[woodcut]

Ситуация такая: существует сеть со следующей схемой

 

[коммутаторы_уровеня_доступа]-------->[коммутатор_ядра]-------OSPF----->[маршрутизатор]------->[интернет]

 

 

На коммутаторе ядра сходятся все VLAN'ы и поднятно N vlan-интерфейсов. Для каждого подключения выделена сеть /30. Соответвенно vlan-интерфейс является шлюзом по умолчанию для подключения.

Максимально допустимое число VLAN интерфейсов на свитче- 256(Huawei S5328-EI). Вот это количество у меня закончилось. Пускать нескольких клиентов в один VLAN не хочу.

Какой будет наилучший вариант решения проблемы?

Что я думаю:

 

1) Поставить второй свитч. Но проблема появится снова в будущем.

2) Вынести все VLAN-интерфейсы на маршрутизатор, который поддерживает 3К таких интерфейсов. Чем это может быть чревато?

3) Свитч поддерживает VRF, советовали копать в этом направлении, но что-то я не понимаю, как это может помочь.

4) Заменить свитч на какой-нибудь получше?

 

В общем буду признателен за любые советы и мнения по этому вопросу.

[GFORGX]

А сколько клиентов? Сейчас? Планируется?

[woodcut]

Сейчас ~250, через год планируется около 1000.

[StSphinx]

Ситуация такая: существует сеть со следующей схемой

 

[коммутаторы_уровеня_доступа]-------->[коммутатор_ядра]-------OSPF----->[маршрутизатор]------->[интернет]

 

 

На коммутаторе ядра сходятся все VLAN'ы и поднятно N vlan-интерфейсов. Для каждого подключения выделена сеть /30. Соответвенно vlan-интерфейс является шлюзом по умолчанию для подключения.

Максимально допустимое число VLAN интерфейсов на свитче- 256(Huawei S5328-EI). Вот это количество у меня закончилось. Пускать нескольких клиентов в один VLAN не хочу.

Какой будет наилучший вариант решения проблемы?

Что я думаю:

 

1) Поставить второй свитч. Но проблема появится снова в будущем.

2) Вынести все VLAN-интерфейсы на маршрутизатор, который поддерживает 3К таких интерфейсов. Чем это может быть чревато?

3) Свитч поддерживает VRF, советовали копать в этом направлении, но что-то я не понимаю, как это может помочь.

4) Заменить свитч на какой-нибудь получше?

 

В общем буду признателен за любые советы и мнения по этому вопросу.

 

В рамках того, что у вас уже есть, можно:

1) сделать VLAN/сеть на свич доступа, включить traffic_segmentation(или "как там оно называется" не тех свичах, что у вас на доступе)

2) На S5328(я так понимаю ядром он у вас) с помощью ACL блокировать трафик между клиентами

Но это уже будет "пускать клиентов в один VLAN", что вы так не хотите.

[Дятел]

4) Заменить свитч на какой-нибудь получше?

 

Для этого нужно знать, какая конфигурация у вашего свича. 24 медных и 2х10Г? или 24 SFP?

[bigmanbp]

У меня следующая схема сети:

[коммутатор_уровня_доступа]---->[магистральный_коммутатор]------>[центральный(ядро)_коммутатор]------>[бордер]------->[интернет]

к одному магистральному_коммутатору подключается до 16-ти коммутаторов_уровня_доступа.

На каждом магистральном_узле 1 или 2 магистральных_коммутатора (прошу прощения за тавтологию).

К центральному(ядро)_коммутатору - 10 магистральных_узлов.

На каждый магистральный_узел у меня выделено четыре Vlan`а/24.

Соответственно на центральном_коммутаторе сходится 40 абонентских Vlan`ов/24 (не считая управляющего Vlan, отдельно Vlan для DHCP и еще один Vlan для белых IP), которые, в свою очередь, являются шлюзами в каждой из своих подсетей.

Количество коммутаторов_уровня_доступа рассчитано таким образом, чтобы суммарное количество портов в одной подсети не превышало 250.

Получается так, что небольшая группа домов (до 8-ми) находится в одной подсети. При чем 50% от суммы квартир этих домов в пределах 250-ти.

В ядре стоит Zyxel XGS-4728F. На данный момент 2000 хомяков. Коммутатор со своей задачей справляется.

[Дятел]

"четыре Vlan`а/24", "40 абонентских Vlan`ов/24"

какая удивительная нотация....

что она означает?

[bigmanbp]

Мало было времени расписывать.

Влан интерфейс с 24-й маской сети.

[Дятел]

о как...

на самом деле проблема woodcut в том, что в ядро сети поставили свич, предназначенный для агрегации. Да и то не понятно, откуда он такой взялся, сейчас на всех железках обычно 4К вланов......

 

Я бы просто поменял.

[terrible]

IP интерфейсов свич может создать только 256, вот в этом у автора и проблема.

Как сказал Дятел, свич агрегации некошерно ставить в ядро.

[bigmanbp]

А почему автор не хочет расширить подсети до 24-й маски?

[Дятел]

а как это ему поможет?

[bigmanbp]

Видимо мой вопрос, в силу своей формулировки, был понят не так.

Имелось в виду:

Почему автор не хочет пускать нескольких клиентов в один Vlan?

woodcut, вопрос к Вам.

Я к чему спрашиваю: может быть причину, по которой Вы решили разделить абонентов Vlan`ами, можно устранить другим способом?

[woodcut]

Изначально планировалось, что у каждого абонента будет изолированная сеть. ACL - вариант, но некошерный, ибо костыль.

Несколько клиентов в один VLAN пускать не хочу по понятным причинам. Ну, в моём случае очевидно, что неправильно было выбрано железо. 256 интерфейсов для железки L3 - это моветон, просто об этом никто не подумал, и в официальной документации этого нет. Так, что при всех плюсах Huawei у него есть и вот такие детские косяки.

Сейчас будем ставить туда Catalyst 3560 - на нём такого ограничения нет.

[Дятел]

если влан на абонента и циска - то не нужен /30, проще через ip-unnumbered/

3560 - 1000 вланов тока умеет.

я спрашивал про конфигурацию свича не просто так, если нужны 10Г интерфейсы - может быть смотреть на Extreme Networks

[woodcut]

10Г пока не нужны. Используя ip-unnumbered - проще, да. Но когда циски уже не будет хватать, то на замену ей пойдёт уже не циска, а какая-нибудь другая железка. В общем не хочется привязвать конфигурацию к вендору.

 

Кстати на циске 3560 сгенерил легко 4К VLAN-ов - этого мне хватит ещё надолго.

 

Впрочем:

Switch#sh idb                                                                                                                                                                    

Maximum number of Software IDBs 6300.

 

Значит при желании можно и больше.

[darkagent]

Значит при желании можно и больше.

...и моментально встрять в tcam'ах

[Дятел]

Кстати на циске 3560 сгенерил легко 4К VLAN-ов - этого мне хватит ещё надолго.

что-то я теряюсь в догадках.

может, 4К SVI?

а 6300 - это как, если последний допустимый номер влана 4094?

[darkagent]

а 6300 - это как, если последний допустимый номер влана 4094?

loopback интерфейсы ;)

[woodcut]

Ну да :)

В любом случае, 4К - не 256. Интересна позиция вендора, который позиционирует эти девайсы, как альтернативу подобным каталистам.

[Дятел]

гхм....повторю - 3560 затерминит 1000 вланов. дальше - сдохнет.

4К вланов умеет терминить у циско устаревший сап2 или ещё выпускающийся сап32

[woodcut]

Почему сдохнет?

[Дятел]

потому что в циске не дураки работают )))

они чётко выстраивают характеристики железа под заявленное место оборудованя в пирамиде. И не позволяют свичу с меньшей ценой выполнять функции, доступные на свиче с большей ценой. Ибо тогда никто не будет покупать более дорогой свич )))

[mukca]

3560 - 1000 вланов тока умеет.

че за бред. 4к вланов она умеет и без проблем их прожует. кроме служебных вланов (1000-1005). Скорее она сдохнет от большого количества маков или маршрутов.. а может несправитьс с количеством пакетиков :) но не как не от большого количества вланов..

[s.lobanov]

mukca

Вы про L2 вланы или про L3 интерфейсы?