Jump to content

Отдельная сеть управления. За и против.

fox_m
 Share

Recommended Posts

fox_m

fox_m

Posted
Posted

Коллеги,

 

Есть ли смысл создавать отдельную сеть управления сетевыми устройствами и переносить ее в отдельный vrf? Ведь для этого нужно поднимать отдельный IGP процесс. Хотелось бы услышать доводы за и против.

alibek

alibek

Posted
Posted

Вопрос ни о чем.

Конкретные рекомендации могут быть только в применении к конкретной задаче.

Знаю случаи, когда KVM выносят даже не в отдельный VRF, а в физически отдельную сеть со своим коммутатором и маршрутизатором.

С другой стороны, выносить ssh-доступ для веб-сервера в отдельную сеть уже имеет меньше смысла.

vurd

vurd

Posted
Posted

Довод против очень простой - усложнение. Чтобы это делать, надо быть на 100% увереным, что доступа с любого другого интерфейса быть не может ни при каких условиях, если да - делайте, иначе ограничьтесь аксес листами.

Saab95

Saab95

Posted
Posted

Глупо - нужно понимать откуда в сеть могут зайти. И там ограничивать. То есть перед важными серверами и устройствами уже разрешить доступ только по нужным IP источников. Раздувая же сеть управления всегда можно получить проблемы, которые возникнут по мере расширения этого управления.

EvgeniySerb

EvgeniySerb

Posted
Posted
11 hours ago, fox_m said:

Коллеги,

 

Есть ли смысл создавать отдельную сеть управления сетевыми устройствами и переносить ее в отдельный vrf? Ведь для этого нужно поднимать отдельный IGP процесс. Хотелось бы услышать доводы за и против.

Если есть финансовая возможность то лучше делать отдельную сеть и по возможности физически независимую.

естественно все зависит от масштабов сети и требований к безопастности и отказоустойчивости

Современное оборудование идёт с отельный management портом , что очень гармонично накладывается на эту парадигму 

 

мы ещё и третью сеть делаем для com портов и kvm 

 

Так же и для серверов , но по ситуации. В wan сети это просто выделенные VRf 

 

Когда особо много денег и возможностей - тогда даже wan отделять - выделенная лямбда или волокно 

 

дело тут не только в безопастности сколько в разделении доменов отказа , применение различных change policies и тп 

 

VolanD666

VolanD666

Posted
Posted
2 часа назад, GrandPr1de сказал:

Мне нарисовать отдельный vrf и нарисовать маршруты на сервисах которым нужна сеть управления оказалось проще чем извращаться с аклями.

Ну просто на микротиках нет ВРФ, поэтому только АЦЛ :)

GrandPr1de

GrandPr1de

Posted
Posted
2 часа назад, VolanD666 сказал:

Ну просто на микротиках нет ВРФ, поэтому только АЦЛ :)

Ну мы просто не используем микротики кроме как CPE ;)

Но это срач для отдельного треда.

fox_m

fox_m

Posted
  • Author
Posted
10 часов назад, kapydan сказал:

а сколько устройств в сети?

Около 30-ти

 

10 часов назад, vurd сказал:

Довод против очень простой - усложнение. Чтобы это делать, надо быть на 100% увереным, что доступа с любого другого интерфейса быть не может ни при каких условиях, если да - делайте, иначе ограничьтесь аксес листами.

Вот и я в так думаю. На самом деле, доступ есть и с других интерфейсов, что делает бессмысленным отдельный vrf

alibek

alibek

Posted
Posted
7 минут назад, fox_m сказал:

На самом деле, доступ есть и с других интерфейсов, что делает бессмысленным отдельный vrf

Само собой, отдельная сеть управления имеет смысл только при условии, что более ниоткуда управление невозможно.

zhenya`

zhenya`

Posted
Posted

vrf достаточно гибко и удобно.. не нужна тонна ацл.. только на месте входа ;-) в случае vrf-lite igp надо растягивать, это минус.

для 30 устройств скорее всего смысла нет.

VolanD666

VolanD666

Posted
Posted
8 минут назад, LostSoul сказал:

Кто вам такое сказал? :-)

Всё там есть.

 

Опасное заблуждение :)

 

Если по делу. Надо понимать какая схема сети, какие устройства, какие производители и т.д. Иначе- это разговор ни о чем.

LostSoul

LostSoul

Posted
Posted
10 минут назад, VolanD666 сказал:

Опасное заблуждение :)

vrf в микротике и у меня в множестве применений, кривых и не очень используется.

 

как вариант по текущей теме - на транзитных  радиобриджах mikrotik p2p  кое-где у нас настроено  по 2 IP-интерфейса из разных vlan управления находящихся в разных vrf и имеющих имеющие выходные маршруты в разные стороны радиоканала.

В описании мостов в zabbix вбито оба  IP-управления.

( а пользовательские влан просто L2 )

Это позволяет более быстро и четко видеть что и где упало ( канал до бриджа, бридж , бридж, канал от бриджа )

 

 

 

 

 

fox_m

fox_m

Posted
  • Author
Posted
2 часа назад, zhenya` сказал:

vrf достаточно гибко и удобно.. не нужна тонна ацл.. только на месте входа ;-) в случае vrf-lite igp надо растягивать, это минус.

для 30 устройств скорее всего смысла нет.

Но если на сети запущен MPLS, то по идее, все настройки только на PE надо будет делать т.е. только там, где есть vrf управления?

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.