Bozman Posted October 19, 2019 Posted October 19, 2019 (edited) Коллеги, нужна помощь в изменении конфигурации сети. Сейчас вся сеть построена на layer2, хотели бы перевести в L3. Ядро сети Catalyst 6509 клиентские Catalyst 3750. Какие схемы возможно применить для оператора? Edited October 19, 2019 by Bozman Вставить ник Quote
ks312 Posted October 20, 2019 Posted October 20, 2019 Да вот это схема подойдет. В вашем случае - нету Core Layer, а на Distrubution Layer сидит 6509. На 6509 на 3 уровне созданы все клиентские сети и сегментированы на 2 уровни с помощью vlan`s, на ней же делаете Access листы, настраиваете протоколы маршрутизации, телефонию- вообщем все, что связано с внутренней сетью. К ней же подключаются L2 свитчи, и к ней же подключен фаервол или маршрутизатор, на котором настроен BGP. Вставить ник Quote
RialCom.ru Posted October 20, 2019 Posted October 20, 2019 вот интересно - у всех операторов построена сеть по этой картинке? Вставить ник Quote
Bozman Posted October 20, 2019 Author Posted October 20, 2019 (edited) 3 hours ago, myst said: опять курсовая? =))) Нет, реальная работа по перестроению сети, у нас в принципе так и сделано. Но стоит задача несколько иначе. Используя возможности оборудования Layer3 изолировать клиентов друг от друга, даже на 1 коммутаторе. Стоит несколько вопросов. Как будет работать DHCP в данной конфигурации? Как будут клиенты добираться до шлюза? Разделение нескольких сел на разные сети, с выходом до узла маршрутизации. На сегодняшний день клиенты используют для выхода в интернет PPTP протокол, а он подразумевает использование DNS серверов, для необходимости резолвить имя vpn сервера. Надо не забывать что количество L2 VLAN ограниченно. Edited October 20, 2019 by Bozman Вставить ник Quote
NiTr0 Posted October 20, 2019 Posted October 20, 2019 6 минут назад, Bozman сказал: Как будут клиенты добираться до шлюза? а тут уж как вы сделаете. будет ли это терминация на 3750, или решите по какому-нить mpls тащить все в ядро и там разворачивать... 5 минут назад, Bozman сказал: Надо не забывать что количество L2 VLAN ограниченно. QinQ... Вставить ник Quote
Bozman Posted October 20, 2019 Author Posted October 20, 2019 45 minutes ago, NiTr0 said: а тут уж как вы сделаете. будет ли это терминация на 3750, или решите по какому-нить mpls тащить все в ядро и там разворачивать... QinQ... Я тоже больше склоняюсь к mpls, опыта работы у меня с ним нет. Теории начитался про использование меток :) но понимания как применить это на действующей сети, пока у меня нет. Вставить ник Quote
myst Posted October 20, 2019 Posted October 20, 2019 3 часа назад, Bozman сказал: Нет, реальная работа по перестроению сети, у нас в принципе так и сделано. Но стоит задача несколько иначе. Используя возможности оборудования Layer3 изолировать клиентов друг от друга, даже на 1 коммутаторе. Стоит несколько вопросов. Как будет работать DHCP в данной конфигурации? Как будут клиенты добираться до шлюза? Разделение нескольких сел на разные сети, с выходом до узла маршрутизации. На сегодняшний день клиенты используют для выхода в интернет PPTP протокол, а он подразумевает использование DNS серверов, для необходимости резолвить имя vpn сервера. Надо не забывать что количество L2 VLAN ограниченно. Простите, если вы не понимаете этого может вам обратиться к специалисту? Вставить ник Quote
anatoly Posted October 20, 2019 Posted October 20, 2019 в сети построенной на каталистах 6509 и 3750 на счет мплс можете не заморачиваться Вставить ник Quote
kapydan Posted October 20, 2019 Posted October 20, 2019 17 часов назад, ks312 сказал: Да вот это схема подойдет. В вашем случае - нету Core Layer, а на Distrubution Layer сидит 6509. На 6509 на 3 уровне созданы все клиентские сети и сегментированы на 2 уровни с помощью vlan`s, на ней же делаете Access листы, настраиваете протоколы маршрутизации, телефонию- вообщем все, что связано с внутренней сетью. К ней же подключаются L2 свитчи, и к ней же подключен фаервол или маршрутизатор, на котором настроен BGP. Схема типичного энтерпрайза. Вопрос тс - какое количество узлов в сети, сколько белых адресов и тд Вставить ник Quote
Bozman Posted October 21, 2019 Author Posted October 21, 2019 On 10/20/2019 at 10:20 PM, anatoly said: в сети построенной на каталистах 6509 и 3750 на счет мплс можете не заморачиваться Тогда над чем стоит заморочиться? Вставить ник Quote
vurd Posted October 21, 2019 Posted October 21, 2019 С описаниям проблемы. Зачем что-то менять? Что работает не так? Что хотите добиться? Вставить ник Quote
Bozman Posted October 22, 2019 Author Posted October 22, 2019 12 hours ago, vurd said: С описаниям проблемы. Зачем что-то менять? Что работает не так? Что хотите добиться? Я же написал. У нас сейчас все физики в одном vlan крутятся. Мне бы хотелось их изолировать для внутренних сетей, убрать netbios и прочие атрибуты локальной сетевой активности. Как мне видится, абонент должен авторизовываться на коммутаторе и иметь доступ к сети интернет на наших маршрутизаторах. Вставить ник Quote
zhenya` Posted October 22, 2019 Posted October 22, 2019 что за сеть то у вас? оператор ? энтерпрайз? терминируйте сетки на 3750 и делайте роутинг наверх. Вставить ник Quote
myst Posted October 22, 2019 Posted October 22, 2019 Без вводных и без того что хочется на выходе совершенно ничего сказать невозможно. 1 час назад, Bozman сказал: Я же написал. У нас сейчас все физики в одном vlan крутятся. Мне бы хотелось их изолировать для внутренних сетей, убрать netbios и прочие атрибуты локальной сетевой активности. Как мне видится, абонент должен авторизовываться на коммутаторе и иметь доступ к сети интернет на наших маршрутизаторах. Для "авторизации на коммутаторе" есть только оно средство - 802.1х Вставить ник Quote
Bozman Posted October 22, 2019 Author Posted October 22, 2019 1 hour ago, myst said: Без вводных и без того что хочется на выходе совершенно ничего сказать невозможно. Для "авторизации на коммутаторе" есть только оно средство - 802.1х Наши коммутаторы это умеют, при помощи RADIUS авторизировать клиента на порту. То же обсуждали данный момент, но как бы хотелось использовать еще связку логин и пароль, для доступа к самому интернету. При данной схеме получается, что любой человек придя в подъезд жилого дома подключив ноутбук, будет не санкционировано использовать чужую учетную запись, с вытекающими от сюда последствиями. Вставить ник Quote
alibek Posted October 22, 2019 Posted October 22, 2019 15 минут назад, Bozman сказал: Наши коммутаторы это умеют, при помощи RADIUS авторизировать клиента на порту. То же обсуждали данный момент, но как бы хотелось использовать еще связку логин и пароль, для доступа к самому интернету. Ну так кто мешает? Используйте. 802.1x не ограничивается авторизацией клиента по MAC или номеру порта, тут вопрос только в том, что умеет ваш доступ, клиенты и ключевая инфраструктура. EAP это контейнер, а что будет использоваться внутри него, определяется потребностями пользователя и возможностями оборудования. Вставить ник Quote
vurd Posted October 22, 2019 Posted October 22, 2019 Не будет. Это бред админов, которые не осилили ipoe и строили pppoe, пока их не поувольняли всех. На текущий момент архаизм. Нетбиос фильтруйте на свитчах доступа, на 3750 терминируйте вланы, 65 сделает ядро\бордер. Уот и усё. Вставить ник Quote
semop Posted October 22, 2019 Posted October 22, 2019 Переключиться на схему влан-пер-юзер можно ничего не меняя в схеме, потихоньку постепенно... Выводить доступ на схему звезда. Далее по нарастающей добирать агрегации, объединять в ЛАСП и тд. Ну и в идеале надо заиметь брас и биллинг, если этого нет. ++ биллингатора в штат. Вопщем стремиться к картинке, которая была во втором посте) Вставить ник Quote
myst Posted October 22, 2019 Posted October 22, 2019 8 часов назад, vurd сказал: Не будет. Это бред админов, которые не осилили ipoe и строили pppoe, пока их не поувольняли всех. На текущий момент архаизм. Нетбиос фильтруйте на свитчах доступа, на 3750 терминируйте вланы, 65 сделает ядро\бордер. Уот и усё. Зависит от... можно и на 65й вланы терминировать + ip unnumbered + ipoe, один фиг не видя схемы и что хочется это гадание на кофейной гуще. Вставить ник Quote
vurd Posted October 23, 2019 Posted October 23, 2019 14 часов назад, myst сказал: Зависит от... можно и на 65й вланы терминировать + ip unnumbered + ipoe, один фиг не видя схемы и что хочется это гадание на кофейной гуще. Ну дык я и не претендую) хочется человеку изменений, пускай занимается. Простор для дизайна (и стоимости) огромный, можно тазами обойтись и работать будет годами, а можно брасов наставить и креши ловить раз в неделю. А может и наоборот всё быть, зависит от размера сети, выбранного железа. ХЗ. Мое видение оптимального дизайна крайне дорогущее, бизнесу оно не нужно, обычно. Я бы делал vpu, агрегацию в мплс кольце и выбросы на брасы по pw. Вставить ник Quote
myst Posted October 23, 2019 Posted October 23, 2019 Вот согласен да. По потребностям. Кои не озвучены. Вставить ник Quote
darkagent Posted October 23, 2019 Posted October 23, 2019 10 минут назад, vurd сказал: Я бы делал vpu, агрегацию в мплс кольце и выбросы на брасы по pw. это не так дорого как кажется, но есть подводные камни в контексте скейла, ну и чем больше скейл, тем больше подводных камней ) Вставить ник Quote
myst Posted October 23, 2019 Posted October 23, 2019 9 часов назад, darkagent сказал: это не так дорого как кажется, но есть подводные камни в контексте скейла, ну и чем больше скейл, тем больше подводных камней ) Это не так дорого но часто очень избыточно. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.