Bozman Posted October 19 (edited) · Report post Коллеги, нужна помощь в изменении конфигурации сети. Сейчас вся сеть построена на layer2, хотели бы перевести в L3. Ядро сети Catalyst 6509 клиентские Catalyst 3750. Какие схемы возможно применить для оператора? Edited October 19 by Bozman Share this post Link to post Share on other sites
ks312 Posted October 20 · Report post Да вот это схема подойдет. В вашем случае - нету Core Layer, а на Distrubution Layer сидит 6509. На 6509 на 3 уровне созданы все клиентские сети и сегментированы на 2 уровни с помощью vlan`s, на ней же делаете Access листы, настраиваете протоколы маршрутизации, телефонию- вообщем все, что связано с внутренней сетью. К ней же подключаются L2 свитчи, и к ней же подключен фаервол или маршрутизатор, на котором настроен BGP. Share this post Link to post Share on other sites
myst Posted October 20 · Report post опять курсовая? =))) Share this post Link to post Share on other sites
RialCom.ru Posted October 20 · Report post вот интересно - у всех операторов построена сеть по этой картинке? Share this post Link to post Share on other sites
Bozman Posted October 20 (edited) · Report post 3 hours ago, myst said: опять курсовая? =))) Нет, реальная работа по перестроению сети, у нас в принципе так и сделано. Но стоит задача несколько иначе. Используя возможности оборудования Layer3 изолировать клиентов друг от друга, даже на 1 коммутаторе. Стоит несколько вопросов. Как будет работать DHCP в данной конфигурации? Как будут клиенты добираться до шлюза? Разделение нескольких сел на разные сети, с выходом до узла маршрутизации. На сегодняшний день клиенты используют для выхода в интернет PPTP протокол, а он подразумевает использование DNS серверов, для необходимости резолвить имя vpn сервера. Надо не забывать что количество L2 VLAN ограниченно. Edited October 20 by Bozman Share this post Link to post Share on other sites
NiTr0 Posted October 20 · Report post 6 минут назад, Bozman сказал: Как будут клиенты добираться до шлюза? а тут уж как вы сделаете. будет ли это терминация на 3750, или решите по какому-нить mpls тащить все в ядро и там разворачивать... 5 минут назад, Bozman сказал: Надо не забывать что количество L2 VLAN ограниченно. QinQ... Share this post Link to post Share on other sites
Bozman Posted October 20 · Report post 45 minutes ago, NiTr0 said: а тут уж как вы сделаете. будет ли это терминация на 3750, или решите по какому-нить mpls тащить все в ядро и там разворачивать... QinQ... Я тоже больше склоняюсь к mpls, опыта работы у меня с ним нет. Теории начитался про использование меток :) но понимания как применить это на действующей сети, пока у меня нет. Share this post Link to post Share on other sites
myst Posted October 20 · Report post 3 часа назад, Bozman сказал: Нет, реальная работа по перестроению сети, у нас в принципе так и сделано. Но стоит задача несколько иначе. Используя возможности оборудования Layer3 изолировать клиентов друг от друга, даже на 1 коммутаторе. Стоит несколько вопросов. Как будет работать DHCP в данной конфигурации? Как будут клиенты добираться до шлюза? Разделение нескольких сел на разные сети, с выходом до узла маршрутизации. На сегодняшний день клиенты используют для выхода в интернет PPTP протокол, а он подразумевает использование DNS серверов, для необходимости резолвить имя vpn сервера. Надо не забывать что количество L2 VLAN ограниченно. Простите, если вы не понимаете этого может вам обратиться к специалисту? Share this post Link to post Share on other sites
anatoly Posted October 20 · Report post в сети построенной на каталистах 6509 и 3750 на счет мплс можете не заморачиваться Share this post Link to post Share on other sites
kapydan Posted October 20 · Report post 17 часов назад, ks312 сказал: Да вот это схема подойдет. В вашем случае - нету Core Layer, а на Distrubution Layer сидит 6509. На 6509 на 3 уровне созданы все клиентские сети и сегментированы на 2 уровни с помощью vlan`s, на ней же делаете Access листы, настраиваете протоколы маршрутизации, телефонию- вообщем все, что связано с внутренней сетью. К ней же подключаются L2 свитчи, и к ней же подключен фаервол или маршрутизатор, на котором настроен BGP. Схема типичного энтерпрайза. Вопрос тс - какое количество узлов в сети, сколько белых адресов и тд Share this post Link to post Share on other sites
Bozman Posted October 21 · Report post On 10/20/2019 at 10:20 PM, anatoly said: в сети построенной на каталистах 6509 и 3750 на счет мплс можете не заморачиваться Тогда над чем стоит заморочиться? Share this post Link to post Share on other sites
vurd Posted October 21 · Report post С описаниям проблемы. Зачем что-то менять? Что работает не так? Что хотите добиться? Share this post Link to post Share on other sites
Bozman Posted October 22 · Report post 12 hours ago, vurd said: С описаниям проблемы. Зачем что-то менять? Что работает не так? Что хотите добиться? Я же написал. У нас сейчас все физики в одном vlan крутятся. Мне бы хотелось их изолировать для внутренних сетей, убрать netbios и прочие атрибуты локальной сетевой активности. Как мне видится, абонент должен авторизовываться на коммутаторе и иметь доступ к сети интернет на наших маршрутизаторах. Share this post Link to post Share on other sites
zhenya` Posted October 22 · Report post что за сеть то у вас? оператор ? энтерпрайз? терминируйте сетки на 3750 и делайте роутинг наверх. Share this post Link to post Share on other sites
myst Posted October 22 · Report post Без вводных и без того что хочется на выходе совершенно ничего сказать невозможно. 1 час назад, Bozman сказал: Я же написал. У нас сейчас все физики в одном vlan крутятся. Мне бы хотелось их изолировать для внутренних сетей, убрать netbios и прочие атрибуты локальной сетевой активности. Как мне видится, абонент должен авторизовываться на коммутаторе и иметь доступ к сети интернет на наших маршрутизаторах. Для "авторизации на коммутаторе" есть только оно средство - 802.1х Share this post Link to post Share on other sites
Bozman Posted October 22 · Report post 1 hour ago, myst said: Без вводных и без того что хочется на выходе совершенно ничего сказать невозможно. Для "авторизации на коммутаторе" есть только оно средство - 802.1х Наши коммутаторы это умеют, при помощи RADIUS авторизировать клиента на порту. То же обсуждали данный момент, но как бы хотелось использовать еще связку логин и пароль, для доступа к самому интернету. При данной схеме получается, что любой человек придя в подъезд жилого дома подключив ноутбук, будет не санкционировано использовать чужую учетную запись, с вытекающими от сюда последствиями. Share this post Link to post Share on other sites
alibek Posted October 22 · Report post 15 минут назад, Bozman сказал: Наши коммутаторы это умеют, при помощи RADIUS авторизировать клиента на порту. То же обсуждали данный момент, но как бы хотелось использовать еще связку логин и пароль, для доступа к самому интернету. Ну так кто мешает? Используйте. 802.1x не ограничивается авторизацией клиента по MAC или номеру порта, тут вопрос только в том, что умеет ваш доступ, клиенты и ключевая инфраструктура. EAP это контейнер, а что будет использоваться внутри него, определяется потребностями пользователя и возможностями оборудования. Share this post Link to post Share on other sites
vurd Posted October 22 · Report post Не будет. Это бред админов, которые не осилили ipoe и строили pppoe, пока их не поувольняли всех. На текущий момент архаизм. Нетбиос фильтруйте на свитчах доступа, на 3750 терминируйте вланы, 65 сделает ядро\бордер. Уот и усё. Share this post Link to post Share on other sites
semop Posted October 22 · Report post Переключиться на схему влан-пер-юзер можно ничего не меняя в схеме, потихоньку постепенно... Выводить доступ на схему звезда. Далее по нарастающей добирать агрегации, объединять в ЛАСП и тд. Ну и в идеале надо заиметь брас и биллинг, если этого нет. ++ биллингатора в штат. Вопщем стремиться к картинке, которая была во втором посте) Share this post Link to post Share on other sites
myst Posted October 22 · Report post 8 часов назад, vurd сказал: Не будет. Это бред админов, которые не осилили ipoe и строили pppoe, пока их не поувольняли всех. На текущий момент архаизм. Нетбиос фильтруйте на свитчах доступа, на 3750 терминируйте вланы, 65 сделает ядро\бордер. Уот и усё. Зависит от... можно и на 65й вланы терминировать + ip unnumbered + ipoe, один фиг не видя схемы и что хочется это гадание на кофейной гуще. Share this post Link to post Share on other sites
vurd Posted October 23 · Report post 14 часов назад, myst сказал: Зависит от... можно и на 65й вланы терминировать + ip unnumbered + ipoe, один фиг не видя схемы и что хочется это гадание на кофейной гуще. Ну дык я и не претендую) хочется человеку изменений, пускай занимается. Простор для дизайна (и стоимости) огромный, можно тазами обойтись и работать будет годами, а можно брасов наставить и креши ловить раз в неделю. А может и наоборот всё быть, зависит от размера сети, выбранного железа. ХЗ. Мое видение оптимального дизайна крайне дорогущее, бизнесу оно не нужно, обычно. Я бы делал vpu, агрегацию в мплс кольце и выбросы на брасы по pw. Share this post Link to post Share on other sites
myst Posted October 23 · Report post Вот согласен да. По потребностям. Кои не озвучены. Share this post Link to post Share on other sites
darkagent Posted October 23 · Report post 10 минут назад, vurd сказал: Я бы делал vpu, агрегацию в мплс кольце и выбросы на брасы по pw. это не так дорого как кажется, но есть подводные камни в контексте скейла, ну и чем больше скейл, тем больше подводных камней ) Share this post Link to post Share on other sites
myst Posted October 23 · Report post 9 часов назад, darkagent сказал: это не так дорого как кажется, но есть подводные камни в контексте скейла, ну и чем больше скейл, тем больше подводных камней ) Это не так дорого но часто очень избыточно. Share this post Link to post Share on other sites
