Jump to content

Все вланы на все порты. Плюсы и минусы.

12root12
 Share

Recommended Posts

12root12

12root12

Posted
Posted

Собственно появился у нас один наголову умный начальник.

 

Схема:

L3 -> l2-агрегатор -> l2 свитч на доме. -> л2 свитч в соседнем подъезде

 

В данный момент на порт Л3 в который воткнут Л2 агрегатор прокинуты транком только необходимые вланы (порядка 512).

Далее на каждый порт Л2 агрегатора прокинуты вланы только для конкретного дома. И т.д.

 

Требуют на порты Л3 прокинуть весь возможный диапазон вланов 10-4096.

(2-9 исполюзуються как магистральные).

На л2 агрегаторе прокинуть все вланы на все порты.

на л2 свитче на доме сделать только нужные вланы

на л2 свитче в соседнем подъезде опять же разрешить все во все стороны на аплинке.

 

Собственно нужна помощь чтоб аргументированно объяснить человеку что ненадо так делать.

Заранее спасибо.

darkagent

darkagent

Posted
Posted (edited)

пожалуй единственный аргумент в пользу идеи вашего начальника - включение MSTP, для которого как бы на всех устройствах должна быть единая конфигурация вланов.

однако на практике и оно не нужно.

доводы против такой идеи:

- не все коммутаторы переваривают "много" вланов. особенно если они все активны.

- каждый активный влан - доп. броадкаст потоки, которые или чем то резать, или не допускать изначально, иначе лить будут по всем железкам.

- в случае возникновения штормов в одной точке сети, колбасить будет всю сеть.

- если сеть не на cisco catalyst, а на бюджетных dlink des / edgecore - получите кучу гемороя со spanning tree в случае возникновения каких либо колец, или же если кто то из пользователей одного влана тупым свитчом скросируется с пользователем другого влана.

 

 

...

если хотите аргументировать жестко, прокиньте все вланы до порта на котором подключен ваш начальник, а его подключите через wifi точку доступа с этого порта, и по этим вланам разведите домовые сетки и уберите (если есть) фильтры netbios'а и броадкаста. после того как у него перестанут открываться страницы, думаю, он сам откажется от этой затеи.

Edited by darkagent
vIv

vIv

Posted
Posted

Требуют на порты Л3 прокинуть весь возможный диапазон вланов 10-4096.

А там есть столько? И все терминирует? Модель?

Nafanya

Nafanya

Posted
Posted
- каждый активный влан - доп. броадкаст потоки, которые или чем то резать, или не допускать изначально, иначе лить будут по всем железкам.
какие ещё "броадкаст потоки"?
- в случае возникновения штормов в одной точке сети, колбасить будет всю сеть.
непонятная фраза
- если сеть не на cisco catalyst, а на бюджетных dlink des / edgecore - получите кучу гемороя со spanning tree в случае возникновения каких либо колец, или же если кто то из пользователей одного влана тупым свитчом скросируется с пользователем другого влана.

Loopback detect одинаково хорошо отрабатывает как Cisco так и Dlink

 

 

если хотите аргументировать жестко, прокиньте все вланы до порта на котором подключен ваш начальник, а его подключите через wifi точку доступа с этого порта, и по этим вланам разведите домовые сетки и уберите (если есть) фильтры netbios'а и броадкаста. после того как у него перестанут открываться страницы, думаю, он сам откажется от этой затеи.
с чего бы им перестать открываться?

 

darkagent

darkagent

Posted
Posted
какие ещё "броадкаст потоки"?
udp : dst 255.255.255.255, к примеру..
Loopback detect одинаково хорошо отрабатывает как Cisco так и Dlink
не одинаково. в лабораторных условиях может вам и покажется что одинаково, а в реальной жизни приходилось мучить саппорт длинков неделями напролет, чтобы хоть понять что вообще в сети происходит, особенно когда в сети разброс разновидностей железа. в отличие от длинка, у циско есть debug, который дает полноту все картинки, а у длинка только (new root/topology change), толку которых как с козла молока..

 

с чего бы им перестать открываться?
вы когда нибудь видели сети >1000 пользователей?

а если там еще и у кого то файловые сервера с netbios?

а если у каждого 10-го абонента wifi точки доступа?

вот когда увидите, тогда вопрос сам по себе отпадет.

tgz

tgz

Posted
Posted

А где аргументация начальника? Хотя судя по всему топология не предусматривает наличие колец, а он просто очередной идиот.

darkagent

darkagent

Posted
Posted
А где аргументация начальника? Хотя судя по всему топология не предусматривает наличие колец, а он просто очередной идиот.
единственное что приходит в голову - автоматизация назначения vlan на группу (например для возможности организации точка-точка или точка-многоточка каналов 2го уровня средствами snmp), но тогда тут имеет смысл ковырять в сторону gvrp/vtp.

 

Nafanya

Nafanya

Posted
Posted
udp : dst 255.255.255.255, к примеру..
сам по себе vlan никаких броадкастовых потоков не создаёт
не одинаково. в лабораторных условиях может вам и покажется что одинаково, а в реальной жизни приходилось мучить саппорт длинков неделями напролет, чтобы хоть понять что вообще в сети происходит, особенно когда в сети разброс разновидностей железа. в отличие от длинка, у циско есть debug, который дает полноту все картинки, а у длинка только (new root/topology change), толку которых как с козла молока..
согласен, есть у dlink минусы и баги, но не о них ведь речь сейчас?.

 

вы когда нибудь видели сети >1000 пользователей?

а если там еще и у кого то файловые сервера с netbios?

а если у каждого 10-го абонента wifi точки доступа?

вот когда увидите, тогда вопрос сам по себе отпадет.

мсье, держащий 1к пользователей в одном броадкастовом домене мазохист и очевидно ошибся с выбором профессии.

 

 

darkagent

darkagent

Posted
Posted
сам по себе vlan никаких броадкастовых потоков не создаёт
когда vlan пустой, то да, но закинь в него хотя бы один компьютер с виндой - броадкаст появится
мсье, держащий 1к пользователей в одном броадкастовом домене мазохист и очевидно ошибся с выбором профессии.
собсна поэтому в соседней теме я отписался что secondary на интерфейсах шлюза делать не хорошо.

хуже конечно когда невозможно всю сеть разом сегментировать, особенно если там исторически на один интерфейс шлюза альясами с десяток /24х масок навешано, а народ не очень шевелится.

в этих случаях теоретически можно разводить ip unnumbered + proxy-arp и потихоньку раскидывать чуть ли не влан на пользователя, но на практике всплывает море подводных камней.

и приходится по старинке - выделил отдельные сетки на каждый сегмент -> перевел абонентов на новые сетки -> инкапсюлировал полностью переведенные сетки в нужные вланы.

и поверьте - если сети 5-10 и более лет, такой дурдом в ней вполне реален. особенно если о сегментировании задумываться начали не более 2-3х лет назад.

 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.