Перейти к содержимому
Калькуляторы

Отдельная сеть управления. За и против.

Коллеги,

 

Есть ли смысл создавать отдельную сеть управления сетевыми устройствами и переносить ее в отдельный vrf? Ведь для этого нужно поднимать отдельный IGP процесс. Хотелось бы услышать доводы за и против.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вопрос ни о чем.

Конкретные рекомендации могут быть только в применении к конкретной задаче.

Знаю случаи, когда KVM выносят даже не в отдельный VRF, а в физически отдельную сеть со своим коммутатором и маршрутизатором.

С другой стороны, выносить ssh-доступ для веб-сервера в отдельную сеть уже имеет меньше смысла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Довод против очень простой - усложнение. Чтобы это делать, надо быть на 100% увереным, что доступа с любого другого интерфейса быть не может ни при каких условиях, если да - делайте, иначе ограничьтесь аксес листами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Глупо - нужно понимать откуда в сеть могут зайти. И там ограничивать. То есть перед важными серверами и устройствами уже разрешить доступ только по нужным IP источников. Раздувая же сеть управления всегда можно получить проблемы, которые возникнут по мере расширения этого управления.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мне нарисовать отдельный vrf и нарисовать маршруты на сервисах которым нужна сеть управления оказалось проще чем извращаться с аклями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нас управление в отделом vrf

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

11 hours ago, fox_m said:

Коллеги,

 

Есть ли смысл создавать отдельную сеть управления сетевыми устройствами и переносить ее в отдельный vrf? Ведь для этого нужно поднимать отдельный IGP процесс. Хотелось бы услышать доводы за и против.

Если есть финансовая возможность то лучше делать отдельную сеть и по возможности физически независимую.

естественно все зависит от масштабов сети и требований к безопастности и отказоустойчивости

Современное оборудование идёт с отельный management портом , что очень гармонично накладывается на эту парадигму 

 

мы ещё и третью сеть делаем для com портов и kvm 

 

Так же и для серверов , но по ситуации. В wan сети это просто выделенные VRf 

 

Когда особо много денег и возможностей - тогда даже wan отделять - выделенная лямбда или волокно 

 

дело тут не только в безопастности сколько в разделении доменов отказа , применение различных change policies и тп 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, GrandPr1de сказал:

Мне нарисовать отдельный vrf и нарисовать маршруты на сервисах которым нужна сеть управления оказалось проще чем извращаться с аклями.

Ну просто на микротиках нет ВРФ, поэтому только АЦЛ :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, VolanD666 сказал:

Ну просто на микротиках нет ВРФ, поэтому только АЦЛ :)

Ну мы просто не используем микротики кроме как CPE ;)

Но это срач для отдельного треда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 часов назад, kapydan сказал:

а сколько устройств в сети?

Около 30-ти

 

10 часов назад, vurd сказал:

Довод против очень простой - усложнение. Чтобы это делать, надо быть на 100% увереным, что доступа с любого другого интерфейса быть не может ни при каких условиях, если да - делайте, иначе ограничьтесь аксес листами.

Вот и я в так думаю. На самом деле, доступ есть и с других интерфейсов, что делает бессмысленным отдельный vrf

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 минут назад, fox_m сказал:

На самом деле, доступ есть и с других интерфейсов, что делает бессмысленным отдельный vrf

Само собой, отдельная сеть управления имеет смысл только при условии, что более ниоткуда управление невозможно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, VolanD666 сказал:

Ну просто на микротиках нет ВРФ, поэтому только АЦЛ :)

)))))))))) врф устаревшая технология

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

vrf достаточно гибко и удобно.. не нужна тонна ацл.. только на месте входа ;-) в случае vrf-lite igp надо растягивать, это минус.

для 30 устройств скорее всего смысла нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

26 минут назад, zhenya` сказал:

для 30 устройств скорее всего смысла нет.

скорее всего

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для 30 устройств делается отдельный VLAN управления. И никакого IGP. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, VolanD666 сказал:

Ну просто на микротиках нет ВРФ

Кто вам такое сказал? :-)

Всё там есть.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 минут назад, LostSoul сказал:

Кто вам такое сказал? :-)

Всё там есть.

 

Опасное заблуждение :)

 

Если по делу. Надо понимать какая схема сети, какие устройства, какие производители и т.д. Иначе- это разговор ни о чем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 минут назад, VolanD666 сказал:

Опасное заблуждение :)

vrf в микротике и у меня в множестве применений, кривых и не очень используется.

 

как вариант по текущей теме - на транзитных  радиобриджах mikrotik p2p  кое-где у нас настроено  по 2 IP-интерфейса из разных vlan управления находящихся в разных vrf и имеющих имеющие выходные маршруты в разные стороны радиоканала.

В описании мостов в zabbix вбито оба  IP-управления.

( а пользовательские влан просто L2 )

Это позволяет более быстро и четко видеть что и где упало ( канал до бриджа, бридж , бридж, канал от бриджа )

 

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, zhenya` сказал:

vrf достаточно гибко и удобно.. не нужна тонна ацл.. только на месте входа ;-) в случае vrf-lite igp надо растягивать, это минус.

для 30 устройств скорее всего смысла нет.

Но если на сети запущен MPLS, то по идее, все настройки только на PE надо будет делать т.е. только там, где есть vrf управления?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.