Перейти к содержимому
Калькуляторы

Нужна помощь в организации сети оператора на Layer3 оборудовании

Коллеги, нужна помощь в изменении конфигурации сети. Сейчас вся сеть построена на layer2, хотели бы перевести в L3. 

Ядро сети Catalyst 6509 клиентские Catalyst 3750. Какие схемы возможно применить для оператора?

 

Изменено пользователем Bozman

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Картинки по запросу cisco core distribution access layer model

 

Да вот это схема подойдет. В вашем случае - нету Core Layer, а на Distrubution Layer сидит 6509. На 6509 на 3 уровне созданы все клиентские сети и сегментированы на 2 уровни с помощью vlan`s, на ней же делаете Access листы, настраиваете протоколы маршрутизации, телефонию- вообщем все, что связано с внутренней сетью. К ней же подключаются L2 свитчи, и к ней же подключен фаервол или маршрутизатор, на котором настроен BGP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот интересно - у всех операторов построена сеть по этой картинке?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 hours ago, myst said:

опять курсовая? =)))

 

Нет, реальная работа по перестроению сети, у нас в принципе так и сделано. Но стоит задача несколько иначе. Используя возможности оборудования Layer3 изолировать клиентов друг от друга, даже на 1 коммутаторе.

Стоит несколько вопросов.

Как будет работать DHCP в данной конфигурации?

Как будут клиенты добираться до шлюза?

Разделение нескольких сел на разные сети, с выходом до узла маршрутизации.

На сегодняшний день клиенты используют для выхода в интернет PPTP протокол, а он подразумевает использование DNS серверов, для необходимости резолвить имя vpn сервера.

Надо не забывать что количество L2 VLAN ограниченно.

Изменено пользователем Bozman

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 минут назад, Bozman сказал:

Как будут клиенты добираться до шлюза? 

а тут уж как вы сделаете. будет ли это терминация на 3750, или решите по какому-нить mpls тащить все в ядро и там разворачивать...

 

5 минут назад, Bozman сказал:

Надо не забывать что количество L2 VLAN ограниченно.

QinQ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

45 minutes ago, NiTr0 said:

а тут уж как вы сделаете. будет ли это терминация на 3750, или решите по какому-нить mpls тащить все в ядро и там разворачивать...

 

QinQ...

Я тоже больше склоняюсь к mpls, опыта работы у меня с ним нет. Теории начитался про использование меток :) но понимания как применить это на действующей сети, пока у меня нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, Bozman сказал:

Нет, реальная работа по перестроению сети, у нас в принципе так и сделано. Но стоит задача несколько иначе. Используя возможности оборудования Layer3 изолировать клиентов друг от друга, даже на 1 коммутаторе.

Стоит несколько вопросов.

Как будет работать DHCP в данной конфигурации?

Как будут клиенты добираться до шлюза?

Разделение нескольких сел на разные сети, с выходом до узла маршрутизации.

На сегодняшний день клиенты используют для выхода в интернет PPTP протокол, а он подразумевает использование DNS серверов, для необходимости резолвить имя vpn сервера.

Надо не забывать что количество L2 VLAN ограниченно.

 

Простите, если вы не понимаете этого может вам обратиться к специалисту?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в сети построенной на каталистах 6509 и 3750 на счет мплс можете не заморачиваться

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

17 часов назад, ks312 сказал:

Картинки по запросу cisco core distribution access layer model

 

Да вот это схема подойдет. В вашем случае - нету Core Layer, а на Distrubution Layer сидит 6509. На 6509 на 3 уровне созданы все клиентские сети и сегментированы на 2 уровни с помощью vlan`s, на ней же делаете Access листы, настраиваете протоколы маршрутизации, телефонию- вообщем все, что связано с внутренней сетью. К ней же подключаются L2 свитчи, и к ней же подключен фаервол или маршрутизатор, на котором настроен BGP.

Схема типичного энтерпрайза.

 

Вопрос тс - какое количество узлов в сети, сколько белых адресов и тд

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 10/20/2019 at 10:20 PM, anatoly said:

в сети построенной на каталистах 6509 и 3750 на счет мплс можете не заморачиваться

Тогда над чем стоит заморочиться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

С описаниям проблемы. Зачем что-то менять? Что работает не так? Что хотите добиться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 hours ago, vurd said:

С описаниям проблемы. Зачем что-то менять? Что работает не так? Что хотите добиться?

Я же написал. У нас сейчас все физики в одном vlan крутятся. Мне бы хотелось их изолировать для внутренних сетей, убрать netbios и прочие атрибуты локальной сетевой активности. Как мне видится, абонент должен авторизовываться на коммутаторе и иметь доступ к сети интернет на наших маршрутизаторах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

что за сеть то у вас? оператор ? энтерпрайз? терминируйте сетки на 3750 и делайте роутинг наверх.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Без вводных и без того что хочется на выходе совершенно ничего сказать невозможно.

 

1 час назад, Bozman сказал:

Я же написал. У нас сейчас все физики в одном vlan крутятся. Мне бы хотелось их изолировать для внутренних сетей, убрать netbios и прочие атрибуты локальной сетевой активности. Как мне видится, абонент должен авторизовываться на коммутаторе и иметь доступ к сети интернет на наших маршрутизаторах.

Для "авторизации на коммутаторе" есть только оно средство  - 802.1х  

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 hour ago, myst said:

Без вводных и без того что хочется на выходе совершенно ничего сказать невозможно.

 

Для "авторизации на коммутаторе" есть только оно средство  - 802.1х  

Наши коммутаторы это умеют, при помощи RADIUS авторизировать клиента на порту. То же обсуждали данный момент, но как бы хотелось использовать еще связку логин и пароль, для доступа к самому интернету. При данной схеме получается, что любой человек придя в подъезд жилого дома подключив ноутбук, будет не санкционировано использовать чужую учетную запись, с вытекающими от сюда последствиями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

15 минут назад, Bozman сказал:

Наши коммутаторы это умеют, при помощи RADIUS авторизировать клиента на порту. То же обсуждали данный момент, но как бы хотелось использовать еще связку логин и пароль, для доступа к самому интернету.

Ну так кто мешает? Используйте.

802.1x не ограничивается авторизацией клиента по MAC или номеру порта, тут вопрос только в том, что умеет ваш доступ, клиенты и ключевая инфраструктура.

EAP это контейнер, а что будет использоваться внутри него, определяется потребностями пользователя и возможностями оборудования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не будет. Это бред админов, которые не осилили ipoe и строили pppoe, пока их не поувольняли всех. На текущий момент архаизм.

Нетбиос фильтруйте на свитчах доступа, на 3750 терминируйте вланы, 65 сделает ядро\бордер. Уот и усё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Переключиться на схему влан-пер-юзер можно ничего не меняя в схеме, потихоньку постепенно...

Выводить доступ на схему звезда. Далее по нарастающей добирать агрегации, объединять в ЛАСП и тд.

 

Ну и в идеале надо заиметь брас и биллинг, если этого нет.

++ биллингатора в штат.

 

Вопщем стремиться к картинке, которая была во втором посте)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 часов назад, vurd сказал:

Не будет. Это бред админов, которые не осилили ipoe и строили pppoe, пока их не поувольняли всех. На текущий момент архаизм.

Нетбиос фильтруйте на свитчах доступа, на 3750 терминируйте вланы, 65 сделает ядро\бордер. Уот и усё.

Зависит от... можно и на 65й вланы терминировать + ip unnumbered + ipoe, один фиг не видя схемы и что хочется это гадание на кофейной гуще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

14 часов назад, myst сказал:

Зависит от... можно и на 65й вланы терминировать + ip unnumbered + ipoe, один фиг не видя схемы и что хочется это гадание на кофейной гуще.

Ну дык я и не претендую) хочется человеку изменений, пускай занимается. Простор для дизайна (и стоимости) огромный, можно тазами обойтись и работать будет годами, а можно брасов наставить и креши ловить раз в неделю. А может и наоборот всё быть, зависит от размера сети, выбранного железа. ХЗ. Мое видение оптимального дизайна крайне дорогущее, бизнесу оно не нужно, обычно. Я бы делал vpu, агрегацию в мплс кольце и выбросы на брасы по pw.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот согласен да. По потребностям. Кои не озвучены.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 минут назад, vurd сказал:

Я бы делал vpu, агрегацию в мплс кольце и выбросы на брасы по pw.

это не так дорого как кажется, но есть подводные камни в контексте скейла, ну и чем больше скейл, тем больше подводных камней )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 часов назад, darkagent сказал:

это не так дорого как кажется, но есть подводные камни в контексте скейла, ну и чем больше скейл, тем больше подводных камней )

Это не так дорого но часто очень избыточно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.