[fox_m]

Коллеги,

 

Есть ли смысл создавать отдельную сеть управления сетевыми устройствами и переносить ее в отдельный vrf? Ведь для этого нужно поднимать отдельный IGP процесс. Хотелось бы услышать доводы за и против.

[alibek]

Вопрос ни о чем.

Конкретные рекомендации могут быть только в применении к конкретной задаче.

Знаю случаи, когда KVM выносят даже не в отдельный VRF, а в физически отдельную сеть со своим коммутатором и маршрутизатором.

С другой стороны, выносить ssh-доступ для веб-сервера в отдельную сеть уже имеет меньше смысла.

[kapydan]

а сколько устройств в сети?

[vurd]

Довод против очень простой - усложнение. Чтобы это делать, надо быть на 100% увереным, что доступа с любого другого интерфейса быть не может ни при каких условиях, если да - делайте, иначе ограничьтесь аксес листами.

[Saab95]

Глупо - нужно понимать откуда в сеть могут зайти. И там ограничивать. То есть перед важными серверами и устройствами уже разрешить доступ только по нужным IP источников. Раздувая же сеть управления всегда можно получить проблемы, которые возникнут по мере расширения этого управления.

[GrandPr1de]

Мне нарисовать отдельный vrf и нарисовать маршруты на сервисах которым нужна сеть управления оказалось проще чем извращаться с аклями.

[Butch3r]

У нас управление в отделом vrf

[EvgeniySerb]

11 hours ago, fox_m said:

Коллеги,

 

Есть ли смысл создавать отдельную сеть управления сетевыми устройствами и переносить ее в отдельный vrf? Ведь для этого нужно поднимать отдельный IGP процесс. Хотелось бы услышать доводы за и против.

Если есть финансовая возможность то лучше делать отдельную сеть и по возможности физически независимую.

естественно все зависит от масштабов сети и требований к безопастности и отказоустойчивости

Современное оборудование идёт с отельный management портом , что очень гармонично накладывается на эту парадигму 

 

мы ещё и третью сеть делаем для com портов и kvm 

 

Так же и для серверов , но по ситуации. В wan сети это просто выделенные VRf 

 

Когда особо много денег и возможностей - тогда даже wan отделять - выделенная лямбда или волокно 

 

дело тут не только в безопастности сколько в разделении доменов отказа , применение различных change policies и тп 

 

[VolanD666]

2 часа назад, GrandPr1de сказал:

Мне нарисовать отдельный vrf и нарисовать маршруты на сервисах которым нужна сеть управления оказалось проще чем извращаться с аклями.

Ну просто на микротиках нет ВРФ, поэтому только АЦЛ :)

[GrandPr1de]

2 часа назад, VolanD666 сказал:

Ну просто на микротиках нет ВРФ, поэтому только АЦЛ :)

Ну мы просто не используем микротики кроме как CPE ;)

Но это срач для отдельного треда.

[fox_m]

10 часов назад, kapydan сказал:

а сколько устройств в сети?

Около 30-ти

 

10 часов назад, vurd сказал:

Довод против очень простой - усложнение. Чтобы это делать, надо быть на 100% увереным, что доступа с любого другого интерфейса быть не может ни при каких условиях, если да - делайте, иначе ограничьтесь аксес листами.

Вот и я в так думаю. На самом деле, доступ есть и с других интерфейсов, что делает бессмысленным отдельный vrf

[alibek]

7 минут назад, fox_m сказал:

На самом деле, доступ есть и с других интерфейсов, что делает бессмысленным отдельный vrf

Само собой, отдельная сеть управления имеет смысл только при условии, что более ниоткуда управление невозможно.

[Butch3r]

4 часа назад, VolanD666 сказал:

Ну просто на микротиках нет ВРФ, поэтому только АЦЛ :)

)))))))))) врф устаревшая технология

[zhenya`]

vrf достаточно гибко и удобно.. не нужна тонна ацл.. только на месте входа ;-) в случае vrf-lite igp надо растягивать, это минус.

для 30 устройств скорее всего смысла нет.

[kapydan]

26 минут назад, zhenya` сказал:

для 30 устройств скорее всего смысла нет.

скорее всего

[UglyAdmin]

Для 30 устройств делается отдельный VLAN управления. И никакого IGP. :)

[LostSoul]

6 часов назад, VolanD666 сказал:

Ну просто на микротиках нет ВРФ

Кто вам такое сказал? :-)

Всё там есть.

 

[VolanD666]

8 минут назад, LostSoul сказал:

Кто вам такое сказал? :-)

Всё там есть.

 

Опасное заблуждение :)

 

Если по делу. Надо понимать какая схема сети, какие устройства, какие производители и т.д. Иначе- это разговор ни о чем.

[LostSoul]

10 минут назад, VolanD666 сказал:

Опасное заблуждение :)

vrf в микротике и у меня в множестве применений, кривых и не очень используется.

 

как вариант по текущей теме - на транзитных  радиобриджах mikrotik p2p  кое-где у нас настроено  по 2 IP-интерфейса из разных vlan управления находящихся в разных vrf и имеющих имеющие выходные маршруты в разные стороны радиоканала.

В описании мостов в zabbix вбито оба  IP-управления.

( а пользовательские влан просто L2 )

Это позволяет более быстро и четко видеть что и где упало ( канал до бриджа, бридж , бридж, канал от бриджа )

 

 

 

 

 

[fox_m]

2 часа назад, zhenya` сказал:

vrf достаточно гибко и удобно.. не нужна тонна ацл.. только на месте входа ;-) в случае vrf-lite igp надо растягивать, это минус.

для 30 устройств скорее всего смысла нет.

Но если на сети запущен MPLS, то по идее, все настройки только на PE надо будет делать т.е. только там, где есть vrf управления?