[tnega]

всем привет.

 

нужен совет.

 

правильно ли мы делаем или нет.

 

используем схему vlan на коммутатор, коммутатор - это какой-то дом или объект. включаем сегментацию на аплинк порт.

 

правильно ли мы делаем оставляя управление в первом vlane на всех коммутаторах ?

в первом vlan нет абонентов, только наши железки.

 

как лучше будет? дайте совет пожалуйста.

 

[alibek]

vlan 1 использовать не стоит.

[tnega]

Только что, alibek сказал:

vlan 1 использовать не стоит.

как стоит сделать? почему не стоит? интересно ваше мнение.

[fractal]

45 минут назад, tnega сказал:

как стоит сделать? почему не стоит? интересно ваше мнение.

Управление перенести в другой влан, на транковых портах нативный влан использовать любой не задействованный на сети. Вот тут хороший ответ https://networkengineering.stackexchange.com/questions/32737/why-should-the-native-vlan-never-be-used

[andryas]

Признаюсь, у меня до сих пор 1-й нативный для управления. Пережиток времён, когда были железки, не умеющие управляться на произвольном vlan.

Уже лет 10 все железки умеют, но работает - не трогаю. 

[pppoetest]

2 часа назад, alibek сказал:

vlan 1 использовать не стоит.

+1. Все побежали и я побежал. Когда создавали свой пионернет, хорошо штудировал данный форум(кладезь информации), отсюда и почерпнул сие. Работает, не трогаем.

 

2 часа назад, fractal сказал:

на транковых портах нативный влан использовать любой не задействованный на сети.

Лучше вообще дропать неотмеченные фреймы, если железо позволяет.

[kuterye]

10 часов назад, tnega сказал:

управление в первом vlane на всех коммутаторах

Есть вероятность флапануть этот влан  и потерять всю сеть по управлению. По этому  сети и вланы управления лучше делить на несколько частей.

[VolanD666]

Я бы убрал управление с 1ого влана. Все потушенные порты+нейтив влан положил бы в блекхол (влан 666).

[semop]

Один крупный клиент имеющий крутой "парк" управляемого оборудования - работает в 1 влане.

Не скупится туда совать и юзерские дела, и ненастроеные свичи и тд.

5 лет назад говорил им, во время штормов и тд, чтоб переехали на другой влан. Забили.

В итоге сетка разрослась до такой степени что чтоб переключиться - надо работать по ночам месяц.

 

Хотя по мне, лучше уж месяц потерять чем так и жить на штормах/петлях.

Они забили. Так и живут. Стабильно раз в месяц серево в 1 влане у них.

 

[VolanD666]

4 минуты назад, semop сказал:

Один крупный клиент имеющий крутой "парк" управляемого оборудования - работает в 1 влане.

Не скупится туда совать и юзерские дела, и ненастроеные свичи и тд.

5 лет назад говорил им, во время штормов и тд, чтоб переехали на другой влан. Забили.

В итоге сетка разрослась до такой степени что чтоб переключиться - надо работать по ночам месяц.

 

Хотя по мне, лучше уж месяц потерять чем так и жить на штормах/петлях.

Они забили. Так и живут. Стабильно раз в месяц серево в 1 влане у них.

 

Если не секрет, можно в личку название? Ну чтобы обходить таких стороной....

[semop]

Да ни к чему наверно такая реклама.

Они не одни в 1 влане барахтаются у нас.

Просто крупные. Любители default vlan на сети еще есть. Они наверно у всех есть. Главное у нас на сети он удален и не используется. Иначе бы давно ой.

А начинаешь им предлагать избавиться от него, то говорят что уже все настроено или не охото лезть. Даже если свич один))))

 

Ну это к примеру заводу продал аксэс порт эзернета, а они воткнули его в свой свич с 1 вланом. Там и компы, там и какой нибудь сервак который инет им раздает и управление. А можно влан создать, если уж так хочется власти управления. Но нет.

Я всю эту каку вижу с порта и фильтрую. Унифицированый порт и конфиг свича доступа становится уникальным. Спасибо)

 

Главное же у них работает всё, вот они не лезут наверно)

 

 

 

[jffulcrum]

Vlan1 использовать не рекомендуется, т.к. а) членство портов в нём по-умолчанию - поленились неактивные порты выключить/перенести в blackhole - поимели потом проблем от мамкиных хакиров

б) достаточно часто встречающиеся у вендоров баги с неявным членством портов в vlan1 или особых политик обработки этого vlan - несколько раз сталкивался лично, и у Dlink, и у Cisco (правда, Linksys семейства) . Так что древнее правило всё еще в силе - в vlan1 ресурсов быть не должно!

[ALEX_SE]

а как же stp и иже с ними при блоке влан 1?

[azhur]

20 минут назад, ALEX_SE сказал:

а как же stp и иже с ними при блоке влан 1?

Даже если попадётся железка, режущая вместе с влан 1 нетегированный служебный трафик, это не повод держать в влан 1 что-то кроме этого трафика.

[ALEX_SE]

иными словами давать его только на аплинках где есть стп но резать на акцессах/гибридах?

 

[ShyLion]

28 minutes ago, ALEX_SE said:

а как же stp и иже с ними при блоке влан 1?

STP, LLDP, LACP и прочие BPDU отправляются на процессор и форвардится впринцепе не должны. Поэтому обычно факт фильтрации первого вилана никак не отражается на участии коммутатора в этих протоколах, если они на нем включены. Как правило.

[ALEX_SE]

Как правило это очень обобщенно :)))

[jffulcrum]

Ну не знаю, в транках ставлю нативным vlan с любимым id 63, и все пролезает что должно - LACP, STP и т.п. 

[tnega]

в общем, как лучше сделать все же, создать отдельный vlan и перенести туда управление с каждого коммутатора? или все же на каждый коммутатор выделить под управление собственный/отдельный vlan для управления?

[pppoetest]

34 минуты назад, tnega сказал:

в общем, как лучше сделать все же, создать отдельный vlan и перенести туда управление с каждого коммутатора? или все же на каждый коммутатор выделить под управление собственный/отдельный vlan для управления?

Менедж влан тоже желательно дробить, если погорит какой-нить порт с этим вланом и начнёт флудить, прилечь может всё управление разом.

[dvb2000]

4 hours ago, pppoetest said:

Менедж влан тоже желательно дробить, если погорит какой-нить порт с этим вланом и начнёт флудить, прилечь может всё управление разом.

А Traffic Storm Control уже совсем запрещается использовать ? Или он больше не практикуется и считается старомодным?

 

[tnega]

1 час назад, dvb2000 сказал:

А Traffic Storm Control уже совсем запрещается использовать ? Или он больше не практикуется и считается старомодным?

 

подскажите пожалуйста оптимальное значение Storm Control, у нас почти везде коммутаторы D-Link.

в сети работает и PPPoE сервер и DHCP.

storm control везде с одним параметром использовать? только на коммутаторах доступа или везде?

если можно поподробнее пожалуйста.

[Avad0n]

3 часа назад, tnega сказал:

подскажите пожалуйста оптимальное значение Storm Control, у нас почти везде коммутаторы D-Link.

в сети работает и PPPoE сервер и DHCP.

storm control везде с одним параметром использовать? только на коммутаторах доступа или везде?

если можно поподробнее пожалуйст

Снимите статистику с портов коммутатора  и согласно пиков повыставляйте лимиты. 

[EShirokiy]

Управление в дефолте это удобно, дальше своего дома влан управления не идет, навешиваем ip на агрегации и дальше в центр по осфп. Удобно настраивать, воткнул дефолтный свитчи и настроил удалённо. Какие то проблемы с безопасностью высосаны из пальца. Главное не делать большие вланы управления и разделять вланы на абонентские и управления.

[dvb2000]

10 hours ago, tnega said:

подскажите пожалуйста оптимальное значение Storm Control, у нас почти везде коммутаторы D-Link.

в сети работает и PPPoE сервер и DHCP.

storm control везде с одним параметром использовать? только на коммутаторах доступа или везде?

если можно поподробнее пожалуйста.

В каждом конкретном сценарии стоит давать разные ограничения и для разных видов трафик шторма. Например есть места где я настраиваю storm-control broadcast level 20 10 и storm-control multicast level 30 20 . Кроме того стоит взять во внимание и вид акции в случае шторма. Если на access портах стоит применять shutdown, то на uplink портах этого делать не стоит, а нужно только делать drop. Кроме того стоит и следить за счётчиками и отсылать SNMP Trap в случае срабатывания.