Management-Netzwerk. Best Practices: Großes VLAN oder geroutete Schnittstellen

13

Wir werden ein Campus-Netzwerk mit ca. 50 Switches (Core, Agg, Access) einrichten. Einige von ihnen werden L2 (20) sein, und andere werden L3 (30) sein. Wir überlegen, wie diese Geräte verwaltet werden sollen:

Ein großes VLAN über alle Switches. Einfache Bereitstellung, einfache Adressierung, aber große L2-Broadcast-Domäne.
Management-VLAN für L2-Switches. Verwenden Sie für den Zugriff auf Core- und Aggregations-Switches geroutete (oder SVI-) Schnittstellen.

Was möchten Sie in Ihrem Netzwerk verwenden?

cisco

— Эдуард Буремный
quelle

8

Ich kann mir kein Szenario vorstellen, in dem ein VLAN, das 50 Switches umfasst, jemals als gute Entwurfsentscheidung angesehen werden könnte. Es geht nicht darum, ob, sondern wann jemand eine Schleife in diesem VLAN erstellt und Sie sofort von der Hälfte Ihrer Switches fernhält.

— Jwbensley

Hat Ihnen eine Antwort geholfen? In diesem Fall sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie auch Ihre eigene Antwort eingeben und annehmen.

— Ron Maupin

5

Wie Sie sagten, ist es wichtig, über wie viele Geräte wir sprechen, aber abgesehen davon sollten Sie vermeiden, wenn es überhaupt möglich ist, dass Ihre Geräte nur "in-band" verwaltet werden. Sie möchten nicht, dass sich Ihr Verwaltungsdatenverkehr im selben Netzwerk wie Ihr Produktionsdatenverkehr befindet. Wenn nicht alle Switches über eine separate Ethernet-Schnittstelle für die Verwaltung verfügen, ist dies in Ordnung, aber fast jedes einzelne Gerät verfügt über eine serielle Konsole. BENUTZE ES. Besonders als Backup für In-Band-Management. Dies wird deinen Arsch retten, wenn ein Gerät vom Planeten fällt. Ich schlage auch vor, eine völlig separate zu verwendenphysische Infrastruktur für die Verwaltungskonnektivität zu Ihren Geräten. Dies gilt doppelt für den seriellen Konsolenzugriff. Wenn Sie eine Ihrer Schnittstellen für Ihre Switches verwenden (dies ist keine dedizierte Verwaltungsschnittstelle), ist dies auch kein großes Problem, solange Sie über ein separates Netzwerk verfügen, mit dem Sie eine Verbindung herstellen können.

50 Geräte sind nicht zu unangemessen, um ein einzelnes VLAN zu verwenden (vorausgesetzt, Sie führen keine In-Band-Verwaltung durch) und haben eine Broadcast-Domäne für - Sie versuchen möglicherweise, zu früh zu optimieren. Wenn es sich bei Ihren Core-Switches um modulare Boxen handelt, sollten diese auf jeden Fall über Ethernet-Verwaltungsschnittstellen verfügen. Ich rate Ihnen, diese anstelle einer SVI-Schnittstelle oder einer physisch gerouteten Schnittstelle zu verwenden.

edit: meine persönlichen vorlieben skizzieren im grunde, was ich oben angeraten habe: immer serielle konsolen. Verwenden Sie gegebenenfalls dedizierte Ethernet-Verwaltungsschnittstellen. Wenn keine dedizierten Ethernet-Verwaltungsschnittstellen verfügbar sind, brennen Sie einen physischen Port auf der Box, aber immer immer ein separates Netzwerk, für serielle Konsolen auf das absolute Minimum.

— John Jensen
quelle

Zum Beispiel habe ich SUP7L-E für 4500E-Chassis. Dieser sup hat einen dedizierten Ethernet-Management-Port. Was muss ich tun, um das Gerät zu verwalten? Zugriff über SVI oder Verbinden dieses mgmt-Ports mit dem LineCard-Port im Verwaltungs-VLAN. Letzte Variante scheint seltsam zu sein, was mich betrifft.

— Эдуард Буремный

Tut mir leid, ich hätte es klarstellen sollen - es sollte ein völlig separates physisches Netzwerk für die Verwaltung Ihres Kits geben. Ich werde meine Antwort jetzt ändern.

— John Jensen

3

Das hängt wirklich vom Netzwerk ab, aber ich würde mich zum L2-VLAN neigen. Während einige Bedenken hinsichtlich einer Schleife im VLAN geäußert haben, habe ich in 12 Jahren in großen Netzwerken noch nie eine Schleife in einem Netzwerkverwaltungs-VLAN gesehen.

Um nicht zu sagen, dass es nicht passieren konnte, aber im Allgemeinen wissen Leute, die genug wissen, um ein Management-VLAN einzurichten, genug, um keine Schleifen im Netzwerk zu verursachen. Die meisten Schleifen, auf die ich gestoßen bin, befinden sich in Benutzer-VLANs, in denen ein Endbenutzer etwas falsch angeschlossen / konfiguriert hat oder wenn ein Serveradministrator die Linkaggregation / -redundanz auf seinem Server falsch konfiguriert oder eine VM-Umgebung falsch konfiguriert.

Der Wechsel zu einem L3-Ansatz vermeidet dieses spezielle Problem, aber es ist auch einfach, ein geroutetes Netzwerk zu vermasseln. Ja, Sie können Vorsichtsmaßnahmen treffen, aber ich halte mich an KISS, wenn ich kann, und das Routing ist komplexer als das Umschalten. Sollen wir die wichtigsten Vorfälle auflisten, die aufgrund von Routing-Problemen im Internet aufgetreten sind?

Letztendlich sollten Sie, wie John Jensen betont hat, auf jeden Fall auch ein OOB-Verwaltungssystem haben, aber ich würde dies im Allgemeinen als Backup für die In-Band-Verwaltung bezeichnen. Im Allgemeinen empfehle ich nicht, die Geschwindigkeitseinstellungen an einem Konsolenport zu ändern (wenn es um Wiederherstellungssituationen geht, kann es ein Problem sein, herauszufinden, ob ein Konsolenport standardmäßig ist, geändert oder falsch geändert wurde), und selbst bei einer 115-kBaud-Konsole Ports können zu langsam sein (und viele Anbieter verwenden standardmäßig 9600 Baud).

— YLearn
quelle

Lindert VRF Ihre Bedenken hinsichtlich der Verwendung von L3? Welche weiteren Vorteile bietet es, hier L2 gegenüber L3 zu tun. Ich würde nicht glauben, dass L2 über ein großes Netzwerk verteilt werden soll.

— Generalnetworkerror

1

Ich würde ein separates Management-VLAN verwenden, wie unsere Kollegen bereits angegeben haben, und dann so viele Traffic-VLANs wie erforderlich. Außerdem würde ich vorsichtiger sein, wie Sie all diese Switches verbinden, welche Softwareversion auf jedem Gerät ausgeführt wird (Sie müssen sicherstellen, dass Sie eine stabile Version ausführen und vor allem einen gemeldeten Fehler kennen), und dann andere Dinge planen: Wie konfiguriere ich Trunks, Etherchannels und natürlich "STP"?

— laf
quelle