Jump to content
Калькуляторы

Нужна помощь в организации сети оператора на Layer3 оборудовании

Коллеги, нужна помощь в изменении конфигурации сети. Сейчас вся сеть построена на layer2, хотели бы перевести в L3. 

Ядро сети Catalyst 6509 клиентские Catalyst 3750. Какие схемы возможно применить для оператора?

 

Edited by Bozman

Share this post


Link to post
Share on other sites

Картинки по запросу cisco core distribution access layer model

 

Да вот это схема подойдет. В вашем случае - нету Core Layer, а на Distrubution Layer сидит 6509. На 6509 на 3 уровне созданы все клиентские сети и сегментированы на 2 уровни с помощью vlan`s, на ней же делаете Access листы, настраиваете протоколы маршрутизации, телефонию- вообщем все, что связано с внутренней сетью. К ней же подключаются L2 свитчи, и к ней же подключен фаервол или маршрутизатор, на котором настроен BGP.

Share this post


Link to post
Share on other sites

вот интересно - у всех операторов построена сеть по этой картинке?

Share this post


Link to post
Share on other sites
3 hours ago, myst said:

опять курсовая? =)))

 

Нет, реальная работа по перестроению сети, у нас в принципе так и сделано. Но стоит задача несколько иначе. Используя возможности оборудования Layer3 изолировать клиентов друг от друга, даже на 1 коммутаторе.

Стоит несколько вопросов.

Как будет работать DHCP в данной конфигурации?

Как будут клиенты добираться до шлюза?

Разделение нескольких сел на разные сети, с выходом до узла маршрутизации.

На сегодняшний день клиенты используют для выхода в интернет PPTP протокол, а он подразумевает использование DNS серверов, для необходимости резолвить имя vpn сервера.

Надо не забывать что количество L2 VLAN ограниченно.

Edited by Bozman

Share this post


Link to post
Share on other sites
6 минут назад, Bozman сказал:

Как будут клиенты добираться до шлюза? 

а тут уж как вы сделаете. будет ли это терминация на 3750, или решите по какому-нить mpls тащить все в ядро и там разворачивать...

 

5 минут назад, Bozman сказал:

Надо не забывать что количество L2 VLAN ограниченно.

QinQ...

Share this post


Link to post
Share on other sites
45 minutes ago, NiTr0 said:

а тут уж как вы сделаете. будет ли это терминация на 3750, или решите по какому-нить mpls тащить все в ядро и там разворачивать...

 

QinQ...

Я тоже больше склоняюсь к mpls, опыта работы у меня с ним нет. Теории начитался про использование меток :) но понимания как применить это на действующей сети, пока у меня нет.

Share this post


Link to post
Share on other sites
3 часа назад, Bozman сказал:

Нет, реальная работа по перестроению сети, у нас в принципе так и сделано. Но стоит задача несколько иначе. Используя возможности оборудования Layer3 изолировать клиентов друг от друга, даже на 1 коммутаторе.

Стоит несколько вопросов.

Как будет работать DHCP в данной конфигурации?

Как будут клиенты добираться до шлюза?

Разделение нескольких сел на разные сети, с выходом до узла маршрутизации.

На сегодняшний день клиенты используют для выхода в интернет PPTP протокол, а он подразумевает использование DNS серверов, для необходимости резолвить имя vpn сервера.

Надо не забывать что количество L2 VLAN ограниченно.

 

Простите, если вы не понимаете этого может вам обратиться к специалисту?

Share this post


Link to post
Share on other sites

в сети построенной на каталистах 6509 и 3750 на счет мплс можете не заморачиваться

Share this post


Link to post
Share on other sites
17 часов назад, ks312 сказал:

Картинки по запросу cisco core distribution access layer model

 

Да вот это схема подойдет. В вашем случае - нету Core Layer, а на Distrubution Layer сидит 6509. На 6509 на 3 уровне созданы все клиентские сети и сегментированы на 2 уровни с помощью vlan`s, на ней же делаете Access листы, настраиваете протоколы маршрутизации, телефонию- вообщем все, что связано с внутренней сетью. К ней же подключаются L2 свитчи, и к ней же подключен фаервол или маршрутизатор, на котором настроен BGP.

Схема типичного энтерпрайза.

 

Вопрос тс - какое количество узлов в сети, сколько белых адресов и тд

Share this post


Link to post
Share on other sites
On 10/20/2019 at 10:20 PM, anatoly said:

в сети построенной на каталистах 6509 и 3750 на счет мплс можете не заморачиваться

Тогда над чем стоит заморочиться?

Share this post


Link to post
Share on other sites

С описаниям проблемы. Зачем что-то менять? Что работает не так? Что хотите добиться?

Share this post


Link to post
Share on other sites
12 hours ago, vurd said:

С описаниям проблемы. Зачем что-то менять? Что работает не так? Что хотите добиться?

Я же написал. У нас сейчас все физики в одном vlan крутятся. Мне бы хотелось их изолировать для внутренних сетей, убрать netbios и прочие атрибуты локальной сетевой активности. Как мне видится, абонент должен авторизовываться на коммутаторе и иметь доступ к сети интернет на наших маршрутизаторах.

Share this post


Link to post
Share on other sites

что за сеть то у вас? оператор ? энтерпрайз? терминируйте сетки на 3750 и делайте роутинг наверх.

Share this post


Link to post
Share on other sites

Без вводных и без того что хочется на выходе совершенно ничего сказать невозможно.

 

1 час назад, Bozman сказал:

Я же написал. У нас сейчас все физики в одном vlan крутятся. Мне бы хотелось их изолировать для внутренних сетей, убрать netbios и прочие атрибуты локальной сетевой активности. Как мне видится, абонент должен авторизовываться на коммутаторе и иметь доступ к сети интернет на наших маршрутизаторах.

Для "авторизации на коммутаторе" есть только оно средство  - 802.1х  

Share this post


Link to post
Share on other sites
1 hour ago, myst said:

Без вводных и без того что хочется на выходе совершенно ничего сказать невозможно.

 

Для "авторизации на коммутаторе" есть только оно средство  - 802.1х  

Наши коммутаторы это умеют, при помощи RADIUS авторизировать клиента на порту. То же обсуждали данный момент, но как бы хотелось использовать еще связку логин и пароль, для доступа к самому интернету. При данной схеме получается, что любой человек придя в подъезд жилого дома подключив ноутбук, будет не санкционировано использовать чужую учетную запись, с вытекающими от сюда последствиями.

Share this post


Link to post
Share on other sites
15 минут назад, Bozman сказал:

Наши коммутаторы это умеют, при помощи RADIUS авторизировать клиента на порту. То же обсуждали данный момент, но как бы хотелось использовать еще связку логин и пароль, для доступа к самому интернету.

Ну так кто мешает? Используйте.

802.1x не ограничивается авторизацией клиента по MAC или номеру порта, тут вопрос только в том, что умеет ваш доступ, клиенты и ключевая инфраструктура.

EAP это контейнер, а что будет использоваться внутри него, определяется потребностями пользователя и возможностями оборудования.

Share this post


Link to post
Share on other sites

Не будет. Это бред админов, которые не осилили ipoe и строили pppoe, пока их не поувольняли всех. На текущий момент архаизм.

Нетбиос фильтруйте на свитчах доступа, на 3750 терминируйте вланы, 65 сделает ядро\бордер. Уот и усё.

Share this post


Link to post
Share on other sites

Переключиться на схему влан-пер-юзер можно ничего не меняя в схеме, потихоньку постепенно...

Выводить доступ на схему звезда. Далее по нарастающей добирать агрегации, объединять в ЛАСП и тд.

 

Ну и в идеале надо заиметь брас и биллинг, если этого нет.

++ биллингатора в штат.

 

Вопщем стремиться к картинке, которая была во втором посте)

Share this post


Link to post
Share on other sites
8 часов назад, vurd сказал:

Не будет. Это бред админов, которые не осилили ipoe и строили pppoe, пока их не поувольняли всех. На текущий момент архаизм.

Нетбиос фильтруйте на свитчах доступа, на 3750 терминируйте вланы, 65 сделает ядро\бордер. Уот и усё.

Зависит от... можно и на 65й вланы терминировать + ip unnumbered + ipoe, один фиг не видя схемы и что хочется это гадание на кофейной гуще.

Share this post


Link to post
Share on other sites
14 часов назад, myst сказал:

Зависит от... можно и на 65й вланы терминировать + ip unnumbered + ipoe, один фиг не видя схемы и что хочется это гадание на кофейной гуще.

Ну дык я и не претендую) хочется человеку изменений, пускай занимается. Простор для дизайна (и стоимости) огромный, можно тазами обойтись и работать будет годами, а можно брасов наставить и креши ловить раз в неделю. А может и наоборот всё быть, зависит от размера сети, выбранного железа. ХЗ. Мое видение оптимального дизайна крайне дорогущее, бизнесу оно не нужно, обычно. Я бы делал vpu, агрегацию в мплс кольце и выбросы на брасы по pw.

Share this post


Link to post
Share on other sites

Вот согласен да. По потребностям. Кои не озвучены.

Share this post


Link to post
Share on other sites
10 минут назад, vurd сказал:

Я бы делал vpu, агрегацию в мплс кольце и выбросы на брасы по pw.

это не так дорого как кажется, но есть подводные камни в контексте скейла, ну и чем больше скейл, тем больше подводных камней )

Share this post


Link to post
Share on other sites
9 часов назад, darkagent сказал:

это не так дорого как кажется, но есть подводные камни в контексте скейла, ну и чем больше скейл, тем больше подводных камней )

Это не так дорого но часто очень избыточно.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now