Sieć zarządzania. Najlepsze praktyki: duża sieć VLAN lub interfejsy routowane

13

Zamierzamy wdrożyć sieć kampusu z około 50 przełącznikami (Core, Agg, Access). Niektóre będą L2 (20), a inne L3 (30). Myślimy o tym, jak zarządzać tymi urządzeniami:

  1. Duża sieć VLAN na wszystkich przełącznikach. Łatwe do wdrożenia, łatwe do adresowania, ale duża domena emisji L2.
  2. VLAN zarządzania dla przełączników L2. Aby uzyskać dostęp do przełączników rdzenia i agregacji, użyj interfejsów routowanych (lub SVI).

Czego wolisz używać w swojej sieci?

cisco Эдуард Буремный
źródło
8
Nie wyobrażam sobie żadnego scenariusza, w którym jeden VLAN obejmujący 50 przełączników mógłby być kiedykolwiek uznany za dobrą decyzję projektową. Nie chodzi o to, czy, ale kiedy, ktoś zrobi pętlę na tej sieci VLAN i natychmiast zablokuje cię z połowy przełączników.
jwbensley
Czy jakaś odpowiedź ci pomogła? jeśli tak, powinieneś zaakceptować odpowiedź, aby pytanie nie wyskakiwało wiecznie, szukając odpowiedzi. Alternatywnie możesz podać i zaakceptować własną odpowiedź.
Ron Maupin

Odpowiedzi:

5

Jak powiedziałeś, ważne jest, o ilu urządzeniach mówimy, ale poza tym, czego powinieneś unikać, jeśli w ogóle możliwe jest tylko zarządzanie „wewnątrz pasma” swoich urządzeń. Nie chcesz, aby ruch związany z zarządzaniem korzystał z tej samej sieci, co ruch produkcyjny. Jeśli nie wszystkie przełączniki mają osobny interfejs Ethernet do zarządzania, to dobrze, ale prawie każdy element wyposażenia ma jakąś konsolę szeregową. UŻYJ TEGO. Zwłaszcza jako kopia zapasowa do zarządzania wewnątrz pasma. To uratuje twój tyłek, jeśli urządzenie spadnie z planety. Sugeruję również użycie całkowicie osobnegofizyczna infrastruktura do zarządzania połączeniami z twoim sprzętem. Dotyczy to podwójnie dostępu do konsoli szeregowej. Jeśli korzystasz z jednego z interfejsów na przełącznikach (nie jest to dedykowany interfejs zarządzania), to również nie jest tak wielka sprawa, pod warunkiem, że masz oddzielną sieć do podłączenia.

50 urządzenia nie jest zbyt nierozsądne z footprint, aby wykorzystać jeden VLAN (ponownie, zakładając, że nie robi zarządzanie in-band) i mają jedną domenę rozgłaszania dla - można próbować optymalizować zbyt wcześnie na tym etapie. Jeśli twoje przełączniki rdzeniowe są modułowymi modułami, to zdecydowanie powinny one mieć interfejsy zarządzania Ethernetem - radzę raczej korzystać z nich niż z SVI lub interfejsu z routingiem fizycznym.

edytuj: moje osobiste preferencje zasadniczo przedstawiają to, co zaleciłem powyżej: zawsze konsole szeregowe. W razie potrzeby używaj dedykowanych interfejsów zarządzania Ethernet. Jeśli dedykowane interfejsy zarządzania Ethernet nie są dostępne, wypal fizyczny port na pudełku, ale zawsze zawsze oddzielną sieć, dla konsol szeregowych na absolutnym minimum.

John Jensen
źródło
Na przykład mam SUP7L-E dla podwozia 4500E. Ta sup ma dedykowany port zarządzania Ethernet. Co powinienem zrobić, aby zarządzać urządzeniem: dostęp przez SVI lub podłącz ten port mgmt do portu LineCard w zarządzaniu VLAN. Ostatni wariant wydaje mi się dziwny jak dla mnie.
Эдуард Буремный
Niestety, chyba powinienem to wyjaśnić - do zarządzania twoim zestawem powinna być całkowicie oddzielna sieć fizyczna. Poprawię teraz swoją odpowiedź.
John Jensen
3

To zależy od sieci, ale skłaniam się ku sieci V2 L2. Chociaż niektórzy wyrazili obawy dotyczące pętli w sieci VLAN, ale w ciągu 12 lat w dużych sieciach, nigdy nie widziałem pętli utworzonej w sieci VLAN do zarządzania siecią.

Nie można powiedzieć, że to nie mogło się zdarzyć, ale ogólnie ludzie, którzy wiedzą wystarczająco dużo, aby skonfigurować sieć VLAN zarządzania, ogólnie wiedzą wystarczająco dużo, aby nie powodować pętli w sieci. Większość napotkanych przeze mnie pętli dotyczy sieci VLAN użytkownika, w których użytkownik końcowy nieprawidłowo podłączył / skonfigurował coś lub gdy administrator serwera źle konfiguruje agregację / redundancję łącza na swoim serwerze lub błędnie konfiguruje środowisko VM.

Przejście na podejście L3 pozwala uniknąć tego konkretnego problemu, ale łatwo jest także zepsuć rozbitą sieć. Tak, możesz podjąć środki ostrożności, ale trzymam się KISS, kiedy mogę, a routing jest bardziej złożony niż przełączanie. Czy powinniśmy zacząć wymieniać główne incydenty, które miały miejsce z powodu problemów z routingiem wprowadzanych do Internetu?

Ostatecznie, jak zauważył John Jensen, zdecydowanie powinieneś mieć również system zarządzania OOB, jednak ogólnie określałbym to jako kopię zapasową zarządzania wewnątrz pasma. Ogólnie rzecz biorąc, nie zalecam zmiany ustawień prędkości na porcie konsoli (jeśli chodzi o sytuacje odzyskiwania, konieczność ustalenia, czy port konsoli jest domyślny, zmieniony lub nieprawidłowo zmieniony może być uciążliwy), a nawet przy prędkości 115 kb na konsoli porty mogą być zbyt wolne (a wielu dostawców domyślnie używa 9600 bodów).

YLearn
źródło
Czy VRF zmniejsza Twoje obawy związane z używaniem L3? Jakie są inne zalety robienia L2 w porównaniu z L3 tutaj. Nie sądzę, że chciałbyś, aby L2 był łączony w dużej sieci.
generalnetworkerror
1

Użyłbym oddzielnej sieci VLAN do zarządzania, jak już stwierdzili nasi koledzy, a następnie sieci VLAN ruchu tyle, ile potrzeba. Ponadto byłbym bardziej ostrożny, w jaki sposób zamierzasz połączyć wszystkie te przełączniki, jaka wersja oprogramowania działa na każdym urządzeniu (musisz mieć pewność, że masz stabilną wersję, a przede wszystkim znasz zgłaszany błąd), a następnie zaplanuj inne rzeczy: jak skonfigurować pnie, kanały ethernetowe i oczywiście „STP”.

laf
źródło