тут значения какой тип маршрутизации? AK> Какая, нахрен, динамическая маршрутизация в перделах одной коробки? У AK> тебя все сети из интерфейсов уже directly connected. Согласен, просто OSPF более свежее решение, и думал может сама маршрутизация чтоле быстрее. Да и настраивать ее проще, и гипче. Вобще ты меня убедил ) MG>>>> Дайте общие советы и мысли. AK>>> Нормально всё, с S5700 работал, мне понравилось. Единственное, AK>>> что у меня не получилось - заставить их сливать netflow из inter AK>>> vlan. MG>> С netflow не сталкивался, мне snmp хватало всегда AK> Ты сейчас сравнил теплое с мягким. Ну вот как рад есть случай познакомиться. С наилучшими пожеланиями, Maxim. --- -Пиши, старик, пиши! Мы тебя не покинем. |
#6
|
|||
|
|||
Re: Ядро сети Нuawei
Alexander Kruglikov написал(а) к Maxim Gribanov в Jan 19 18:29:44 по местному времени:
Привет, Maxim! * Ответ на сообщение из CarbonArea (Мыльце для меня). 23 янв 19 12:28, Maxim Gribanov писал(а) к Alexander Kruglikov: MG>>> Ну например серверной группе никогда не придется ходить в сеть MG>>> общую AK>> Эээээмг. А пользователи с ними не работают? MG> Я просто не обьяснил правильно. Сервера по мимо точго что смотрят в MG> сеть, еще соеденены между собой. То есть по сути серверная группа это MG> кластер. Соеденены тоже они через коммутатор, вот Я и думал разбить MG> коммутатор на два виртуальных, чтобы сеть кластера отделить от общей. MG> Хотя по сути vlan не хуже. vlan лучше, коммутатору не нужно лазить в IP, всё обрабатывается чисто на втором уровне. AK>> Какая, нахрен, динамическая маршрутизация в перделах одной коробки? У AK>> тебя все сети из интерфейсов уже directly connected. MG> Согласен, просто OSPF более свежее решение, и думал может сама MG> маршрутизация чтоле быстрее. Да и настраивать ее проще, и гипче. Вобще MG> ты меня убедил ) Сам логически подумай. Протокол OSPF распространяет информацию о доступных маршрутах между маршрутизаторами одной автономной системы. Куда он в пределах одной коробки будет что-то передавать? С наилучшими пожеланиями, Alexander. --- "GoldED+/LNX 1.1.5-b20180707" --- |
#7
|
|||
|
|||
Ядро сети Нuawei
Maxim Gribanov написал(а) к Alexander Kruglikov в Jan 19 13:38:36 по местному времени:
Привет, Alexander! 23 янв 19 18:29, Alexander Kruglikov -> Maxim Gribanov: AK>>> Какая, нахрен, динамическая маршрутизация в перделах одной AK>>> коробки? У тебя все сети из интерфейсов уже directly connected. MG>> Согласен, просто OSPF более свежее решение, и думал может сама MG>> маршрутизация чтоле быстрее. Да и настраивать ее проще, и гипче. MG>> Вобще ты меня убедил ) AK> Сам логически подумай. Протокол OSPF распространяет информацию о AK> доступных маршрутах между маршрутизаторами одной автономной системы. AK> Куда он в пределах одной коробки будет что-то передавать? Никуда. Суть OSPF чтобы маршрутизаторы знали о доступности друг друга и в случае чего перестраивали таблицу марщрутизации. Но это не мешает использовать OSPF внутри одной железки вместо статики, работать все равно будет. В eNSP настраивал. Работает. Просто вопрос в том правильно ли использовать именно статическую маршрутизацию, есть ли минусы использования OSPF? С наилучшими пожеланиями, Maxim. --- -Пиши, старик, пиши! Мы тебя не покинем. |
#8
|
|||
|
|||
Re: Ядро сети Нuawei
Alexander Kruglikov написал(а) к Maxim Gribanov в Jan 19 16:47:06 по местному времени:
Привет, Maxim! * Ответ на сообщение из CarbonArea (Мыльце для меня). 24 янв 19 13:38, Maxim Gribanov писал(а) к Alexander Kruglikov: AK>> Сам логически подумай. Протокол OSPF распространяет информацию о AK>> доступных маршрутах между маршрутизаторами одной автономной системы. AK>> Куда он в пределах одной коробки будет что-то передавать? MG> Никуда. Суть OSPF чтобы маршрутизаторы знали о доступности друг друга MG> и в случае чего перестраивали таблицу марщрутизации. Я в курсе =) Ты сам написал же "маршрутизаторЫ" MG> Но это не мешает использовать OSPF внутри одной железки вместо MG> статики, работать все равно будет. В eNSP настраивал. Работает. Просто MG> вопрос в том правильно ли использовать именно статическую MG> маршрутизацию, есть ли минусы использования OSPF? Да ёшкин же дрын. У тебя есть коробка. У неё есть несколько интерфейсов. На этих интерфейсах есть некоторые сети. Для коробки они уже directly connected и коробка о них и так знает. В каком месте ты тут видишь OSPF? С наилучшими пожеланиями, Alexander. --- "GoldED+/LNX 1.1.5-b20180707" --- |