Bozman Опубликовано 19 октября, 2019 (изменено) · Жалоба Коллеги, нужна помощь в изменении конфигурации сети. Сейчас вся сеть построена на layer2, хотели бы перевести в L3. Ядро сети Catalyst 6509 клиентские Catalyst 3750. Какие схемы возможно применить для оператора? Изменено 19 октября, 2019 пользователем Bozman Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ks312 Опубликовано 20 октября, 2019 · Жалоба Да вот это схема подойдет. В вашем случае - нету Core Layer, а на Distrubution Layer сидит 6509. На 6509 на 3 уровне созданы все клиентские сети и сегментированы на 2 уровни с помощью vlan`s, на ней же делаете Access листы, настраиваете протоколы маршрутизации, телефонию- вообщем все, что связано с внутренней сетью. К ней же подключаются L2 свитчи, и к ней же подключен фаервол или маршрутизатор, на котором настроен BGP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 20 октября, 2019 · Жалоба опять курсовая? =))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RialCom.ru Опубликовано 20 октября, 2019 · Жалоба вот интересно - у всех операторов построена сеть по этой картинке? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bozman Опубликовано 20 октября, 2019 (изменено) · Жалоба 3 hours ago, myst said: опять курсовая? =))) Нет, реальная работа по перестроению сети, у нас в принципе так и сделано. Но стоит задача несколько иначе. Используя возможности оборудования Layer3 изолировать клиентов друг от друга, даже на 1 коммутаторе. Стоит несколько вопросов. Как будет работать DHCP в данной конфигурации? Как будут клиенты добираться до шлюза? Разделение нескольких сел на разные сети, с выходом до узла маршрутизации. На сегодняшний день клиенты используют для выхода в интернет PPTP протокол, а он подразумевает использование DNS серверов, для необходимости резолвить имя vpn сервера. Надо не забывать что количество L2 VLAN ограниченно. Изменено 20 октября, 2019 пользователем Bozman Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 20 октября, 2019 · Жалоба 6 минут назад, Bozman сказал: Как будут клиенты добираться до шлюза? а тут уж как вы сделаете. будет ли это терминация на 3750, или решите по какому-нить mpls тащить все в ядро и там разворачивать... 5 минут назад, Bozman сказал: Надо не забывать что количество L2 VLAN ограниченно. QinQ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bozman Опубликовано 20 октября, 2019 · Жалоба 45 minutes ago, NiTr0 said: а тут уж как вы сделаете. будет ли это терминация на 3750, или решите по какому-нить mpls тащить все в ядро и там разворачивать... QinQ... Я тоже больше склоняюсь к mpls, опыта работы у меня с ним нет. Теории начитался про использование меток :) но понимания как применить это на действующей сети, пока у меня нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 20 октября, 2019 · Жалоба 3 часа назад, Bozman сказал: Нет, реальная работа по перестроению сети, у нас в принципе так и сделано. Но стоит задача несколько иначе. Используя возможности оборудования Layer3 изолировать клиентов друг от друга, даже на 1 коммутаторе. Стоит несколько вопросов. Как будет работать DHCP в данной конфигурации? Как будут клиенты добираться до шлюза? Разделение нескольких сел на разные сети, с выходом до узла маршрутизации. На сегодняшний день клиенты используют для выхода в интернет PPTP протокол, а он подразумевает использование DNS серверов, для необходимости резолвить имя vpn сервера. Надо не забывать что количество L2 VLAN ограниченно. Простите, если вы не понимаете этого может вам обратиться к специалисту? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anatoly Опубликовано 20 октября, 2019 · Жалоба в сети построенной на каталистах 6509 и 3750 на счет мплс можете не заморачиваться Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 20 октября, 2019 · Жалоба 17 часов назад, ks312 сказал: Да вот это схема подойдет. В вашем случае - нету Core Layer, а на Distrubution Layer сидит 6509. На 6509 на 3 уровне созданы все клиентские сети и сегментированы на 2 уровни с помощью vlan`s, на ней же делаете Access листы, настраиваете протоколы маршрутизации, телефонию- вообщем все, что связано с внутренней сетью. К ней же подключаются L2 свитчи, и к ней же подключен фаервол или маршрутизатор, на котором настроен BGP. Схема типичного энтерпрайза. Вопрос тс - какое количество узлов в сети, сколько белых адресов и тд Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bozman Опубликовано 21 октября, 2019 · Жалоба On 10/20/2019 at 10:20 PM, anatoly said: в сети построенной на каталистах 6509 и 3750 на счет мплс можете не заморачиваться Тогда над чем стоит заморочиться? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 21 октября, 2019 · Жалоба С описаниям проблемы. Зачем что-то менять? Что работает не так? Что хотите добиться? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bozman Опубликовано 22 октября, 2019 · Жалоба 12 hours ago, vurd said: С описаниям проблемы. Зачем что-то менять? Что работает не так? Что хотите добиться? Я же написал. У нас сейчас все физики в одном vlan крутятся. Мне бы хотелось их изолировать для внутренних сетей, убрать netbios и прочие атрибуты локальной сетевой активности. Как мне видится, абонент должен авторизовываться на коммутаторе и иметь доступ к сети интернет на наших маршрутизаторах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 22 октября, 2019 · Жалоба что за сеть то у вас? оператор ? энтерпрайз? терминируйте сетки на 3750 и делайте роутинг наверх. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 22 октября, 2019 · Жалоба Без вводных и без того что хочется на выходе совершенно ничего сказать невозможно. 1 час назад, Bozman сказал: Я же написал. У нас сейчас все физики в одном vlan крутятся. Мне бы хотелось их изолировать для внутренних сетей, убрать netbios и прочие атрибуты локальной сетевой активности. Как мне видится, абонент должен авторизовываться на коммутаторе и иметь доступ к сети интернет на наших маршрутизаторах. Для "авторизации на коммутаторе" есть только оно средство - 802.1х Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bozman Опубликовано 22 октября, 2019 · Жалоба 1 hour ago, myst said: Без вводных и без того что хочется на выходе совершенно ничего сказать невозможно. Для "авторизации на коммутаторе" есть только оно средство - 802.1х Наши коммутаторы это умеют, при помощи RADIUS авторизировать клиента на порту. То же обсуждали данный момент, но как бы хотелось использовать еще связку логин и пароль, для доступа к самому интернету. При данной схеме получается, что любой человек придя в подъезд жилого дома подключив ноутбук, будет не санкционировано использовать чужую учетную запись, с вытекающими от сюда последствиями. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 22 октября, 2019 · Жалоба 15 минут назад, Bozman сказал: Наши коммутаторы это умеют, при помощи RADIUS авторизировать клиента на порту. То же обсуждали данный момент, но как бы хотелось использовать еще связку логин и пароль, для доступа к самому интернету. Ну так кто мешает? Используйте. 802.1x не ограничивается авторизацией клиента по MAC или номеру порта, тут вопрос только в том, что умеет ваш доступ, клиенты и ключевая инфраструктура. EAP это контейнер, а что будет использоваться внутри него, определяется потребностями пользователя и возможностями оборудования. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 22 октября, 2019 · Жалоба Не будет. Это бред админов, которые не осилили ipoe и строили pppoe, пока их не поувольняли всех. На текущий момент архаизм. Нетбиос фильтруйте на свитчах доступа, на 3750 терминируйте вланы, 65 сделает ядро\бордер. Уот и усё. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
semop Опубликовано 22 октября, 2019 · Жалоба Переключиться на схему влан-пер-юзер можно ничего не меняя в схеме, потихоньку постепенно... Выводить доступ на схему звезда. Далее по нарастающей добирать агрегации, объединять в ЛАСП и тд. Ну и в идеале надо заиметь брас и биллинг, если этого нет. ++ биллингатора в штат. Вопщем стремиться к картинке, которая была во втором посте) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 22 октября, 2019 · Жалоба 8 часов назад, vurd сказал: Не будет. Это бред админов, которые не осилили ipoe и строили pppoe, пока их не поувольняли всех. На текущий момент архаизм. Нетбиос фильтруйте на свитчах доступа, на 3750 терминируйте вланы, 65 сделает ядро\бордер. Уот и усё. Зависит от... можно и на 65й вланы терминировать + ip unnumbered + ipoe, один фиг не видя схемы и что хочется это гадание на кофейной гуще. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 23 октября, 2019 · Жалоба 14 часов назад, myst сказал: Зависит от... можно и на 65й вланы терминировать + ip unnumbered + ipoe, один фиг не видя схемы и что хочется это гадание на кофейной гуще. Ну дык я и не претендую) хочется человеку изменений, пускай занимается. Простор для дизайна (и стоимости) огромный, можно тазами обойтись и работать будет годами, а можно брасов наставить и креши ловить раз в неделю. А может и наоборот всё быть, зависит от размера сети, выбранного железа. ХЗ. Мое видение оптимального дизайна крайне дорогущее, бизнесу оно не нужно, обычно. Я бы делал vpu, агрегацию в мплс кольце и выбросы на брасы по pw. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 23 октября, 2019 · Жалоба Вот согласен да. По потребностям. Кои не озвучены. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 23 октября, 2019 · Жалоба 10 минут назад, vurd сказал: Я бы делал vpu, агрегацию в мплс кольце и выбросы на брасы по pw. это не так дорого как кажется, но есть подводные камни в контексте скейла, ну и чем больше скейл, тем больше подводных камней ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 23 октября, 2019 · Жалоба 9 часов назад, darkagent сказал: это не так дорого как кажется, но есть подводные камни в контексте скейла, ну и чем больше скейл, тем больше подводных камней ) Это не так дорого но часто очень избыточно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...