tnega Опубликовано 12 декабря, 2019 · Жалоба всем привет. нужен совет. правильно ли мы делаем или нет. используем схему vlan на коммутатор, коммутатор - это какой-то дом или объект. включаем сегментацию на аплинк порт. правильно ли мы делаем оставляя управление в первом vlane на всех коммутаторах ? в первом vlan нет абонентов, только наши железки. как лучше будет? дайте совет пожалуйста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 12 декабря, 2019 · Жалоба vlan 1 использовать не стоит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tnega Опубликовано 12 декабря, 2019 · Жалоба Только что, alibek сказал: vlan 1 использовать не стоит. как стоит сделать? почему не стоит? интересно ваше мнение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 12 декабря, 2019 · Жалоба 45 минут назад, tnega сказал: как стоит сделать? почему не стоит? интересно ваше мнение. Управление перенести в другой влан, на транковых портах нативный влан использовать любой не задействованный на сети. Вот тут хороший ответ https://networkengineering.stackexchange.com/questions/32737/why-should-the-native-vlan-never-be-used Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andryas Опубликовано 12 декабря, 2019 · Жалоба Признаюсь, у меня до сих пор 1-й нативный для управления. Пережиток времён, когда были железки, не умеющие управляться на произвольном vlan. Уже лет 10 все железки умеют, но работает - не трогаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 12 декабря, 2019 · Жалоба 2 часа назад, alibek сказал: vlan 1 использовать не стоит. +1. Все побежали и я побежал. Когда создавали свой пионернет, хорошо штудировал данный форум(кладезь информации), отсюда и почерпнул сие. Работает, не трогаем. 2 часа назад, fractal сказал: на транковых портах нативный влан использовать любой не задействованный на сети. Лучше вообще дропать неотмеченные фреймы, если железо позволяет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kuterye Опубликовано 13 декабря, 2019 · Жалоба 10 часов назад, tnega сказал: управление в первом vlane на всех коммутаторах Есть вероятность флапануть этот влан и потерять всю сеть по управлению. По этому сети и вланы управления лучше делить на несколько частей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 13 декабря, 2019 · Жалоба Я бы убрал управление с 1ого влана. Все потушенные порты+нейтив влан положил бы в блекхол (влан 666). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
semop Опубликовано 13 декабря, 2019 · Жалоба Один крупный клиент имеющий крутой "парк" управляемого оборудования - работает в 1 влане. Не скупится туда совать и юзерские дела, и ненастроеные свичи и тд. 5 лет назад говорил им, во время штормов и тд, чтоб переехали на другой влан. Забили. В итоге сетка разрослась до такой степени что чтоб переключиться - надо работать по ночам месяц. Хотя по мне, лучше уж месяц потерять чем так и жить на штормах/петлях. Они забили. Так и живут. Стабильно раз в месяц серево в 1 влане у них. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 13 декабря, 2019 · Жалоба 4 минуты назад, semop сказал: Один крупный клиент имеющий крутой "парк" управляемого оборудования - работает в 1 влане. Не скупится туда совать и юзерские дела, и ненастроеные свичи и тд. 5 лет назад говорил им, во время штормов и тд, чтоб переехали на другой влан. Забили. В итоге сетка разрослась до такой степени что чтоб переключиться - надо работать по ночам месяц. Хотя по мне, лучше уж месяц потерять чем так и жить на штормах/петлях. Они забили. Так и живут. Стабильно раз в месяц серево в 1 влане у них. Если не секрет, можно в личку название? Ну чтобы обходить таких стороной.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
semop Опубликовано 13 декабря, 2019 · Жалоба Да ни к чему наверно такая реклама. Они не одни в 1 влане барахтаются у нас. Просто крупные. Любители default vlan на сети еще есть. Они наверно у всех есть. Главное у нас на сети он удален и не используется. Иначе бы давно ой. А начинаешь им предлагать избавиться от него, то говорят что уже все настроено или не охото лезть. Даже если свич один)))) Ну это к примеру заводу продал аксэс порт эзернета, а они воткнули его в свой свич с 1 вланом. Там и компы, там и какой нибудь сервак который инет им раздает и управление. А можно влан создать, если уж так хочется власти управления. Но нет. Я всю эту каку вижу с порта и фильтрую. Унифицированый порт и конфиг свича доступа становится уникальным. Спасибо) Главное же у них работает всё, вот они не лезут наверно) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 13 декабря, 2019 · Жалоба Vlan1 использовать не рекомендуется, т.к. а) членство портов в нём по-умолчанию - поленились неактивные порты выключить/перенести в blackhole - поимели потом проблем от мамкиных хакиров б) достаточно часто встречающиеся у вендоров баги с неявным членством портов в vlan1 или особых политик обработки этого vlan - несколько раз сталкивался лично, и у Dlink, и у Cisco (правда, Linksys семейства) . Так что древнее правило всё еще в силе - в vlan1 ресурсов быть не должно! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ALEX_SE Опубликовано 14 декабря, 2019 · Жалоба а как же stp и иже с ними при блоке влан 1? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azhur Опубликовано 14 декабря, 2019 · Жалоба 20 минут назад, ALEX_SE сказал: а как же stp и иже с ними при блоке влан 1? Даже если попадётся железка, режущая вместе с влан 1 нетегированный служебный трафик, это не повод держать в влан 1 что-то кроме этого трафика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ALEX_SE Опубликовано 14 декабря, 2019 · Жалоба иными словами давать его только на аплинках где есть стп но резать на акцессах/гибридах? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 14 декабря, 2019 · Жалоба 28 minutes ago, ALEX_SE said: а как же stp и иже с ними при блоке влан 1? STP, LLDP, LACP и прочие BPDU отправляются на процессор и форвардится впринцепе не должны. Поэтому обычно факт фильтрации первого вилана никак не отражается на участии коммутатора в этих протоколах, если они на нем включены. Как правило. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ALEX_SE Опубликовано 14 декабря, 2019 · Жалоба Как правило это очень обобщенно :))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 14 декабря, 2019 · Жалоба Ну не знаю, в транках ставлю нативным vlan с любимым id 63, и все пролезает что должно - LACP, STP и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tnega Опубликовано 19 декабря, 2019 · Жалоба в общем, как лучше сделать все же, создать отдельный vlan и перенести туда управление с каждого коммутатора? или все же на каждый коммутатор выделить под управление собственный/отдельный vlan для управления? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 19 декабря, 2019 · Жалоба 34 минуты назад, tnega сказал: в общем, как лучше сделать все же, создать отдельный vlan и перенести туда управление с каждого коммутатора? или все же на каждый коммутатор выделить под управление собственный/отдельный vlan для управления? Менедж влан тоже желательно дробить, если погорит какой-нить порт с этим вланом и начнёт флудить, прилечь может всё управление разом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dvb2000 Опубликовано 19 декабря, 2019 · Жалоба 4 hours ago, pppoetest said: Менедж влан тоже желательно дробить, если погорит какой-нить порт с этим вланом и начнёт флудить, прилечь может всё управление разом. А Traffic Storm Control уже совсем запрещается использовать ? Или он больше не практикуется и считается старомодным? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tnega Опубликовано 19 декабря, 2019 · Жалоба 1 час назад, dvb2000 сказал: А Traffic Storm Control уже совсем запрещается использовать ? Или он больше не практикуется и считается старомодным? подскажите пожалуйста оптимальное значение Storm Control, у нас почти везде коммутаторы D-Link. в сети работает и PPPoE сервер и DHCP. storm control везде с одним параметром использовать? только на коммутаторах доступа или везде? если можно поподробнее пожалуйста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Avad0n Опубликовано 19 декабря, 2019 · Жалоба 3 часа назад, tnega сказал: подскажите пожалуйста оптимальное значение Storm Control, у нас почти везде коммутаторы D-Link. в сети работает и PPPoE сервер и DHCP. storm control везде с одним параметром использовать? только на коммутаторах доступа или везде? если можно поподробнее пожалуйст Снимите статистику с портов коммутатора и согласно пиков повыставляйте лимиты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 19 декабря, 2019 · Жалоба Управление в дефолте это удобно, дальше своего дома влан управления не идет, навешиваем ip на агрегации и дальше в центр по осфп. Удобно настраивать, воткнул дефолтный свитчи и настроил удалённо. Какие то проблемы с безопасностью высосаны из пальца. Главное не делать большие вланы управления и разделять вланы на абонентские и управления. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dvb2000 Опубликовано 19 декабря, 2019 · Жалоба 10 hours ago, tnega said: подскажите пожалуйста оптимальное значение Storm Control, у нас почти везде коммутаторы D-Link. в сети работает и PPPoE сервер и DHCP. storm control везде с одним параметром использовать? только на коммутаторах доступа или везде? если можно поподробнее пожалуйста. В каждом конкретном сценарии стоит давать разные ограничения и для разных видов трафик шторма. Например есть места где я настраиваю storm-control broadcast level 20 10 и storm-control multicast level 30 20 . Кроме того стоит взять во внимание и вид акции в случае шторма. Если на access портах стоит применять shutdown, то на uplink портах этого делать не стоит, а нужно только делать drop. Кроме того стоит и следить за счётчиками и отсылать SNMP Trap в случае срабатывания. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...