Merridius Posted June 24, 2013 Posted June 24, 2013 Добрый вечер коллеги. Есть не особо большая сеть (1000 корпоративных рабочих мест и приблизительно 1000 абонентов). Транспортная сеть построена по принципу vlan-per-customer (option 82 + dhcp snooping). Интернет принимает Cisco 6500 (2 full-view). На данный момент терминацией занимается cisco 6500, трансляция производится на двух серверах Freebsd. Так вот, в будущем трансляцией и терминацией будет заниматься ASR1001. Есть мысль вместо ACL для разграничения загнать все упрвление в отделный VRF, также как и корпоративнуу сеть. В управляющем влане имеется netflow, snmp. Кто что думает, какие подводные камни могут быть? Заранее всем спасибо за комментарии. Вставить ник Quote
snark Posted June 24, 2013 Posted June 24, 2013 IMHO луче СоРР, чем отдельный VRF, со всеми из него вытекающими. Тем паче, что одно другое не заменяет и не исключает. Вставить ник Quote
srg555 Posted June 24, 2013 Posted June 24, 2013 (edited) IMHO луче СоРР, чем отдельный VRF, со всеми из него вытекающими. Тем паче, что одно другое не заменяет и не исключает. Чем конкретно лучше? Делать кучу ацл вместо идеалогически верного врф это садомазо. Другое дело, что не удастся полностью спрятать c65 в врф, если на ней терминируются кастомеры или л3 транзит для них Менеджмент L2 и конечные не паблик узлы надо однозначно прятать в врф, а не крутить ацли и потом плакаться Edited June 24, 2013 by srg555 Вставить ник Quote
Tosha Posted June 25, 2013 Posted June 25, 2013 VRF имеют независимые аппаратные таблицы маршрутов. Помните, что в два разных VRF full-view лучше не грузить. Это единственное, что лично я помню. Мы обошлись без VRF. ACL все равно писать придеться. Потому как что-то должно защищать офис от Internet, офис должен видеть Internet, и, следовательно, между офисом и абонентами все равно будет пусть и не прямая, но маршрутизируемая связь. И где-то должна встать "стена", в которой описано, что и куда можно, а что - нет. Вставить ник Quote
srg555 Posted June 25, 2013 Posted June 25, 2013 Tosha Вы не правы. Делается 2 или 3 таблицы маршрутизации - офис(vrf 1), железо(vrf 2), абоненты(vrf 3 или GRT). И с помощью import-export делается "топологию" как вам надо, в итоге между "железом" и "абонентами" L3-связности нет. Это стандартная схема, ACL в этом случае не нужны. Варианты типа "похакают через офисный компьютер" не зависят от того что у вас будет - vrf или ACL-и Вставить ник Quote
darkagent Posted June 25, 2013 Posted June 25, 2013 VRF vs ACL? нет, VRF + ACL! отделяйте зерна от плевел - потребительский трафик отдельно, управление/мониторинг отдельно. Если уж так надо управление/мониторинг выкинуть во внешний мир, лучше будет его вынести в dmz. А рисовать CoPP рано или поздно прийдется рисовать при любом раскладе - потребитель сам по себе без злого умыслу может нагадить так, что всем поплохеет. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.