tnega Posted December 12, 2019 Posted December 12, 2019 всем привет. нужен совет. правильно ли мы делаем или нет. используем схему vlan на коммутатор, коммутатор - это какой-то дом или объект. включаем сегментацию на аплинк порт. правильно ли мы делаем оставляя управление в первом vlane на всех коммутаторах ? в первом vlan нет абонентов, только наши железки. как лучше будет? дайте совет пожалуйста. Вставить ник Quote
alibek Posted December 12, 2019 Posted December 12, 2019 vlan 1 использовать не стоит. Вставить ник Quote
tnega Posted December 12, 2019 Author Posted December 12, 2019 Только что, alibek сказал: vlan 1 использовать не стоит. как стоит сделать? почему не стоит? интересно ваше мнение. Вставить ник Quote
fractal Posted December 12, 2019 Posted December 12, 2019 45 минут назад, tnega сказал: как стоит сделать? почему не стоит? интересно ваше мнение. Управление перенести в другой влан, на транковых портах нативный влан использовать любой не задействованный на сети. Вот тут хороший ответ https://networkengineering.stackexchange.com/questions/32737/why-should-the-native-vlan-never-be-used Вставить ник Quote
andryas Posted December 12, 2019 Posted December 12, 2019 Признаюсь, у меня до сих пор 1-й нативный для управления. Пережиток времён, когда были железки, не умеющие управляться на произвольном vlan. Уже лет 10 все железки умеют, но работает - не трогаю. Вставить ник Quote
pppoetest Posted December 12, 2019 Posted December 12, 2019 2 часа назад, alibek сказал: vlan 1 использовать не стоит. +1. Все побежали и я побежал. Когда создавали свой пионернет, хорошо штудировал данный форум(кладезь информации), отсюда и почерпнул сие. Работает, не трогаем. 2 часа назад, fractal сказал: на транковых портах нативный влан использовать любой не задействованный на сети. Лучше вообще дропать неотмеченные фреймы, если железо позволяет. Вставить ник Quote
kuterye Posted December 13, 2019 Posted December 13, 2019 10 часов назад, tnega сказал: управление в первом vlane на всех коммутаторах Есть вероятность флапануть этот влан и потерять всю сеть по управлению. По этому сети и вланы управления лучше делить на несколько частей. Вставить ник Quote
VolanD666 Posted December 13, 2019 Posted December 13, 2019 Я бы убрал управление с 1ого влана. Все потушенные порты+нейтив влан положил бы в блекхол (влан 666). Вставить ник Quote
semop Posted December 13, 2019 Posted December 13, 2019 Один крупный клиент имеющий крутой "парк" управляемого оборудования - работает в 1 влане. Не скупится туда совать и юзерские дела, и ненастроеные свичи и тд. 5 лет назад говорил им, во время штормов и тд, чтоб переехали на другой влан. Забили. В итоге сетка разрослась до такой степени что чтоб переключиться - надо работать по ночам месяц. Хотя по мне, лучше уж месяц потерять чем так и жить на штормах/петлях. Они забили. Так и живут. Стабильно раз в месяц серево в 1 влане у них. Вставить ник Quote
VolanD666 Posted December 13, 2019 Posted December 13, 2019 4 минуты назад, semop сказал: Один крупный клиент имеющий крутой "парк" управляемого оборудования - работает в 1 влане. Не скупится туда совать и юзерские дела, и ненастроеные свичи и тд. 5 лет назад говорил им, во время штормов и тд, чтоб переехали на другой влан. Забили. В итоге сетка разрослась до такой степени что чтоб переключиться - надо работать по ночам месяц. Хотя по мне, лучше уж месяц потерять чем так и жить на штормах/петлях. Они забили. Так и живут. Стабильно раз в месяц серево в 1 влане у них. Если не секрет, можно в личку название? Ну чтобы обходить таких стороной.... Вставить ник Quote
semop Posted December 13, 2019 Posted December 13, 2019 Да ни к чему наверно такая реклама. Они не одни в 1 влане барахтаются у нас. Просто крупные. Любители default vlan на сети еще есть. Они наверно у всех есть. Главное у нас на сети он удален и не используется. Иначе бы давно ой. А начинаешь им предлагать избавиться от него, то говорят что уже все настроено или не охото лезть. Даже если свич один)))) Ну это к примеру заводу продал аксэс порт эзернета, а они воткнули его в свой свич с 1 вланом. Там и компы, там и какой нибудь сервак который инет им раздает и управление. А можно влан создать, если уж так хочется власти управления. Но нет. Я всю эту каку вижу с порта и фильтрую. Унифицированый порт и конфиг свича доступа становится уникальным. Спасибо) Главное же у них работает всё, вот они не лезут наверно) Вставить ник Quote
jffulcrum Posted December 13, 2019 Posted December 13, 2019 Vlan1 использовать не рекомендуется, т.к. а) членство портов в нём по-умолчанию - поленились неактивные порты выключить/перенести в blackhole - поимели потом проблем от мамкиных хакиров б) достаточно часто встречающиеся у вендоров баги с неявным членством портов в vlan1 или особых политик обработки этого vlan - несколько раз сталкивался лично, и у Dlink, и у Cisco (правда, Linksys семейства) . Так что древнее правило всё еще в силе - в vlan1 ресурсов быть не должно! Вставить ник Quote
ALEX_SE Posted December 14, 2019 Posted December 14, 2019 а как же stp и иже с ними при блоке влан 1? Вставить ник Quote
azhur Posted December 14, 2019 Posted December 14, 2019 20 минут назад, ALEX_SE сказал: а как же stp и иже с ними при блоке влан 1? Даже если попадётся железка, режущая вместе с влан 1 нетегированный служебный трафик, это не повод держать в влан 1 что-то кроме этого трафика. Вставить ник Quote
ALEX_SE Posted December 14, 2019 Posted December 14, 2019 иными словами давать его только на аплинках где есть стп но резать на акцессах/гибридах? Вставить ник Quote
ShyLion Posted December 14, 2019 Posted December 14, 2019 28 minutes ago, ALEX_SE said: а как же stp и иже с ними при блоке влан 1? STP, LLDP, LACP и прочие BPDU отправляются на процессор и форвардится впринцепе не должны. Поэтому обычно факт фильтрации первого вилана никак не отражается на участии коммутатора в этих протоколах, если они на нем включены. Как правило. Вставить ник Quote
ALEX_SE Posted December 14, 2019 Posted December 14, 2019 Как правило это очень обобщенно :))) Вставить ник Quote
jffulcrum Posted December 14, 2019 Posted December 14, 2019 Ну не знаю, в транках ставлю нативным vlan с любимым id 63, и все пролезает что должно - LACP, STP и т.п. Вставить ник Quote
tnega Posted December 19, 2019 Author Posted December 19, 2019 в общем, как лучше сделать все же, создать отдельный vlan и перенести туда управление с каждого коммутатора? или все же на каждый коммутатор выделить под управление собственный/отдельный vlan для управления? Вставить ник Quote
pppoetest Posted December 19, 2019 Posted December 19, 2019 34 минуты назад, tnega сказал: в общем, как лучше сделать все же, создать отдельный vlan и перенести туда управление с каждого коммутатора? или все же на каждый коммутатор выделить под управление собственный/отдельный vlan для управления? Менедж влан тоже желательно дробить, если погорит какой-нить порт с этим вланом и начнёт флудить, прилечь может всё управление разом. Вставить ник Quote
dvb2000 Posted December 19, 2019 Posted December 19, 2019 4 hours ago, pppoetest said: Менедж влан тоже желательно дробить, если погорит какой-нить порт с этим вланом и начнёт флудить, прилечь может всё управление разом. А Traffic Storm Control уже совсем запрещается использовать ? Или он больше не практикуется и считается старомодным? Вставить ник Quote
tnega Posted December 19, 2019 Author Posted December 19, 2019 1 час назад, dvb2000 сказал: А Traffic Storm Control уже совсем запрещается использовать ? Или он больше не практикуется и считается старомодным? подскажите пожалуйста оптимальное значение Storm Control, у нас почти везде коммутаторы D-Link. в сети работает и PPPoE сервер и DHCP. storm control везде с одним параметром использовать? только на коммутаторах доступа или везде? если можно поподробнее пожалуйста. Вставить ник Quote
Avad0n Posted December 19, 2019 Posted December 19, 2019 3 часа назад, tnega сказал: подскажите пожалуйста оптимальное значение Storm Control, у нас почти везде коммутаторы D-Link. в сети работает и PPPoE сервер и DHCP. storm control везде с одним параметром использовать? только на коммутаторах доступа или везде? если можно поподробнее пожалуйст Снимите статистику с портов коммутатора и согласно пиков повыставляйте лимиты. Вставить ник Quote
EShirokiy Posted December 19, 2019 Posted December 19, 2019 Управление в дефолте это удобно, дальше своего дома влан управления не идет, навешиваем ip на агрегации и дальше в центр по осфп. Удобно настраивать, воткнул дефолтный свитчи и настроил удалённо. Какие то проблемы с безопасностью высосаны из пальца. Главное не делать большие вланы управления и разделять вланы на абонентские и управления. Вставить ник Quote
dvb2000 Posted December 19, 2019 Posted December 19, 2019 10 hours ago, tnega said: подскажите пожалуйста оптимальное значение Storm Control, у нас почти везде коммутаторы D-Link. в сети работает и PPPoE сервер и DHCP. storm control везде с одним параметром использовать? только на коммутаторах доступа или везде? если можно поподробнее пожалуйста. В каждом конкретном сценарии стоит давать разные ограничения и для разных видов трафик шторма. Например есть места где я настраиваю storm-control broadcast level 20 10 и storm-control multicast level 30 20 . Кроме того стоит взять во внимание и вид акции в случае шторма. Если на access портах стоит применять shutdown, то на uplink портах этого делать не стоит, а нужно только делать drop. Кроме того стоит и следить за счётчиками и отсылать SNMP Trap в случае срабатывания. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.