12root12 Опубликовано 25 декабря, 2009 · Жалоба Собственно появился у нас один наголову умный начальник. Схема: L3 -> l2-агрегатор -> l2 свитч на доме. -> л2 свитч в соседнем подъезде В данный момент на порт Л3 в который воткнут Л2 агрегатор прокинуты транком только необходимые вланы (порядка 512). Далее на каждый порт Л2 агрегатора прокинуты вланы только для конкретного дома. И т.д. Требуют на порты Л3 прокинуть весь возможный диапазон вланов 10-4096. (2-9 исполюзуються как магистральные). На л2 агрегаторе прокинуть все вланы на все порты. на л2 свитче на доме сделать только нужные вланы на л2 свитче в соседнем подъезде опять же разрешить все во все стороны на аплинке. Собственно нужна помощь чтоб аргументированно объяснить человеку что ненадо так делать. Заранее спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 25 декабря, 2009 (изменено) · Жалоба пожалуй единственный аргумент в пользу идеи вашего начальника - включение MSTP, для которого как бы на всех устройствах должна быть единая конфигурация вланов. однако на практике и оно не нужно. доводы против такой идеи: - не все коммутаторы переваривают "много" вланов. особенно если они все активны. - каждый активный влан - доп. броадкаст потоки, которые или чем то резать, или не допускать изначально, иначе лить будут по всем железкам. - в случае возникновения штормов в одной точке сети, колбасить будет всю сеть. - если сеть не на cisco catalyst, а на бюджетных dlink des / edgecore - получите кучу гемороя со spanning tree в случае возникновения каких либо колец, или же если кто то из пользователей одного влана тупым свитчом скросируется с пользователем другого влана. ... если хотите аргументировать жестко, прокиньте все вланы до порта на котором подключен ваш начальник, а его подключите через wifi точку доступа с этого порта, и по этим вланам разведите домовые сетки и уберите (если есть) фильтры netbios'а и броадкаста. после того как у него перестанут открываться страницы, думаю, он сам откажется от этой затеи. Изменено 25 декабря, 2009 пользователем darkagent Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 25 декабря, 2009 · Жалоба Требуют на порты Л3 прокинуть весь возможный диапазон вланов 10-4096. А там есть столько? И все терминирует? Модель? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nafanya Опубликовано 25 декабря, 2009 · Жалоба - каждый активный влан - доп. броадкаст потоки, которые или чем то резать, или не допускать изначально, иначе лить будут по всем железкам.какие ещё "броадкаст потоки"?- в случае возникновения штормов в одной точке сети, колбасить будет всю сеть.непонятная фраза- если сеть не на cisco catalyst, а на бюджетных dlink des / edgecore - получите кучу гемороя со spanning tree в случае возникновения каких либо колец, или же если кто то из пользователей одного влана тупым свитчом скросируется с пользователем другого влана. Loopback detect одинаково хорошо отрабатывает как Cisco так и Dlink если хотите аргументировать жестко, прокиньте все вланы до порта на котором подключен ваш начальник, а его подключите через wifi точку доступа с этого порта, и по этим вланам разведите домовые сетки и уберите (если есть) фильтры netbios'а и броадкаста. после того как у него перестанут открываться страницы, думаю, он сам откажется от этой затеи.с чего бы им перестать открываться? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 26 декабря, 2009 · Жалоба какие ещё "броадкаст потоки"?udp : dst 255.255.255.255, к примеру..Loopback detect одинаково хорошо отрабатывает как Cisco так и Dlinkне одинаково. в лабораторных условиях может вам и покажется что одинаково, а в реальной жизни приходилось мучить саппорт длинков неделями напролет, чтобы хоть понять что вообще в сети происходит, особенно когда в сети разброс разновидностей железа. в отличие от длинка, у циско есть debug, который дает полноту все картинки, а у длинка только (new root/topology change), толку которых как с козла молока.. с чего бы им перестать открываться?вы когда нибудь видели сети >1000 пользователей?а если там еще и у кого то файловые сервера с netbios? а если у каждого 10-го абонента wifi точки доступа? вот когда увидите, тогда вопрос сам по себе отпадет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tgz Опубликовано 26 декабря, 2009 · Жалоба А где аргументация начальника? Хотя судя по всему топология не предусматривает наличие колец, а он просто очередной идиот. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 26 декабря, 2009 · Жалоба А где аргументация начальника? Хотя судя по всему топология не предусматривает наличие колец, а он просто очередной идиот.единственное что приходит в голову - автоматизация назначения vlan на группу (например для возможности организации точка-точка или точка-многоточка каналов 2го уровня средствами snmp), но тогда тут имеет смысл ковырять в сторону gvrp/vtp. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nafanya Опубликовано 26 декабря, 2009 · Жалоба udp : dst 255.255.255.255, к примеру..сам по себе vlan никаких броадкастовых потоков не создаётне одинаково. в лабораторных условиях может вам и покажется что одинаково, а в реальной жизни приходилось мучить саппорт длинков неделями напролет, чтобы хоть понять что вообще в сети происходит, особенно когда в сети разброс разновидностей железа. в отличие от длинка, у циско есть debug, который дает полноту все картинки, а у длинка только (new root/topology change), толку которых как с козла молока..согласен, есть у dlink минусы и баги, но не о них ведь речь сейчас?. вы когда нибудь видели сети >1000 пользователей?а если там еще и у кого то файловые сервера с netbios? а если у каждого 10-го абонента wifi точки доступа? вот когда увидите, тогда вопрос сам по себе отпадет. мсье, держащий 1к пользователей в одном броадкастовом домене мазохист и очевидно ошибся с выбором профессии. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 26 декабря, 2009 · Жалоба сам по себе vlan никаких броадкастовых потоков не создаёткогда vlan пустой, то да, но закинь в него хотя бы один компьютер с виндой - броадкаст появитсямсье, держащий 1к пользователей в одном броадкастовом домене мазохист и очевидно ошибся с выбором профессии.собсна поэтому в соседней теме я отписался что secondary на интерфейсах шлюза делать не хорошо. хуже конечно когда невозможно всю сеть разом сегментировать, особенно если там исторически на один интерфейс шлюза альясами с десяток /24х масок навешано, а народ не очень шевелится. в этих случаях теоретически можно разводить ip unnumbered + proxy-arp и потихоньку раскидывать чуть ли не влан на пользователя, но на практике всплывает море подводных камней. и приходится по старинке - выделил отдельные сетки на каждый сегмент -> перевел абонентов на новые сетки -> инкапсюлировал полностью переведенные сетки в нужные вланы. и поверьте - если сети 5-10 и более лет, такой дурдом в ней вполне реален. особенно если о сегментировании задумываться начали не более 2-3х лет назад. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...