Нужна помощь с дизайном кампуса

[vadim555]

Добрый день!

Подготовил схему будущей сети, но возник вопрос по подключению Cisco ASA. Подскажите, пожалуйста, как правильно организовать downlink'и от Cisco ASA в сторону коммутаторов ядра?

CORE-1, CORE2 и Cisco ASA планируется связать по OSPF. Сначала думал объединить 2 интерфейса Cisco ASA (Gi0/0 и Gi0/1) в Bridge Group интерфейс, назначив ему роль INSIDE, но оказалось, что OSPF-протокол не работает с BVI-интерфейсом.

Жизнеспособна ли схема во вложении, когда каждый линк в сторону коммутаторов ядра является линковой сетью L3? Вижу, что будут проблемы с асимметричным роутингом, можно что-то с этим сделать? Или схема в принципе не верна?

 

[jffulcrum]

Всего по два, а ASA одна, смысл?

 

И непонятно, какая цель в двух провайдерах. Это Failover? Или трафик будет по обоим - тогда хорошо бы иметь BGP, а ASA, прямо скажем, в BGP не особо, это не её назначение.  

[Ivan_83]

Цель то всего этого какая?

Оказать услугу, закопать деньги, сдать лабу нудному преподу?

 

Опишите в начале цели и как оно должно работать и мотивацию решений.

 

А для кампуса хватит и обычного роутера с опенврт 🙂

[rz3dwy]

Коммутаторы ядра можно связать vpc,  ASA подключить etherchannel'ом к обоим, включить hsrp. Это зарезервирует и линки от ASA к ядру и сами свитчи ядра. Тот же vpc и на агрегации, но кол-во линков к ядру нужно будет удвоить

Edited February 11, 2025 by rz3dwy

[vadim555]

jffulcrum,

Цитата

Всего по два, а ASA одна, смысл?

ASA тоже две. Работают в режиме Active/Standby. Не стал наносить на схему ASA-Standby, чтобы не перегружать. 

Цитата

И непонятно, какая цель в двух провайдерах. Это Failover?

Через обоих провайдеров ASA держит туннели с центральным офисом (VTI+iBGP)

 

 

Ivan_83,

Цитата

Цель то всего этого какая

Цель - модернизировать кампус, построив его на L3. Замене подлежат коммутаторы уровня ядра и дистрибуции. Верхняя часть - ASA с двумя провайдерами остается на месте. Все, что ниже ASA полежит замене.

 

 

rz3dwy,

Цитата

Коммутаторы ядра можно связать vpc,  ASA подключить etherchannel'ом к обоим, включить hsrp. Это зарезервирует и линки от ASA к ядру и сами свитчи ядра. Тот же vpc и на агрегации, но кол-во линков к ядру нужно будет удвоить

Интересное решение. Линки удвоим, не проблема)) Коммутаторы ядра Huawei как-раз поддерживают MLAG. Стекирование лучше не использовать на ядре? Пользовательские VLAN'ы терминировать на коммутаторах дистрибуции?

Edited February 11, 2025 by vadim555

[sirmax]

15 часов назад, vadim555 сказал:

построив его на L3.

Прошу прощения за сарказм, но щазз @Saab95 вам расскажет как нужно 🙂

(это шутка если что)

[Ivan_83]

17 hours ago, vadim555 said:

Цель - модернизировать кампус

Вот это начало описания, а дальше ненужные технические подробности.

Цель это когда ты описываешь текущее состояние и желаемое, а про железки и какие то л3 это уже потом.

У вас в описании просто тех задание: поменять одну хрень на другую хрень - нахрена - не понятно нихрена 🙂

 

Сколько хостов, какие проблемы решаем?

[vadim555]

Цитата

Вот это начало описания, а дальше ненужные технические подробности.

Текущее состояние: временная сеть построена на паре Cisco ASA в режиме failover (Active/Standby),

ASA подключена к стекируемому ядру (C3750) port-channel линком. Соответственно, на Po интерфейс ASA и назначена роль INSIDE. На ASA настроен NAT для выхода пользователей в Интернет. Также ASA держит VTI туннели с другими филиалами.

К ядру подключены access-коммутаторы L2 с помощью медных линков (около 30 штук). На уровне кампуса настроен статический протокол маршрутизации.

Все работает нормально, проблем нет.

Теперь встала задача избавиться от времянки и сделать сеть более масшатбной. Ко всем 30 access-коммутаторам протянули оптику. Вскоре добавится еще 50 access комутаторов Huawei S5731 с оптическими аплинками.

Чтобы собрать все оптические линки, на уровень дистрибуции планируется установить Huawei S6730-H48X6C (4шт). Уровень дистрибуции будет представлять собой 2 стека. Стек состоит из 2-ух коммутаторов (на схеме для простоты изображен только один стек). На уровне ядра сети планируется пара S6730-H24X6C-V2.

С уровнем доступа и дистрибуции более или менее все понятно. Трудности в новой схеме возникли при стыке L3 ядра к Cisco ASA. Мною был придуман второй INSIDE-интерфейс на Cisco ASA. Сейчас понимаю, что лучше так не делать. Наверное, буду переводить ядро в режим M-LAG (или stack?), чтобы оставить на ASA единственный INSIDE поверх Port-channel. Что скажете?

[Saab95]

В 12.02.2025 в 11:52, vadim555 сказал:

Что скажете?

Поставить микротики для работы еще никто не предлагал в теме?

 

И вообще на схеме сделано не верно - если есть 2 провайдера (канала интернета), то надо делать 2 параллельных ветки движения трафика (как конвеер), от которых уже выходы на оконечное абонентское оборудование, а сейчас сломается одна железка и связи не будет.

[vadim555]

Saab95, добрый день!

Цитата

то надо делать 2 параллельных ветки движения трафика (как конвеер), от которых уже выходы на оконечное абонентское оборудование

А можете немного подробнее рассказать, что в этой схеме нужно изменить на Ваш взгляд? Имеете в виду, что каждый провайдер должен заходить в отдельную ASA/роутер?

Edited February 14, 2025 by vadim555

[Saab95]

Там вверху по центру, где кирпичи нарисованы - этот элемент нужно убрать.

 

От каждого провайдера заказываете по 2 копии канала, каждую копию подключаете в свой роутер.

 

Дальше по схеме и так идут каналы вниз, от которых подключены клиенты.