Jump to content
Калькуляторы

Все вланы на все порты. Плюсы и минусы.

Собственно появился у нас один наголову умный начальник.

 

Схема:

L3 -> l2-агрегатор -> l2 свитч на доме. -> л2 свитч в соседнем подъезде

 

В данный момент на порт Л3 в который воткнут Л2 агрегатор прокинуты транком только необходимые вланы (порядка 512).

Далее на каждый порт Л2 агрегатора прокинуты вланы только для конкретного дома. И т.д.

 

Требуют на порты Л3 прокинуть весь возможный диапазон вланов 10-4096.

(2-9 исполюзуються как магистральные).

На л2 агрегаторе прокинуть все вланы на все порты.

на л2 свитче на доме сделать только нужные вланы

на л2 свитче в соседнем подъезде опять же разрешить все во все стороны на аплинке.

 

Собственно нужна помощь чтоб аргументированно объяснить человеку что ненадо так делать.

Заранее спасибо.

Share this post


Link to post
Share on other sites

пожалуй единственный аргумент в пользу идеи вашего начальника - включение MSTP, для которого как бы на всех устройствах должна быть единая конфигурация вланов.

однако на практике и оно не нужно.

доводы против такой идеи:

- не все коммутаторы переваривают "много" вланов. особенно если они все активны.

- каждый активный влан - доп. броадкаст потоки, которые или чем то резать, или не допускать изначально, иначе лить будут по всем железкам.

- в случае возникновения штормов в одной точке сети, колбасить будет всю сеть.

- если сеть не на cisco catalyst, а на бюджетных dlink des / edgecore - получите кучу гемороя со spanning tree в случае возникновения каких либо колец, или же если кто то из пользователей одного влана тупым свитчом скросируется с пользователем другого влана.

 

 

...

если хотите аргументировать жестко, прокиньте все вланы до порта на котором подключен ваш начальник, а его подключите через wifi точку доступа с этого порта, и по этим вланам разведите домовые сетки и уберите (если есть) фильтры netbios'а и броадкаста. после того как у него перестанут открываться страницы, думаю, он сам откажется от этой затеи.

Edited by darkagent

Share this post


Link to post
Share on other sites

Требуют на порты Л3 прокинуть весь возможный диапазон вланов 10-4096.

А там есть столько? И все терминирует? Модель?

Share this post


Link to post
Share on other sites
- каждый активный влан - доп. броадкаст потоки, которые или чем то резать, или не допускать изначально, иначе лить будут по всем железкам.
какие ещё "броадкаст потоки"?
- в случае возникновения штормов в одной точке сети, колбасить будет всю сеть.
непонятная фраза
- если сеть не на cisco catalyst, а на бюджетных dlink des / edgecore - получите кучу гемороя со spanning tree в случае возникновения каких либо колец, или же если кто то из пользователей одного влана тупым свитчом скросируется с пользователем другого влана.

Loopback detect одинаково хорошо отрабатывает как Cisco так и Dlink

 

 

если хотите аргументировать жестко, прокиньте все вланы до порта на котором подключен ваш начальник, а его подключите через wifi точку доступа с этого порта, и по этим вланам разведите домовые сетки и уберите (если есть) фильтры netbios'а и броадкаста. после того как у него перестанут открываться страницы, думаю, он сам откажется от этой затеи.
с чего бы им перестать открываться?

 

Share this post


Link to post
Share on other sites
какие ещё "броадкаст потоки"?
udp : dst 255.255.255.255, к примеру..
Loopback detect одинаково хорошо отрабатывает как Cisco так и Dlink
не одинаково. в лабораторных условиях может вам и покажется что одинаково, а в реальной жизни приходилось мучить саппорт длинков неделями напролет, чтобы хоть понять что вообще в сети происходит, особенно когда в сети разброс разновидностей железа. в отличие от длинка, у циско есть debug, который дает полноту все картинки, а у длинка только (new root/topology change), толку которых как с козла молока..

 

с чего бы им перестать открываться?
вы когда нибудь видели сети >1000 пользователей?

а если там еще и у кого то файловые сервера с netbios?

а если у каждого 10-го абонента wifi точки доступа?

вот когда увидите, тогда вопрос сам по себе отпадет.

Share this post


Link to post
Share on other sites

А где аргументация начальника? Хотя судя по всему топология не предусматривает наличие колец, а он просто очередной идиот.

Share this post


Link to post
Share on other sites
А где аргументация начальника? Хотя судя по всему топология не предусматривает наличие колец, а он просто очередной идиот.
единственное что приходит в голову - автоматизация назначения vlan на группу (например для возможности организации точка-точка или точка-многоточка каналов 2го уровня средствами snmp), но тогда тут имеет смысл ковырять в сторону gvrp/vtp.

 

Share this post


Link to post
Share on other sites
udp : dst 255.255.255.255, к примеру..
сам по себе vlan никаких броадкастовых потоков не создаёт
не одинаково. в лабораторных условиях может вам и покажется что одинаково, а в реальной жизни приходилось мучить саппорт длинков неделями напролет, чтобы хоть понять что вообще в сети происходит, особенно когда в сети разброс разновидностей железа. в отличие от длинка, у циско есть debug, который дает полноту все картинки, а у длинка только (new root/topology change), толку которых как с козла молока..
согласен, есть у dlink минусы и баги, но не о них ведь речь сейчас?.

 

вы когда нибудь видели сети >1000 пользователей?

а если там еще и у кого то файловые сервера с netbios?

а если у каждого 10-го абонента wifi точки доступа?

вот когда увидите, тогда вопрос сам по себе отпадет.

мсье, держащий 1к пользователей в одном броадкастовом домене мазохист и очевидно ошибся с выбором профессии.

 

 

Share this post


Link to post
Share on other sites
сам по себе vlan никаких броадкастовых потоков не создаёт
когда vlan пустой, то да, но закинь в него хотя бы один компьютер с виндой - броадкаст появится
мсье, держащий 1к пользователей в одном броадкастовом домене мазохист и очевидно ошибся с выбором профессии.
собсна поэтому в соседней теме я отписался что secondary на интерфейсах шлюза делать не хорошо.

хуже конечно когда невозможно всю сеть разом сегментировать, особенно если там исторически на один интерфейс шлюза альясами с десяток /24х масок навешано, а народ не очень шевелится.

в этих случаях теоретически можно разводить ip unnumbered + proxy-arp и потихоньку раскидывать чуть ли не влан на пользователя, но на практике всплывает море подводных камней.

и приходится по старинке - выделил отдельные сетки на каждый сегмент -> перевел абонентов на новые сетки -> инкапсюлировал полностью переведенные сетки в нужные вланы.

и поверьте - если сети 5-10 и более лет, такой дурдом в ней вполне реален. особенно если о сегментировании задумываться начали не более 2-3х лет назад.

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this