[surgeon]

Всем добрый вечер. Имеется следующая топология

К комутатору ядра подключаются коммутаторы агрегации а потом доступа. Подсети доступа находятся на коммутаторах агрегации. Кол-во коммутаторов агрегации, подключенных на ядро - до 32 планируется

Встал вопрос организации OSPF топологии. Есть два варианта
1. Все коммутаторы агрегации в одном VLAN и коммутатор ядра в качестве DR. Плюсы - экономия vlan и IP, меньше сетей в анонсе. Минусы - OSPF мультикаст летает через все линки и увеличенный броадкастовый домен

2. Каждый коммутатор агрегации подключается отдельным vlan c 30 или 31 маской к комутатору ядра: плюсы - урезанный броадкастовый домен в пределах пары: ядро-агрегация. Минусы - расход vlan и ip

Какуйю из вариантов лучше использовать в данной классической tier-3 топологии? При чем OSPF будет вести себя стабильней?

 

Заранее спасибо

Изменено 24 октября, 2023 пользователем surgeon

[sol]

Работать будет одинаково стабильно.

На мультикаст от OSPF плевать, его там с микроскопом не разглядишь. Как и на броадкаст домен. Чему там броадкастить кроме ARP?

Я бы делал по первому варианту, все в одном вилане. И проще, и нагляднее.

 

 

[surgeon]

@sol спасибо

Забыл добавить, что есть места, где 2-3 коммутатора уровня агрегации могут быть подключены цепочкой. Это удаленные узлы, куда на прямую оптика не дотянется просто. И они все, для OSPF будут в одном VLAN

Изменено 24 октября, 2023 пользователем surgeon

[sol]

21 минуту назад, surgeon сказал:

есть места, где 2-3 коммутатора уровня агрегации могут быть подключены цепочкой.

Да и Б-г с ними. Никому это не помешает.

[VolanD666]

Я бы делал p2p линки между ними. У вас же L3, зачем эти тянущиеся вланы?

[sol]

1 час назад, VolanD666 сказал:

Я бы делал p2p линки между ними. У вас же L3, зачем эти тянущиеся вланы?

А какие это даст плюшки?

[surgeon]

Quote

Я бы делал p2p линки между ними. У вас же L3, зачем эти тянущиеся вланы?

Я, как-бы, тоже за это, но какие плюсы данного подхода? по сравнению с multi-access?

Изменено 25 октября, 2023 пользователем surgeon

[Умник]

Если что-то пойдет не так и в общем VLAN начнется широковещательный шторм, у вас сломается вся агрегация. Это единственный минус, который перечеркивает все плюсы схемы с общим VLAN.

[sol]

32 минуты назад, Умник сказал:

Если что-то пойдет не так и в общем VLAN начнется широковещательный шторм

Ух, как страшно. А расскажите, какая чёрная магия может заставить широковещать торчащие в этот вилан интерфейсы маршрутизаторов.

Ведь кроме них в этот вилан ничего не торчит...

 

 

46 минут назад, surgeon сказал:

но какие плюсы данного подхода

Можно трейсы сделать длинными и красивыми.

[Умник]

2 часа назад, sol сказал:

Ведь кроме них в этот вилан ничего не торчит...

Небольшое уточнение. Не "не торчит", а "не должно торчать". Да, сами по себе, правильно настроенные L3-интерфейсы роутеров не будут амплифицировать этот шторм. Но лучше не исключать возможность человеческих ошибок. Либо должна быть жесткая дисциплина/настройки, чтобы исключить возможность/минимизировать последствия петли на коммутаторе, где будут собираться все маршрутизаторы топик-стартера.

На каком-то IX (уже не помню, каком, но кажется не MSK-IX) лет N назад случалось, что из общего VLAN прилетало десятки тысяч PPS бродкастов в секунду. Хотя, казалось бы, там-то с чего, маршрутизаторы же подключены? Черная магия, не иначе.

[sol]

1 час назад, Умник сказал:

Небольшое уточнение. Не "не торчит", а "не должно торчать". Да, сами по себе, правильно настроенные L3-интерфейсы роутеров не будут амплифицировать этот шторм. Но лучше не исключать возможность человеческих ошибок. Либо должна быть жесткая дисциплина/настройки, чтобы исключить возможность/минимизировать последствия петли на коммутаторе, где будут собираться все маршрутизаторы топик-стартера.

На каком-то IX (уже не помню, каком, но кажется не MSK-IX) лет N назад случалось, что из общего VLAN прилетало десятки тысяч PPS бродкастов в секунду. Хотя, казалось бы, там-то с чего, маршрутизаторы же подключены? Черная магия, не иначе.

Вы сравниваете сфинктер с пальцем.

1. На IXах при куда большем кол-ве роутеров и при куда большем кол-ве администраторов (почти у каждого интерфейса свой админ, да) всё одно общий вилан. Странновастенько... Выходит, схема рабочая.

2. Тут админ один и интерфейсов всего ничего, 32 штуки.

3. Для минимизации последствий петель в 1985 году был придуман протокол STP. Правда, женщиной, но так и мы не сексисты, правда? Отличный протокол. Минимизирует последствия петель мигом. Работает на 6+ по пятибальной шкале.

[Умник]

4 минуты назад, sol сказал:

Странновастенько... Выходит, схема рабочая.

Вы правы, абсолютно рабочая.

 

5 минут назад, sol сказал:

Тут админ один и интерфейсов всего ничего, 32 штуки.

Согласен. В данном случае административный домен и зона ответственности одна. Это радикально снижает вероятность плохих ситуаций в едином VLAN-е, растянутом на значительную площадь (город?), но не исключает их.

 

 

[VolanD666]

А если какой-нибудь железке станет плохо?

 

10 часов назад, sol сказал:

Ух, как страшно. А расскажите, какая чёрная магия может заставить широковещать торчащие в этот вилан интерфейсы маршрутизаторов.

Ведь кроме них в этот вилан ничего не торчит...

Например, если одной железке станет плохо и она начнет лить трафик в этот влан?

 

У ТС L3 устройства. Может тогда и строить L3 схему и следовать этой логике?

[sol]

3 часа назад, VolanD666 сказал:

А если какой-нибудь железке станет плохо?

А если плонетяне прилетят? Как тогда? А если с ума сойдёт "центральный" коммутатор?

3 часа назад, VolanD666 сказал:

У ТС L3 устройства. Может тогда и строить L3 схему и следовать этой логике?

Каким-то дивным способом им. мэтра Сааба при воображаемом L3 соединении пропадает L2 сегмент? А что будет, когда сошедшая с ума железка начнёт в этот p2p линк К ЦЕНТРАЛЬНОМУ устройству лить мегатонны мусора?

[VolanD666]

8 часов назад, sol сказал:

А что будет, когда сошедшая с ума железка начнёт в этот p2p линк К ЦЕНТРАЛЬНОМУ устройству лить мегатонны мусора?

Проблема затронет меньший участок сети и ее легче будет задебажить?

 

8 часов назад, sol сказал:

А если плонетяне прилетят? Как тогда? А если с ума сойдёт "центральный" коммутатор?

В условия "импортозамещения" это не инопланетяне, а реальность.

 

А если так ставить вопрос, тогда может ваще не париться и назначить все порты в один влан и затерминировать их на ядре? Типа L3 устаревшая технология и все дела?

 

С L3 всегда проще. ТС строить сеть на L3, зачем ломать логику? Трудно p2p вланы настроить или что?

[sol]

Достойный последователь Сааба детектед. У того тоже сети строятся "на L3". Сразу. А от первого уровня к третьему данные переходят "как-то так"...

В этой нездоровой логике я не вижу смысла продолжать диалог. Как найдёте L2 между L1 и L3 приходите, подискутируем.

 

 

[surgeon]

Ох, ну и дискуссия тут, пока меня не было. Вот примерно то же самое у меня в голове.  😄
Спасибо всем
 

 

[myst]

@VolanD666 Совершенно согласен. В 21м веке бродкаст домены должны умереть. Л3 как минимум дебажить сильно проще, как и ptp.

[Saab95]

Схема должна быть полностью изолирована. Или разбита сразу на вланы для доступа, либо отдельные каналы.

 

Если все в одном сегменте, даже не ошибка и не поломка оборудования - не забывайте, что сеть, построенная на коммутаторах должна знать, куда передавать данные. В случае отключения каких-то роутеров к ним будет идти поток данных. Но роутер уже отключился, а поток данных еще идет. Мак адреса роутера в сети нет, и трафик разлетается по всей сети, создавая шторм.

[sol]

2 часа назад, Saab95 сказал:

В случае отключения каких-то роутеров к ним будет идти поток данных. Но роутер уже отключился, а поток данных еще идет. Мак адреса роутера в сети нет, и трафик разлетается по всей сети, создавая шторм.

Мэтр, ваша фантазия поражает! Вам бы в писатели идти. Расскажите, как unicast становится broadcast'ом? Что там? Таинственная шина физическая шина, загадочная виртуальная, неправильный чип...

 

В 31.10.2023 в 04:08, myst сказал:

В 21м веке бродкаст домены должны умереть.

ARP отменим и будем задавать соответствие физических адресов адресам третьего уровня вручную? DHCP тоже отменим? Мультикаст похороним?

[Negator]

Работать будет и так и так.

Броадкастовый домен на 30 точек -смешно. Мультикаста там тоже кот наплакал.

Можно всякие traffic control настроить от флуда на всякий случай.

 

Но я бы выбрал вторую схему.

По мне это удобнее и для расширения тоже например. Или вдруг какие резервы захотите сделать.

Отдельными вланами все это делать удобнее.

30 вланов экономить  - ну такое, не особо сэкономишь.

IP линковочные вообще серые - чего их экономить.

[Умник]

Счет в теме 5:1 в пользу L3 (ТС не считал, хотя похоже он склонился к L2).

[sol]

1 час назад, Умник сказал:

Счет в теме 5:1 в пользу L3

Никто пока не смог объяснить механизм возникновения тех угроз, от которых предлагается защищаться строя конструкцию из пачки /30 ПОВЕРХ ВСЁ ТОГО ЖЕ L2.

 

[Saab95]

20 часов назад, sol сказал:

Мэтр, ваша фантазия поражает! Вам бы в писатели идти. Расскажите, как unicast становится broadcast'ом? Что там? Таинственная шина физическая шина, загадочная виртуальная, неправильный чип...

Если коммутатор не знает, где находится мак адрес назначения, он куда пакет станет передавать? Не на все ли порты разом?

 

4 часа назад, sol сказал:

/30 ПОВЕРХ ВСЁ ТОГО ЖЕ L2.

Не надо поверх того же L2 - надо отдельные линки тянуть.

 

Но тут, наверное, ограничение по количеству каналов в центр. Когда где-то на периферии можно кинуть волокно до роутера, а в сторону центра это волокно терминируется на коммутаторе и уже до ядра в одном из вланов идет.

 

С подобной проблемой сталкивались те, кто влан управления использовал. По всей сети его прокидывали=) Но на форуме на вопрос - зачем использовать влан управления, если абонентский трафик и так изолирован во вланах, никто не смог ответить=)

[VolanD666]

5 часов назад, sol сказал:

Никто пока не смог объяснить механизм возникновения тех угроз, от которых предлагается защищаться

Мисконфиг/Глюк железа например

 

5 часов назад, sol сказал:

ПОВЕРХ ВСЁ ТОГО ЖЕ L2.

Не того же, а отдельного bcast домена для каждого p2p линка. Таким образом снижается влияние коммутаторов друг на друга. Не знаю на чем ТС строит сеть, но если на "импортзаме" то это может быть существенным моментом.

 

Но главный аргумент все же в том, что у ТС строится L3 сеть, но где-то будет кусок с растянутым вланом. Зачем так делать, если оборудование позволяет строить L3?