Jump to content
Калькуляторы

Отдельная сеть управления. За и против.

Коллеги,

 

Есть ли смысл создавать отдельную сеть управления сетевыми устройствами и переносить ее в отдельный vrf? Ведь для этого нужно поднимать отдельный IGP процесс. Хотелось бы услышать доводы за и против.

Share this post


Link to post
Share on other sites

Вопрос ни о чем.

Конкретные рекомендации могут быть только в применении к конкретной задаче.

Знаю случаи, когда KVM выносят даже не в отдельный VRF, а в физически отдельную сеть со своим коммутатором и маршрутизатором.

С другой стороны, выносить ssh-доступ для веб-сервера в отдельную сеть уже имеет меньше смысла.

Share this post


Link to post
Share on other sites

Довод против очень простой - усложнение. Чтобы это делать, надо быть на 100% увереным, что доступа с любого другого интерфейса быть не может ни при каких условиях, если да - делайте, иначе ограничьтесь аксес листами.

Share this post


Link to post
Share on other sites

Глупо - нужно понимать откуда в сеть могут зайти. И там ограничивать. То есть перед важными серверами и устройствами уже разрешить доступ только по нужным IP источников. Раздувая же сеть управления всегда можно получить проблемы, которые возникнут по мере расширения этого управления.

Share this post


Link to post
Share on other sites

Мне нарисовать отдельный vrf и нарисовать маршруты на сервисах которым нужна сеть управления оказалось проще чем извращаться с аклями.

Share this post


Link to post
Share on other sites

11 hours ago, fox_m said:

Коллеги,

 

Есть ли смысл создавать отдельную сеть управления сетевыми устройствами и переносить ее в отдельный vrf? Ведь для этого нужно поднимать отдельный IGP процесс. Хотелось бы услышать доводы за и против.

Если есть финансовая возможность то лучше делать отдельную сеть и по возможности физически независимую.

естественно все зависит от масштабов сети и требований к безопастности и отказоустойчивости

Современное оборудование идёт с отельный management портом , что очень гармонично накладывается на эту парадигму 

 

мы ещё и третью сеть делаем для com портов и kvm 

 

Так же и для серверов , но по ситуации. В wan сети это просто выделенные VRf 

 

Когда особо много денег и возможностей - тогда даже wan отделять - выделенная лямбда или волокно 

 

дело тут не только в безопастности сколько в разделении доменов отказа , применение различных change policies и тп 

 

Share this post


Link to post
Share on other sites

2 часа назад, GrandPr1de сказал:

Мне нарисовать отдельный vrf и нарисовать маршруты на сервисах которым нужна сеть управления оказалось проще чем извращаться с аклями.

Ну просто на микротиках нет ВРФ, поэтому только АЦЛ :)

Share this post


Link to post
Share on other sites

2 часа назад, VolanD666 сказал:

Ну просто на микротиках нет ВРФ, поэтому только АЦЛ :)

Ну мы просто не используем микротики кроме как CPE ;)

Но это срач для отдельного треда.

Share this post


Link to post
Share on other sites

10 часов назад, kapydan сказал:

а сколько устройств в сети?

Около 30-ти

 

10 часов назад, vurd сказал:

Довод против очень простой - усложнение. Чтобы это делать, надо быть на 100% увереным, что доступа с любого другого интерфейса быть не может ни при каких условиях, если да - делайте, иначе ограничьтесь аксес листами.

Вот и я в так думаю. На самом деле, доступ есть и с других интерфейсов, что делает бессмысленным отдельный vrf

Share this post


Link to post
Share on other sites

7 минут назад, fox_m сказал:

На самом деле, доступ есть и с других интерфейсов, что делает бессмысленным отдельный vrf

Само собой, отдельная сеть управления имеет смысл только при условии, что более ниоткуда управление невозможно.

Share this post


Link to post
Share on other sites

4 часа назад, VolanD666 сказал:

Ну просто на микротиках нет ВРФ, поэтому только АЦЛ :)

)))))))))) врф устаревшая технология

Share this post


Link to post
Share on other sites

vrf достаточно гибко и удобно.. не нужна тонна ацл.. только на месте входа ;-) в случае vrf-lite igp надо растягивать, это минус.

для 30 устройств скорее всего смысла нет.

Share this post


Link to post
Share on other sites

8 минут назад, LostSoul сказал:

Кто вам такое сказал? :-)

Всё там есть.

 

Опасное заблуждение :)

 

Если по делу. Надо понимать какая схема сети, какие устройства, какие производители и т.д. Иначе- это разговор ни о чем.

Share this post


Link to post
Share on other sites

10 минут назад, VolanD666 сказал:

Опасное заблуждение :)

vrf в микротике и у меня в множестве применений, кривых и не очень используется.

 

как вариант по текущей теме - на транзитных  радиобриджах mikrotik p2p  кое-где у нас настроено  по 2 IP-интерфейса из разных vlan управления находящихся в разных vrf и имеющих имеющие выходные маршруты в разные стороны радиоканала.

В описании мостов в zabbix вбито оба  IP-управления.

( а пользовательские влан просто L2 )

Это позволяет более быстро и четко видеть что и где упало ( канал до бриджа, бридж , бридж, канал от бриджа )

 

 

 

 

 

Share this post


Link to post
Share on other sites

2 часа назад, zhenya` сказал:

vrf достаточно гибко и удобно.. не нужна тонна ацл.. только на месте входа ;-) в случае vrf-lite igp надо растягивать, это минус.

для 30 устройств скорее всего смысла нет.

Но если на сети запущен MPLS, то по идее, все настройки только на PE надо будет делать т.е. только там, где есть vrf управления?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.