Ограничение кол-ва VLAN-интерфейсов. Как решить?

woodcut · November 15, 2011

Ситуация такая: существует сеть со следующей схемой

[коммутаторы_уровеня_доступа]-------->[коммутатор_ядра]-------OSPF----->[маршрутизатор]------->[интернет]

На коммутаторе ядра сходятся все VLAN'ы и поднятно N vlan-интерфейсов. Для каждого подключения выделена сеть /30. Соответвенно vlan-интерфейс является шлюзом по умолчанию для подключения.

Максимально допустимое число VLAN интерфейсов на свитче- 256(Huawei S5328-EI). Вот это количество у меня закончилось. Пускать нескольких клиентов в один VLAN не хочу.

Какой будет наилучший вариант решения проблемы?

Что я думаю:

1) Поставить второй свитч. Но проблема появится снова в будущем.

2) Вынести все VLAN-интерфейсы на маршрутизатор, который поддерживает 3К таких интерфейсов. Чем это может быть чревато?

3) Свитч поддерживает VRF, советовали копать в этом направлении, но что-то я не понимаю, как это может помочь.

4) Заменить свитч на какой-нибудь получше?

В общем буду признателен за любые советы и мнения по этому вопросу.

GFORGX · November 15, 2011

А сколько клиентов? Сейчас? Планируется?

woodcut · November 15, 2011

Сейчас ~250, через год планируется около 1000.

StSphinx · November 15, 2011

Ситуация такая: существует сеть со следующей схемой

[коммутаторы_уровеня_доступа]-------->[коммутатор_ядра]-------OSPF----->[маршрутизатор]------->[интернет]

На коммутаторе ядра сходятся все VLAN'ы и поднятно N vlan-интерфейсов. Для каждого подключения выделена сеть /30. Соответвенно vlan-интерфейс является шлюзом по умолчанию для подключения.

Максимально допустимое число VLAN интерфейсов на свитче- 256(Huawei S5328-EI). Вот это количество у меня закончилось. Пускать нескольких клиентов в один VLAN не хочу.

Какой будет наилучший вариант решения проблемы?

Что я думаю:

1) Поставить второй свитч. Но проблема появится снова в будущем.

2) Вынести все VLAN-интерфейсы на маршрутизатор, который поддерживает 3К таких интерфейсов. Чем это может быть чревато?

3) Свитч поддерживает VRF, советовали копать в этом направлении, но что-то я не понимаю, как это может помочь.

4) Заменить свитч на какой-нибудь получше?

В общем буду признателен за любые советы и мнения по этому вопросу.

В рамках того, что у вас уже есть, можно:

1) сделать VLAN/сеть на свич доступа, включить traffic_segmentation(или "как там оно называется" не тех свичах, что у вас на доступе)

2) На S5328(я так понимаю ядром он у вас) с помощью ACL блокировать трафик между клиентами

Но это уже будет "пускать клиентов в один VLAN", что вы так не хотите.

Дятел · November 15, 2011

4) Заменить свитч на какой-нибудь получше?

Для этого нужно знать, какая конфигурация у вашего свича. 24 медных и 2х10Г? или 24 SFP?

bigmanbp · November 15, 2011

У меня следующая схема сети:

[коммутатор_уровня_доступа]---->[магистральный_коммутатор]------>[центральный(ядро)_коммутатор]------>[бордер]------->[интернет]

к одному магистральному_коммутатору подключается до 16-ти коммутаторов_уровня_доступа.

На каждом магистральном_узле 1 или 2 магистральных_коммутатора (прошу прощения за тавтологию).

К центральному(ядро)_коммутатору - 10 магистральных_узлов.

На каждый магистральный_узел у меня выделено четыре Vlan`а/24.

Соответственно на центральном_коммутаторе сходится 40 абонентских Vlan`ов/24 (не считая управляющего Vlan, отдельно Vlan для DHCP и еще один Vlan для белых IP), которые, в свою очередь, являются шлюзами в каждой из своих подсетей.

Количество коммутаторов_уровня_доступа рассчитано таким образом, чтобы суммарное количество портов в одной подсети не превышало 250.

Получается так, что небольшая группа домов (до 8-ми) находится в одной подсети. При чем 50% от суммы квартир этих домов в пределах 250-ти.

В ядре стоит Zyxel XGS-4728F. На данный момент 2000 хомяков. Коммутатор со своей задачей справляется.

Дятел · November 15, 2011

"четыре Vlan`а/24", "40 абонентских Vlan`ов/24"

какая удивительная нотация....

что она означает?

bigmanbp · November 15, 2011

Мало было времени расписывать.

Влан интерфейс с 24-й маской сети.

Дятел · November 16, 2011

о как...

на самом деле проблема woodcut в том, что в ядро сети поставили свич, предназначенный для агрегации. Да и то не понятно, откуда он такой взялся, сейчас на всех железках обычно 4К вланов......

Я бы просто поменял.

terrible · November 16, 2011

IP интерфейсов свич может создать только 256, вот в этом у автора и проблема.

Как сказал Дятел, свич агрегации некошерно ставить в ядро.

bigmanbp · November 16, 2011

А почему автор не хочет расширить подсети до 24-й маски?

Дятел · November 16, 2011

а как это ему поможет?

bigmanbp · November 16, 2011

Видимо мой вопрос, в силу своей формулировки, был понят не так.

Имелось в виду:

Почему автор не хочет пускать нескольких клиентов в один Vlan?

woodcut, вопрос к Вам.

Я к чему спрашиваю: может быть причину, по которой Вы решили разделить абонентов Vlan`ами, можно устранить другим способом?

woodcut · November 17, 2011

Изначально планировалось, что у каждого абонента будет изолированная сеть. ACL - вариант, но некошерный, ибо костыль.

Несколько клиентов в один VLAN пускать не хочу по понятным причинам. Ну, в моём случае очевидно, что неправильно было выбрано железо. 256 интерфейсов для железки L3 - это моветон, просто об этом никто не подумал, и в официальной документации этого нет. Так, что при всех плюсах Huawei у него есть и вот такие детские косяки.

Сейчас будем ставить туда Catalyst 3560 - на нём такого ограничения нет.

Дятел · November 17, 2011

если влан на абонента и циска - то не нужен /30, проще через ip-unnumbered/

3560 - 1000 вланов тока умеет.

я спрашивал про конфигурацию свича не просто так, если нужны 10Г интерфейсы - может быть смотреть на Extreme Networks

woodcut · November 17, 2011

10Г пока не нужны. Используя ip-unnumbered - проще, да. Но когда циски уже не будет хватать, то на замену ей пойдёт уже не циска, а какая-нибудь другая железка. В общем не хочется привязвать конфигурацию к вендору.

Кстати на циске 3560 сгенерил легко 4К VLAN-ов - этого мне хватит ещё надолго.

Впрочем:

Switch#sh idb                                                                                                                                                                    

Maximum number of Software IDBs 6300.

Значит при желании можно и больше.

darkagent · November 17, 2011

Значит при желании можно и больше.

...и моментально встрять в tcam'ах

Дятел · November 17, 2011

Кстати на циске 3560 сгенерил легко 4К VLAN-ов - этого мне хватит ещё надолго.

что-то я теряюсь в догадках.

может, 4К SVI?

а 6300 - это как, если последний допустимый номер влана 4094?

darkagent · November 17, 2011

а 6300 - это как, если последний допустимый номер влана 4094?

loopback интерфейсы ;)

woodcut · November 17, 2011

Ну да :)

В любом случае, 4К - не 256. Интересна позиция вендора, который позиционирует эти девайсы, как альтернативу подобным каталистам.

Дятел · November 17, 2011

гхм....повторю - 3560 затерминит 1000 вланов. дальше - сдохнет.

4К вланов умеет терминить у циско устаревший сап2 или ещё выпускающийся сап32

woodcut · November 17, 2011

Почему сдохнет?

Дятел · November 17, 2011

потому что в циске не дураки работают )))

они чётко выстраивают характеристики железа под заявленное место оборудованя в пирамиде. И не позволяют свичу с меньшей ценой выполнять функции, доступные на свиче с большей ценой. Ибо тогда никто не будет покупать более дорогой свич )))

mukca · November 17, 2011

3560 - 1000 вланов тока умеет.

че за бред. 4к вланов она умеет и без проблем их прожует. кроме служебных вланов (1000-1005). Скорее она сдохнет от большого количества маков или маршрутов.. а может несправитьс с количеством пакетиков :) но не как не от большого количества вланов..

s.lobanov · November 17, 2011

mukca

Вы про L2 вланы или про L3 интерфейсы?

Sign In

Ограничение кол-ва VLAN-интерфейсов. Как решить?

Recommended Posts

woodcut

GFORGX

woodcut

StSphinx

Дятел

bigmanbp

Дятел

bigmanbp

Дятел

terrible

bigmanbp

Дятел

bigmanbp

woodcut

Дятел

woodcut

darkagent

Дятел

darkagent

woodcut

Дятел

woodcut

Дятел

mukca

s.lobanov

Join the conversation