Jump to content
Калькуляторы

брать или не брать ) CISCO 7200

Если взять 3 самых дешевых микротика - на них можно отработать все возможные схемы сетей, собрать и проверить на столе.

Что бы то же самое сделать с циской - нужно потратить много денег. Более того, используемые технологии уже давно устарели, и изучать мануалы цисок нет никакого смысла. Вообще скоро сети сильно изменятся, и крупняк постепенно сбавит позиции. Хотя он уже и сейчас их сдал сильно, в новых проектах циской и не пахнет.

 

Через пару лет с появлением новых быстрых сетевых процессоров, они уже многие операции начнут делать на скорости порта, и производительность роутеров сравняются с коммутаторами, последние перестанут существовать.

Share this post


Link to post
Share on other sites

 Вы ловко ушли от ответа,  с названиями провайдеров, которые кроме вас микротик используют, уважаю за ловкость... Лапшу с ушей я научился смахивать давно, но талант продавана в вас есть.

 

Теперь по делу, взять 3 микротик для меня не проблема. Что прикупить для организации l2 многолепесткового кольца с кучкой влан, и что поставить в ядре, чтобы занатить всё это, ну и отзеркалить как положено, до сервера доступа - кстати какого.

Share this post


Link to post
Share on other sites
21 час назад, Saab95 сказал:

Этой проблемы и не было ни у кого

дадада, так не было что на форуме некротика плач лет 5 стоял, а вы тута предлагали использовать телнет вместо ssh :)

 

23 часа назад, Saab95 сказал:

Даже 1036 спокойно 3-4 молотит на PPPoE.

где-то в фантазиях продаванов, или если голое без какого-либо шейпера и дин.маршрутизации - то возможно с трудом и вытянет, с пингами по 30-50мс в час пик.

в реальности - ccr1072 в роли шейпера с натом, без каких-либо туннелей, больше 5-6 гбит не прожует, скукожится.

 

23 часа назад, Saab95 сказал:

В последних прошивках по многим направлениям эффективность подтянули.

да-да, так подтягивали что аж bandwidth test разломали :) а по факту - как сливала 3-килобаксовая вундервафля ископаемому тазику 2010 года, так и сливает.

Share this post


Link to post
Share on other sites
2 часа назад, YuryD сказал:

Что прикупить для организации l2 многолепесткового кольца с кучкой влан, и что поставить в ядре, чтобы занатить всё это, ну и отзеркалить как положено, до сервера доступа - кстати какого.

Такие примеры не точные примеры. Пишите в укор микротику, предлагая внедрить его в заведомо не верную организацию сети. Вот попробуйте сами себе ответить для чего вообще нужны вланы? Для чего нужен влан управления? Для чего нужны кольца?

 

Представьте, что никаких вланов нет, а все абонентские интерфейсы терминируются сразу на оборудовании рядом с ними.

Представьте, что можно управлять любым устройством по его фиксированному адресу, который не меняется, где бы это оборудование не было установлено и какими бы каналами не подключалось?

Представьте, что никаких колец нет, а все имеющиеся каналы загружены абонентским трафиком.

Представьте, что никакого сервера доступа нет, а есть НАТ и Шейпер.

Представьте, что на всей сети всего несколько коммутаторов, и стоят они между натом и шейпером только для целей зеркалирования.

 

Вот это и есть правильная схема сети.

Share this post


Link to post
Share on other sites
В 12.02.2020 в 00:44, Saab95 сказал:

Такие примеры не точные примеры. Пишите в укор микротику, предлагая внедрить его в заведомо не верную организацию сети. Вот попробуйте сами себе ответить для чего вообще нужны вланы? Для чего нужен влан управления? Для чего нужны кольца?

 

 

 :) Неверная организация сети города - ну не я город планировал. Неверная схема прокладки оптомагистралей - тоже не я. Неверная организация пользователей, возникших в виде покупаний ещё двух провайдеров ?   Было l3  у нас, у них тоже, но иное. Микротиков в то время еще не придумали, пришлось в l2 остаться. Ну и для надежности, l2-кольца строить на киско-пвст. Еще раз - многосвязность(кольцевание) для надёжности и устойчивости. Вланы - для организации СПД клиентских, управление в свойм влан -естественно должно быть обособленно, чтобы никакой дятел не зафлудил управление. Для этого немного резервируется полосы канала под управление.

 

 Есть у вас решение многосвязности такой кривой сети на микротике, если на l3 то желательно на бгп. Ну и саксесстори хочу увидеть...

Share this post


Link to post
Share on other sites

Но вы посчитайте себестоимость такой сети, особенно промежуточных узлов - все эти правила, фильтры, должны быть на всей цепочки коммутаторов. И достаточно где-то потерять часть настроек - ничего проходить не будет, искать долго.

На L3 сети таких ситуаций не возникает, а за стоимость цисок можно 72 ядерные микротики везде поставить.

 

И как раз покупая чужие сети самое простое это на L3 их сразу переводить.

Share this post


Link to post
Share on other sites
В 11.02.2020 в 22:44, Saab95 сказал:

Представьте, что можно управлять любым устройством по его фиксированному адресу, который не меняется, где бы это оборудование не было установлено и какими бы каналами не подключалось?

Это как? Микротик LISP научился?

 

В 11.02.2020 в 22:44, Saab95 сказал:

Представьте, что никаких вланов нет, а все абонентские интерфейсы терминируются сразу на оборудовании рядом с ними.

Это прекрасно и я всеми конечностями за! Но только железка которая умеет в L3, а еще желательно чтобы еще и MPLS/VPLS стоит нормальных денег.

 

В 11.02.2020 в 22:44, Saab95 сказал:

Представьте, что никаких колец нет, а все имеющиеся каналы загружены абонентским трафиком.

Как нет колец, а резервирование то как делать? Звезду строить? А по деньгам это как? И что значит только абонентский трафик, а маршрутизация как же?

 

В 11.02.2020 в 22:44, Saab95 сказал:

Представьте, что никакого сервера доступа нет, а есть НАТ и Шейпер.

А политики как на клиентские сессии то вешать? Или как в таком случае то правила то появляются?

Share this post


Link to post
Share on other sites
10 часов назад, VolanD666 сказал:

Это как? Микротик LISP научился?

При работе OSPF создаете на микротике пустой бридж, вешаете на него некий IP адрес из специального диапазона, зарезервированного для управления, например 10.10.х.х без маски - по нему и заходите для управления.

Ведь по старинке с вланом управления - зайти можно только по IP на этом влане. Если каналов до устройства несколько, то и влан управления должен быть доступен через все, что иногда может создавать проблемы, если STP зачудит. В случае с микротиком и управлением по отдельному адресу - уже не важно сколько у него каналов, пока хоть один работает, можно на устройство попасть. При этом не важно какие IP адреса у устройства на других интерфейсах.

 

Туда же идет и заведение устройств в мониторинг - вводится только один адрес и через него всегда есть доступ, а не заводить 3-4 адреса, по которым он еще доступен.

 

10 часов назад, VolanD666 сказал:

Это прекрасно и я всеми конечностями за! Но только железка которая умеет в L3, а еще желательно чтобы еще и MPLS/VPLS стоит нормальных денег.

Если разговор про микротик то у него есть CRS, который как раз подходит для целей терминации абонентов сразу же на их порту (витой паре в сторону абонента).

 

10 часов назад, VolanD666 сказал:

Как нет колец, а резервирование то как делать? Звезду строить? А по деньгам это как? И что значит только абонентский трафик, а маршрутизация как же?

Кольца это пошло из L2 сетей. Ведь если есть до некой части сети 2 канала, то при использовании L2 можно загружать только один канал. Второй простаивает. В случае же L3 сети оба канала можно использовать. И получаются уже не кольца - а отдельные каналы.

 

10 часов назад, VolanD666 сказал:

А политики как на клиентские сессии то вешать? Или как в таком случае то правила то появляются?

Какие еще политики?

Доступ или блокировка - обычно вешается в центре сети в местах выхода абонентов на внешние сети, т.к. в своей сети он должен иметь доступ до центра и до биллинга.

Ограничение так же в центре. По сути все то же что и с L2 - там же в центре сети все ограничения устанавливаются.

Share this post


Link to post
Share on other sites
3 минуты назад, Saab95 сказал:

10.10.х.х без маски

Как это без маски?

 

4 минуты назад, Saab95 сказал:

вводится только один адрес

Да, вводится. Только не адрес, а домен. Т.к. перенос железки в другой сегмент обычно сопровождается изменением ИПа из подсети того сегмента куда его перенесли. И кроме того, на железке так же меняется адресация на p2p линках. Так что просто взять микротик и переставить его в другой сегмент- не получится. Т.к. обычно адресация пилится со ссылкой на сегменты сети, а не просто с потолка берется. Иначе получается бардак и каша.

 

7 минут назад, Saab95 сказал:

Если разговор про микротик то у него есть CRS, который как раз подходит для целей терминации абонентов сразу же на их порту (витой паре в сторону абонента).

Микротик то может и подходят, но я, если честно, так и не понял как разграничивать трафик клиентов то между собой и управлением железом? Если вы говорите АЦЛ- это устаревшая технология, ВРФы железка нормально не умеет, какие есть еще варианты?

 

10 минут назад, Saab95 сказал:

Кольца это пошло из L2 сетей

Кольцо пошло, потому что это дешевле чем строить канал для каждой железки от центра.

11 минут назад, Saab95 сказал:

L2 можно загружать только один канал.

Что мешает балансировку настроить?

Share this post


Link to post
Share on other sites
Только что, VolanD666 сказал:

Как это без маски?

Без маски, потому что поштучно. В мире микротика это выглядит так - address=10.10.0.10, network=10.10.0.10

 

1 минуту назад, VolanD666 сказал:

Да, вводится. Только не адрес, а домен. Т.к. перенос железки в другой сегмент обычно сопровождается изменением ИПа из подсети того сегмента куда его перенесли. И кроме того, на железке так же меняется адресация на p2p линках. Так что просто взять микротик и переставить его в другой сегмент- не получится. Т.к. обычно адресация пилится со ссылкой на сегменты сети, а не просто с потолка берется. Иначе получается бардак и каша.

Какой еще домен? Если говорить про L3 сети, то там нет никакой привязки к другим подсетям, сегментам и т.п. Если взять прямую схему подключения, то есть когда 2 порта подключаются напрямую витухой или оптикой, то выглядит это так:

 

Есть устройство 1 и устройство 2, выделяется сети вида 10.1.0.1/30 вешается на устройство 1, и 10.1.0.2/30 вешается на устройство 2. Все, они между собой работают. В документации или системе эта сеть 10.1.0.0/30 зарезервирована на подключение между этими устройствами.

 

Теперь нужно устройство 2 перенести в другую часть сети и подключить к устройству 25, тут или так же берется сеть 10.1.0.0/30 и вешается для связи между устройствами (в документации изменяется привязка), или выделяется новая сеть допустим 10.1.1.0/30 для примера и используется для этой адресации. То есть по сути администратор имеет кучу подсетей /30 и распределяет их по оборудованию как ему вздумается без привязки к районам и прочим объектам.

 

То, что вы пишите про сегменты и привязки - это опять же из L2 сетей пришло, где вланы управления выделяются по сегментам, что бы не городить один большой широковещательный домен.

 

Еще бывают схемы, где несколько устройств вместе соединяются, а не цепочкой. Допустим центральное устройство с 10Г портом, от него идет оптика до некого коммутатора 10Г, который работает в роли тупого хаба, и к его портам подключаются другие микротики роутеры с 10Г портами. Тогда на первый роутер вешается сеть 10.1.0.1/29, и на все роутеры, участвующие в таком подключении, следующие адреса 10.1.0.2 и так далее. Между собой они данные особо не передают, почти все идет в сторону первого устройства. Такое используется, когда скорости 1Г уже мало, но разделение удаленных точек на каналы не возможно, или не целесообразно.

 

10 минут назад, VolanD666 сказал:

Микротик то может и подходят, но я, если честно, так и не понял как разграничивать трафик клиентов то между собой и управлением железом? Если вы говорите АЦЛ- это устаревшая технология, ВРФы железка нормально не умеет, какие есть еще варианты?

А зачем?

Если сеть управления 10.0.0.0/8, а абонентская сеть белые адреса и серые 172.16.0.0/16, то достаточно на каждом устройстве, где присутствует терминация абонентов, заблокировать прохождение пакетов с адресов абонентов на служебные адреса и все. Вот и все разграничение.

 

12 минут назад, VolanD666 сказал:

Что мешает балансировку настроить?

Балансировку на L2? А если один канал отключится, или начнет работать не стабильно, например пакеты терять - то все, добро пожаловать в не стабильность сети. В L3 сетях очень легко проверить и отключить канал, если он не соответствует нормам.

Share this post


Link to post
Share on other sites
36 минут назад, Saab95 сказал:

Туда же идет и заведение устройств в мониторинг - вводится только один адрес и через него всегда есть доступ, а не заводить 3-4 адреса, по которым он еще доступен.

Saab95 наверное необычайно удивиться, но это стандартная практика для любых маршрутизаторов, учавствующих в динамической маршрутизации задолго до появления микротика.

В том же руководстве от циски повесить адрес управления на loopback с 32 маской - это один из первых примеров.

vlan управления никто и не делает для устройств, доступных более чем одним путем.  vlan управления служит для управления группой устройств, находящихся в единой L2 топологии.

 

 

Share this post


Link to post
Share on other sites
11 минут назад, Saab95 сказал:

Какой еще домен?

Символьный домен

 

12 минут назад, Saab95 сказал:

Теперь нужно устройство 2 перенести в другую часть сети и подключить к устройству 25, тут или так же берется сеть 10.1.0.0/30 и вешается для связи между устройствами (в документации изменяется привязка), или выделяется новая сеть допустим 10.1.1.0/30 для примера и используется для этой адресации. То есть по сути администратор имеет кучу подсетей /30 и распределяет их по оборудованию как ему вздумается без привязки к районам и прочим объектам.

А если у вас в этом сегмента адресация  управления 10.10.15.0/24 и вы переносите устройство с 10.10.0.1/32 (заметьте, маска все таки есть). Вы считаете нормальным такую адресацию оставлять? Я считаю нет.

 

14 минут назад, Saab95 сказал:

заблокировать прохождение пакетов с адресов абонентов на служебные адреса и все.

Каким образом? Если в соседней теме вы сами написали что АЦЛ- это устаревшая технология. Я вообще перестал понимать. А если у клиентов адресация пересекается, что тогда делать? А еще в неоторых пиринговых сетях используют 172.16.0.0/12 для ресурсов. Как вы абонентам доступ к ней запретите? А если мне нужно поменять что-то. Разрешить связность между подсетями? Мне на каждую железку залезть и АЦЛ менять надо?

 

18 минут назад, Saab95 сказал:

Балансировку на L2

Да, что вас смущает?

 

19 минут назад, Saab95 сказал:

В L3 сетях очень легко проверить и отключить канал, если он не соответствует нормам.

Одинаково легко проверить. Преимущество  L3 не в этом, а в том что вам не нужно париться с протоколами типа STP/ERPS для избежания L2 петей. Но тут беда, что нормальные L3 железки стоят дорого.

Share this post


Link to post
Share on other sites
4 минуты назад, VolanD666 сказал:

Мне на каждую железку залезть и АЦЛ менять надо?

в целом это нормальная практика . что для изменения параметров удаленного входа и безопасности надо скриптом залезть на каждую железку.

альтернативы только всякие там TR-69 , radius-авторизация и.т.п. , но это резко снижает доступность управления в условиях аварии

 

Share this post


Link to post
Share on other sites
Только что, LostSoul сказал:

в целом это нормальная практика

Нормальная практика. Это отдельный mgmt VRF в котором крутится все управление. Если у вас вдруг понадобился доступ в этот VRF еще откуда-то, вы просто добавляете эту подсеть в ликинг и все. И не надо лезть на каждую железку и править АЦЛ там.

Share this post


Link to post
Share on other sites
35 минут назад, VolanD666 сказал:

Символьный домен

Как-то без этого обходимся.

 

36 минут назад, VolanD666 сказал:

А если у вас в этом сегмента адресация  управления 10.10.15.0/24 и вы переносите устройство с 10.10.0.1/32 (заметьте, маска все таки есть). Вы считаете нормальным такую адресацию оставлять? Я считаю нет.

Так можно считать пока сеть маленькая, когда она растягивается на несколько областей, на кучу населенных пунктов, уже все эти привязки по подсетям не нужны, а только мешают. Например когда в вашем примере сеть 10.10.15.0/24 закончится, что делать? Новую выделять=) То есть когда будет 5000 и более устройств, любые привязки перестают нести смысловую нагрузку.

 

39 минут назад, VolanD666 сказал:

Каким образом? Если в соседней теме вы сами написали что АЦЛ- это устаревшая технология. Я вообще перестал понимать. А если у клиентов адресация пересекается, что тогда делать? А еще в неоторых пиринговых сетях используют 172.16.0.0/12 для ресурсов. Как вы абонентам доступ к ней запретите? А если мне нужно поменять что-то. Разрешить связность между подсетями? Мне на каждую железку залезть и АЦЛ менять надо?

Пиринговыми сетями не пользуемся, т.к. это ничего, кроме проблем, не приносит, особенно в сфере нового законодательства. Если надо что-то поменять то да - на каждую железку отправить новые настройки. Сделать это не сложно.

 

44 минуты назад, VolanD666 сказал:

Одинаково легко проверить. Преимущество  L3 не в этом, а в том что вам не нужно париться с протоколами типа STP/ERPS для избежания L2 петей. Но тут беда, что нормальные L3 железки стоят дорого.

L3 железки стоят от 40 тыс., которые легко несколько гигов трафика рулят, за 60 тыс. можно рулить 5-10г.

 

37 минут назад, VolanD666 сказал:

Нормальная практика. Это отдельный mgmt VRF в котором крутится все управление. Если у вас вдруг понадобился доступ в этот VRF еще откуда-то, вы просто добавляете эту подсеть в ликинг и все. И не надо лезть на каждую железку и править АЦЛ там

А как быть в случаях аварий или переносов устройств без сброса? Они же не будут доступны.

Share this post


Link to post
Share on other sites
11 минут назад, Saab95 сказал:

Например когда в вашем примере сеть 10.10.15.0/24

Ну дык вы когда сеть выделяете вы рассчитываете примерно сколько будет устройств, /24 тут только для примера. Понятно же что нужно выделять с запасом и на перспективу.

 

13 минут назад, Saab95 сказал:

То есть когда будет 5000 и более устройств, любые привязки перестают нести смысловую нагрузку.

Как раз тогда это и имеет смыл. Когда залезаешь в такую сеть без строгой привязки, когда там адресация с потолка. Такое ощущение что в помойку залез. А что вы будете делать, когда у вас в каком-нить филиале нужно ограничить доступ местным админам только до их железок в этом филиале, а у вас там адресация живет своей жизнью?

 

16 минут назад, Saab95 сказал:

Сделать это не сложно.

Как? Костыльно-лесопедными скриптами?

 

18 минут назад, Saab95 сказал:

L3 железки стоят от 40 тыс., которые легко несколько гигов трафика рулят, за 60 тыс. можно рулить 5-10г.

Это если строить сеть по вашей схеме. А если требуется доступность уровня 24/7 и простой стоит очень дорого. Тогда и железки берутся соответствующие.

 

21 минуту назад, Saab95 сказал:

А как быть в случаях аварий или переносов устройств без сброса? Они же не будут доступны.

Какого сброса? В том то все и дело. Вы ликаете подсети на центральной точке и все. Не надо ходить на каждую железку.

Share this post


Link to post
Share on other sites

По теме топика: работающая ныне 7204+NPE-1G конечно под замену. Замена уже едет. Не микротик. :)

Но пока 7204 дорабатывает свое и сегодня с утра крэшанулась:

System returned to ROM by error - a Software forced crash, PC 0x60A383CC at 08:43:43 CHE Mon Feb 17 2020
System restarted at 08:46:36 CHE Mon Feb 17 2020
System image file is "disk2:c7200-is-mz.122-31.SB11.bin"


Feb 17 08:53:40.440 CHE: %ALIGN-3-SPURIOUS: Spurious memory access made at 0x6150FBB4 reading 0x0
Feb 17 08:53:40.440 CHE: %ALIGN-3-TRACE: -Traceback= 6150FBB4 615100BC 615111F8 615266D4 6067A848 6067AF70 60720750 60762E94
Feb 17 08:53:40.440 CHE: %ALIGN-3-TRACE: -Traceback= 6150FBB4 615100BC 615111F8 615266D4 61522860 615072D0 60BEE070 60BEE1FC

Судя по цискиному сайту, проблема софтовая - баг в IOS. Текущий софт я показал. Есть что-то более стабильное для этой кошки? Задачи: роутинг, терминация pptp/pppoe, НАТ, шейпинг.

Тут https://doc.lagout.org/network/Cisco/IOS Collection/c7200/ целая коллекция, но не перебирать же их :)

Share this post


Link to post
Share on other sites
2 часа назад, VolanD666 сказал:

Ну дык вы когда сеть выделяете вы рассчитываете примерно сколько будет устройств, /24 тут только для примера. Понятно же что нужно выделять с запасом и на перспективу.

А зачем вообще выделять с запасом - работать по факту, брать первую свободную подсеть /30 и вешать. Меньше проблем. Ранее вон абонентов привязывали к IP адресу в виде номера договора некоторые, только сейчас технологии поменялись, а абоненты так и говорят техподдержки 10 значные цифры.

 

2 часа назад, VolanD666 сказал:

Как раз тогда это и имеет смыл. Когда залезаешь в такую сеть без строгой привязки, когда там адресация с потолка. Такое ощущение что в помойку залез. А что вы будете делать, когда у вас в каком-нить филиале нужно ограничить доступ местным админам только до их железок в этом филиале, а у вас там адресация живет своей жизнью?

Каждый админ работает со своей учеткой, которая залита на оборудование. А расположение устройств есть на карте сети, и там не важно какие адреса. Все связи, подключения и прочее на ней обозначены.

Вот ощущения про помойку это как раз к L2 сетям, где из мониторинга заббикс и как рас не ясно где что и находится, только по разделению на сегменты админы и понимают что есть что=)

 

2 часа назад, VolanD666 сказал:

Это если строить сеть по вашей схеме. А если требуется доступность уровня 24/7 и простой стоит очень дорого. Тогда и железки берутся соответствующие.

Мы сейчас про провайдеров разговариваем?

У нас даже в самых мелких развилках по 2 микротика установлены, если один откажет второй весь трафик через себя пропустит.

 

2 часа назад, VolanD666 сказал:

Какого сброса? В том то все и дело. Вы ликаете подсети на центральной точке и все. Не надо ходить на каждую железку.

Например маршрутизатор 2 был подключен от маршрутизатора 1, но связь между ними оборвалась, и нужно маршрутизатор 2 подключить от маршрутизатора 5. Монтажники подключают маршрутизатор 2 к маршрутизатору 5, админ по мак телнет заходит на маршрутизатор 2 и правит на нем настройки IP адреса на этом потру, после чего он работает от маршрутизатора 5.

Share this post


Link to post
Share on other sites
17 минут назад, Saab95 сказал:

А зачем вообще выделять с запасом

Чтобы у вас порядок был? Нет? 

 

19 минут назад, Saab95 сказал:

Каждый админ работает со своей учеткой, которая залита на оборудование.

Вы сейчас серьезно? Учетки на оборудовании? Ну оборудовании не хранятся учетки

 

21 минуту назад, Saab95 сказал:

по 2 микротика установлены

А когда это микротик стекироваться научился?

 

22 минуты назад, Saab95 сказал:

но связь между ними оборвалась

Если оборвалась связь. То эту связь восстанавливают. Нормальные провайдеры не меняют схему сети, только ради того чтобы сгородить временное костыльное решение, которое останется постоянным. Изменения в схеме сети должны быть согласованы, задокументированы. А вот такие вот перестановки и являются основной причиной хаоса, который царит у некоторых горе провайдеров.

 

25 минут назад, Saab95 сказал:

мак телнет

Шта? Его обычно отключают так то. Зачем мне лишняя дыра?

Share this post


Link to post
Share on other sites
3 часа назад, VolanD666 сказал:

Нормальная практика. Это отдельный mgmt VRF в котором крутится все управление. Если у вас вдруг понадобился доступ в этот VRF еще откуда-то, вы просто добавляете эту подсеть в ликинг и все. И не надо лезть на каждую железку и править АЦЛ там.

в указанном случае это просто применение чрезвычайно усложненной  технологии для указанной задачи, "ну раз уж она есть".

ну чтоб доказать , что типа чем ваше оборудование круче чем микротик.

и снижающее надежность ( ибо что будет, если маршрутная информация о наполнении ваших vrf перестанет доходить до целевой железки?   ведь в пакете, бегущем по проводу не размечена его пренадлежность к определенному vfr.

значит у вас есть либо динамическое формирование этим маршрутных таблиц на базе какого-нибудь ospf ,  либо статически вбитые "acl"  которые есть точно такие же яйца как и acl на каждом коммутаторе, только в профиль.

 

по точно такой же вашей логике  , если с какого-то рабочего места админа нужен прямой доступ к управлению железками, то достаточно ему выдать  дополнительный IP из той же подсети и всё.

 

 

Share this post


Link to post
Share on other sites
2 минуты назад, LostSoul сказал:

чрезвычайно усложненной  технологии для указанной задачи

Нет в ней ничего черезвычайно усложненного. У вас априори должно быть разделение маршрутизации. Как минимум между управлением, физиками и юриками. А плюс еще есть такие услуги как L3VPN. Что вы с ними будете делать? Тоже клиентов АЦЛями ограничивать? А если у них адресация пересекается?

 

5 минут назад, LostSoul сказал:

ибо что будет, если маршрутная информация о наполнении ваших vrf перестанет доходить до целевой железки?

С такой же вероятностью у вас перестанет ходить просто машрутизация. Причем тут надежность?

 

5 минут назад, LostSoul сказал:

бегущем по проводу не размечена его пренадлежность к определенному vfr.

Размечена

 

7 минут назад, LostSoul сказал:

либо статически вбитые "acl"

Эти статически вбитые АЦЛ находятся в одном месте, где ликаются сети. О чем вы?

 

8 минут назад, LostSoul сказал:

дополнительный IP из той же подсети и всё.

Из какой той же подсети? О чем вы? При L3 схеме у вас на роутере/L3 свиче лупбек с /32 Из какой подсети вы хотите адресацию выделять?

Share this post


Link to post
Share on other sites
2 минуты назад, VolanD666 сказал:

Нет в ней ничего черезвычайно усложненного. У вас априори должно быть разделение маршрутизации. Как минимум между управлением, физиками и юриками. А плюс еще есть такие услуги как L3VPN. Что вы с ними будете делать? Тоже клиентов АЦЛями ограничивать? А если у них адресация пересекается?

не было у меня еще клиентов желающих именно L3VPN.   L2VPN да , а L3VPN нет.

 

 

3 минуты назад, VolanD666 сказал:

С такой же вероятностью у вас перестанет ходить просто машрутизация. Причем тут надежность?

просто маршрутизация у меня в случае провала всех динамических протоколов пройдет просто по статике.  чего о ваших vfr скорее всего не скажешь

 

 

5 минут назад, VolanD666 сказал:

Размечена

и как она там размечена?

 

Share this post


Link to post
Share on other sites
6 минут назад, LostSoul сказал:

просто маршрутизация у меня в случае провала всех динамических протоколов пройдет просто по статике.

В нормальной сети не падает маршрутизация. Да даже в случае статики вы также можете использовать VRF.

 

7 минут назад, LostSoul сказал:

и как она там размечена?

MPLS метка?

Share this post


Link to post
Share on other sites
6 минут назад, VolanD666 сказал:

Эти статически вбитые АЦЛ находятся в одном месте, где ликаются сети. О чем вы?

у Сааба в конфиге каждой коробочки прописано , что управление устройствами доступно с админской подсети 10.10.123.0/24

у вас   конфиге каждой коробочки написано, что управление устройствами доступно из VFR id 123

 

Ссаабу чтоб открыть доступ , ничего не исправляя на каждой коробочке достаточно выдать  на АРМ администратора дополнительный IP-адрес из сети 10.10.123.0/24

Вам, чтоб открыть доступ ничего не исправляя на коробочке нужно определить принадлежность IP-адреса АРМ администратора к VFR id 123.

 

в чем разница то?

 

 

 

1 минуту назад, VolanD666 сказал:

MPLS метка?

то есть мы уже резко ограничиваем область примененения только железками с MPLS ?

 

 

13 минут назад, VolanD666 сказал:

Из какой той же подсети? О чем вы? При L3 схеме у вас на роутере/L3 свиче лупбек с /32 Из какой подсети вы хотите адресацию выделять?

такой же точно /32 выдать туда , откуда нужно попадать на управление указанными железками.

 

 

5 минут назад, VolanD666 сказал:

В нормальной сети не падает маршрутизация.

с такой философией вам и удаленный доступ на устройство не требуется

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now