Jump to content
Калькуляторы

Выбор OSPF топологии

Reply to this topic

surgeon   

surgeon
Posted (edited)

Всем добрый вечер. Имеется следующая топология

К комутатору ядра подключаются коммутаторы агрегации а потом доступа. Подсети доступа находятся на коммутаторах агрегации. Кол-во коммутаторов агрегации, подключенных на ядро - до 32 планируется

Встал вопрос организации OSPF топологии. Есть два варианта
1. Все коммутаторы агрегации в одном VLAN и коммутатор ядра в качестве DR. Плюсы - экономия vlan и IP, меньше сетей в анонсе. Минусы - OSPF мультикаст летает через все линки и увеличенный броадкастовый домен

2. Каждый коммутатор агрегации подключается отдельным vlan c 30 или 31 маской к комутатору ядра: плюсы - урезанный броадкастовый домен в пределах пары: ядро-агрегация. Минусы - расход vlan и ip

Какуйю из вариантов лучше использовать в данной классической tier-3 топологии? При чем OSPF будет вести себя стабильней?

 

Заранее спасибо

Edited by surgeon

Share this post

Link to post
Share on other sites

sol   

sol
Posted

Работать будет одинаково стабильно.

На мультикаст от OSPF плевать, его там с микроскопом не разглядишь. Как и на броадкаст домен. Чему там броадкастить кроме ARP?

Я бы делал по первому варианту, все в одном вилане. И проще, и нагляднее.

 

 

Share this post

Link to post
Share on other sites

surgeon   

surgeon
Posted (edited)

@sol спасибо

Забыл добавить, что есть места, где 2-3 коммутатора уровня агрегации могут быть подключены цепочкой. Это удаленные узлы, куда на прямую оптика не дотянется просто. И они все, для OSPF будут в одном VLAN

Edited by surgeon

Share this post

Link to post
Share on other sites

sol   

sol
Posted
21 минуту назад, surgeon сказал:

есть места, где 2-3 коммутатора уровня агрегации могут быть подключены цепочкой.

Да и Б-г с ними. Никому это не помешает.

Share this post

Link to post
Share on other sites

sol   

sol
Posted
1 час назад, VolanD666 сказал:

Я бы делал p2p линки между ними. У вас же L3, зачем эти тянущиеся вланы?

А какие это даст плюшки?

Share this post

Link to post
Share on other sites

surgeon   

surgeon
Posted (edited)
Quote

Я бы делал p2p линки между ними. У вас же L3, зачем эти тянущиеся вланы?

Я, как-бы, тоже за это, но какие плюсы данного подхода? по сравнению с multi-access?

Edited by surgeon

Share this post

Link to post
Share on other sites

Умник   

Умник
Posted

Если что-то пойдет не так и в общем VLAN начнется широковещательный шторм, у вас сломается вся агрегация. Это единственный минус, который перечеркивает все плюсы схемы с общим VLAN.

Share this post

Link to post
Share on other sites

sol   

sol
Posted
32 минуты назад, Умник сказал:

Если что-то пойдет не так и в общем VLAN начнется широковещательный шторм

Ух, как страшно. А расскажите, какая чёрная магия может заставить широковещать торчащие в этот вилан интерфейсы маршрутизаторов.

Ведь кроме них в этот вилан ничего не торчит...

 

 

46 минут назад, surgeon сказал:

но какие плюсы данного подхода

Можно трейсы сделать длинными и красивыми.

Share this post

Link to post
Share on other sites

Умник   

Умник
Posted
2 часа назад, sol сказал:

Ведь кроме них в этот вилан ничего не торчит...

Небольшое уточнение. Не "не торчит", а "не должно торчать". Да, сами по себе, правильно настроенные L3-интерфейсы роутеров не будут амплифицировать этот шторм. Но лучше не исключать возможность человеческих ошибок. Либо должна быть жесткая дисциплина/настройки, чтобы исключить возможность/минимизировать последствия петли на коммутаторе, где будут собираться все маршрутизаторы топик-стартера.

На каком-то IX (уже не помню, каком, но кажется не MSK-IX) лет N назад случалось, что из общего VLAN прилетало десятки тысяч PPS бродкастов в секунду. Хотя, казалось бы, там-то с чего, маршрутизаторы же подключены? Черная магия, не иначе.

Share this post

Link to post
Share on other sites

sol   

sol
Posted
1 час назад, Умник сказал:

Небольшое уточнение. Не "не торчит", а "не должно торчать". Да, сами по себе, правильно настроенные L3-интерфейсы роутеров не будут амплифицировать этот шторм. Но лучше не исключать возможность человеческих ошибок. Либо должна быть жесткая дисциплина/настройки, чтобы исключить возможность/минимизировать последствия петли на коммутаторе, где будут собираться все маршрутизаторы топик-стартера.

На каком-то IX (уже не помню, каком, но кажется не MSK-IX) лет N назад случалось, что из общего VLAN прилетало десятки тысяч PPS бродкастов в секунду. Хотя, казалось бы, там-то с чего, маршрутизаторы же подключены? Черная магия, не иначе.

Вы сравниваете сфинктер с пальцем.

1. На IXах при куда большем кол-ве роутеров и при куда большем кол-ве администраторов (почти у каждого интерфейса свой админ, да) всё одно общий вилан. Странновастенько... Выходит, схема рабочая.

2. Тут админ один и интерфейсов всего ничего, 32 штуки.

3. Для минимизации последствий петель в 1985 году был придуман протокол STP. Правда, женщиной, но так и мы не сексисты, правда? Отличный протокол. Минимизирует последствия петель мигом. Работает на 6+ по пятибальной шкале.

Share this post

Link to post
Share on other sites

Умник   

Умник
Posted
4 минуты назад, sol сказал:

Странновастенько... Выходит, схема рабочая.

Вы правы, абсолютно рабочая.

 

5 минут назад, sol сказал:

Тут админ один и интерфейсов всего ничего, 32 штуки.

Согласен. В данном случае административный домен и зона ответственности одна. Это радикально снижает вероятность плохих ситуаций в едином VLAN-е, растянутом на значительную площадь (город?), но не исключает их.

 

 

Share this post

Link to post
Share on other sites

VolanD666   

VolanD666
Posted

А если какой-нибудь железке станет плохо?

 

10 часов назад, sol сказал:

Ух, как страшно. А расскажите, какая чёрная магия может заставить широковещать торчащие в этот вилан интерфейсы маршрутизаторов.

Ведь кроме них в этот вилан ничего не торчит...

Например, если одной железке станет плохо и она начнет лить трафик в этот влан?

 

У ТС L3 устройства. Может тогда и строить L3 схему и следовать этой логике?

Share this post

Link to post
Share on other sites

sol   

sol
Posted
3 часа назад, VolanD666 сказал:

А если какой-нибудь железке станет плохо?

А если плонетяне прилетят? Как тогда? А если с ума сойдёт "центральный" коммутатор?

3 часа назад, VolanD666 сказал:

У ТС L3 устройства. Может тогда и строить L3 схему и следовать этой логике?

Каким-то дивным способом им. мэтра Сааба при воображаемом L3 соединении пропадает L2 сегмент? А что будет, когда сошедшая с ума железка начнёт в этот p2p линк К ЦЕНТРАЛЬНОМУ устройству лить мегатонны мусора?

Share this post

Link to post
Share on other sites

VolanD666   

VolanD666
Posted
8 часов назад, sol сказал:

А что будет, когда сошедшая с ума железка начнёт в этот p2p линк К ЦЕНТРАЛЬНОМУ устройству лить мегатонны мусора?

Проблема затронет меньший участок сети и ее легче будет задебажить?

 

8 часов назад, sol сказал:

А если плонетяне прилетят? Как тогда? А если с ума сойдёт "центральный" коммутатор?

В условия "импортозамещения" это не инопланетяне, а реальность.

 

А если так ставить вопрос, тогда может ваще не париться и назначить все порты в один влан и затерминировать их на ядре? Типа L3 устаревшая технология и все дела?

 

С L3 всегда проще. ТС строить сеть на L3, зачем ломать логику? Трудно p2p вланы настроить или что?

Share this post

Link to post
Share on other sites

sol   

sol
Posted

Достойный последователь Сааба детектед. У того тоже сети строятся "на L3". Сразу. А от первого уровня к третьему данные переходят "как-то так"...

В этой нездоровой логике я не вижу смысла продолжать диалог. Как найдёте L2 между L1 и L3 приходите, подискутируем.

 

 

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted

Схема должна быть полностью изолирована. Или разбита сразу на вланы для доступа, либо отдельные каналы.

 

Если все в одном сегменте, даже не ошибка и не поломка оборудования - не забывайте, что сеть, построенная на коммутаторах должна знать, куда передавать данные. В случае отключения каких-то роутеров к ним будет идти поток данных. Но роутер уже отключился, а поток данных еще идет. Мак адреса роутера в сети нет, и трафик разлетается по всей сети, создавая шторм.

Share this post

Link to post
Share on other sites

sol   

sol
Posted
2 часа назад, Saab95 сказал:

В случае отключения каких-то роутеров к ним будет идти поток данных. Но роутер уже отключился, а поток данных еще идет. Мак адреса роутера в сети нет, и трафик разлетается по всей сети, создавая шторм.

Мэтр, ваша фантазия поражает! Вам бы в писатели идти. Расскажите, как unicast становится broadcast'ом? Что там? Таинственная шина физическая шина, загадочная виртуальная, неправильный чип...

 

В 31.10.2023 в 04:08, myst сказал:

В 21м веке бродкаст домены должны умереть.

ARP отменим и будем задавать соответствие физических адресов адресам третьего уровня вручную? DHCP тоже отменим? Мультикаст похороним?

Share this post

Link to post
Share on other sites

Negator   

Negator
Posted

Работать будет и так и так.

Броадкастовый домен на 30 точек -смешно. Мультикаста там тоже кот наплакал.

Можно всякие traffic control настроить от флуда на всякий случай.

 

Но я бы выбрал вторую схему.

По мне это удобнее и для расширения тоже например. Или вдруг какие резервы захотите сделать.

Отдельными вланами все это делать удобнее.

30 вланов экономить  - ну такое, не особо сэкономишь.

IP линковочные вообще серые - чего их экономить.

Share this post

Link to post
Share on other sites

sol   

sol
Posted
1 час назад, Умник сказал:

Счет в теме 5:1 в пользу L3

Никто пока не смог объяснить механизм возникновения тех угроз, от которых предлагается защищаться строя конструкцию из пачки /30 ПОВЕРХ ВСЁ ТОГО ЖЕ L2.

 

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted
20 часов назад, sol сказал:

Мэтр, ваша фантазия поражает! Вам бы в писатели идти. Расскажите, как unicast становится broadcast'ом? Что там? Таинственная шина физическая шина, загадочная виртуальная, неправильный чип...

Если коммутатор не знает, где находится мак адрес назначения, он куда пакет станет передавать? Не на все ли порты разом?

 

4 часа назад, sol сказал:

/30 ПОВЕРХ ВСЁ ТОГО ЖЕ L2.

Не надо поверх того же L2 - надо отдельные линки тянуть.

 

Но тут, наверное, ограничение по количеству каналов в центр. Когда где-то на периферии можно кинуть волокно до роутера, а в сторону центра это волокно терминируется на коммутаторе и уже до ядра в одном из вланов идет.

 

С подобной проблемой сталкивались те, кто влан управления использовал. По всей сети его прокидывали=) Но на форуме на вопрос - зачем использовать влан управления, если абонентский трафик и так изолирован во вланах, никто не смог ответить=)

Share this post

Link to post
Share on other sites

VolanD666   

VolanD666
Posted
5 часов назад, sol сказал:

Никто пока не смог объяснить механизм возникновения тех угроз, от которых предлагается защищаться

Мисконфиг/Глюк железа например

 

5 часов назад, sol сказал:

ПОВЕРХ ВСЁ ТОГО ЖЕ L2.

Не того же, а отдельного bcast домена для каждого p2p линка. Таким образом снижается влияние коммутаторов друг на друга. Не знаю на чем ТС строит сеть, но если на "импортзаме" то это может быть существенным моментом.

 

Но главный аргумент все же в том, что у ТС строится L3 сеть, но где-то будет кусок с растянутым вланом. Зачем так делать, если оборудование позволяет строить L3? 

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...