Subnets.ru

[Gella]

Уважаемые коллеги!

Помогите пожалуйста разобраться в реализации трехуровневой иерархической модели сети от Cisco.
Я запуталась в самой логике и мне необходимо в этом разобраться, и так исходные данные:

Имеется небольшое предприятие для которого вновь создается вся сетевая инфраструктура на базе следующего оборудования:
Cisco 3650G - 2 шт.
Cisco 2960G - 8 шт.

Мною планируется, что для базового уровня (ядро) мы будем использовать 3560G, для уровня распределения иную 3560G и для уровня доступа 2960G.
Если я правильно поняла, то на коммутаторе базового уровня, я создаю необходимое количество VLAN'ов и присваиваю соответствующим интерфейсам ip-адреса, часть конфигурации будет выглядеть так:

Код: Выделить всё

C3560G-CORE(config)#vtp domain cisco
C3560G-CORE(config)#vtp mode server
C3560G-CORE(config)#vlan 2
C3560G-CORE(config-vlan)#name USER_VLAN
C3560G-CORE(config-vlan)#exit
C3560G-CORE(config)#vlan 3
C3560G-CORE(config-vlan)#name SERVER_VLAN
C3560G-CORE(config-vlan)#exit
C3560G-CORE(config)#vlan 10
C3560G-CORE(config-vlan)#name MANAGEMENT

C3560G-CORE(config)#interface GigabitEthernet0/1
C3560G-CORE(config-if)#description To C3560G-DISTRIB
C3560G-CORE(config-if)#switchport trunk encapsulation dot1q

C3560G-CORE(config)#interface Vlan1
C3560G-CORE(config-if)#no ip address
C3560G-CORE(config-if)#shutdown
 
C3560G-CORE(config)#interface Vlan2
C3560G-CORE(config-if)#description USER_VLAN
C3560G-CORE(config-if)#ip address 10.1.2.1 255.255.255.0
 
C3560G-CORE(config)#interface Vlan3
C3560G-CORE(config-if)#description SERVER_VLAN
C3560G-CORE(config-if)#ip address 10.1.3.1 255.255.255.0
 
C3560G-CORE(config)#interface Vlan10
C3560G-CORE(config-if)#description MANAGEMENT_VLAN
C3560G-CORE(config-if)#ip address 10.1.10.1 255.255.255.0

C3560G-CORE(config)#ip routing


На коммутаторе уровня распределения, я применяю следующую конфигурацию:

Код: Выделить всё

C3560G-DISTRIB(config)#vtp domain cisco
C3560G-DISTRIB(config)#vtp mode client

C3560G-DISTRIB(config)#interface GigabitEthernet0/1
C3560G-DISTRIB(config-if)#description To C3560G-CORE
C3560G-DISTRIB(config-if)#switchport trunk encapsulation dot1q

C3560G-DISTRIB(config)#interface GigabitEthernet0/2
C3560G-DISTRIB(config-if)#description To C2960G-ACCESS
C3560G-DISTRIB(config-if)#switchport trunk encapsulation dot1q

C3560G-DISTRIB(config)#interface Vlan10
C3560G-DISTRIB(config-if)#description MANAGEMENT_VLAN
C3560G-DISTRIB(config-if)#ip address 10.1.10.2 255.255.255.0

C3560G-DISTRIB(config)#ip routing
C3560G-DISTRIB(config)ip route 0.0.0.0 0.0.0.0 10.1.10.1


На коммутаторе уровня доступа я применяю следующее:

Код: Выделить всё

C2960G-ACCESS(config)#vtp domain cisco
C2960G-ACCESS(config)#vtp mode client

C2960G-ACCESS(config)#interface GigabitEthernet0/1
C2960G-ACCESS(config-if)#description To C3560G-DISTRIB
C2960G-ACCESS(config-if)#switchport trunk encapsulation dot1q

C2960G-ACCESS(config)#interface FastEthernet0/1
C2960G-ACCESS(config-if)#description USER_HOST_1
C2960G-ACCESS(config-if)#switchport access vlan 2
C2960G-ACCESS(config-if)#switchport mode access
C2960G-ACCESS(config-if)#spanning-tree portfast

C2960G-ACCESS(config)#interface FastEthernet0/2
C2960G-ACCESS(config-if)#description SERVER_1
C2960G-ACCESS(config-if)#switchport access vlan 3
C2960G-ACCESS(config-if)#switchport mode access
C2960G-ACCESS(config-if)#spanning-tree portfast

C2960G-ACCESS(config)#interface Vlan1
C2960G-ACCESS(config-if)#no ip address
C2960G-ACCESS(config-if)#shutdown

C2960G-ACCESS(config)#interface Vlan10
C2960G-ACCESS(config-if)#description MANAGEMENT_VLAN
C2960G-ACCESS(config-if)#ip address 10.1.10.3 255.255.255.0

C2960G-ACCESS(config)#ip default-gateway 10.1.10.1

Что то мне подсказывает, что моя логика ошибочна ввиду того, что, согласно трехуровневой иерархической модели сети от Cisco, коммутатор уровня распределения должен выполнять маршрутизацию между сетями VLAN, а так же применять списки доступа, фильтрацию пакетов и т.д.

Ребята, будьте так добры, подскажите пожалуйста правильную настройку оборудования применимую к трехуровневой иерархической модели.

Спасибо.

[Андрей]

согласно трехуровневой иерархической модели сети от Cisco, коммутатор уровня распределения должен выполнять маршрутизацию между сетями VLAN, а так же применять списки доступа, фильтрацию пакетов и т.д.

Насколько я понял, что так оно и есть.
На уровне доступа виланы, на уровне распределения L3 ифейсы виланов + ACL, на уровне ядра маршруты.

[root]

привет.

как бы сказать... трех уровневая модель конечно хорошо и здорово, но для её соблюдения требуется соответствующее железо, которое нач-во никогда не горит покупать.
Такие правильные структуры я наблюдал только у очень крупных ISP`ов и в банках.
Так в твоем случае в CORE уровне у тя должен быть полноценный маршрутизатор (точнее 2 маршрутизатора), а никак не L3 свич, на дистрибьюшене должно быть как минимум два L3 свича, а не один и т.п.

Так что давай разберемся в "понятиях", т.к. нельзя быть "немножко беременной". Ты либо четко следуешь модели, тогда изволь соблючать все требоания, либо стараешся на нее просто походить. В нашем (точно общем случае) мы идем по варианту "походить" и быть немного беременными, а раз так, то тут нам придется действовать в зависимости от ситуации и наличия у нас железа.
Личто я в этом верчусь уже 10-ть лет и за все эти годы не смог построить ни одного правильного узла. Т.к. сначала нач-во, а теперь клиенты все время жмут денег, но продолжают говорить "Что бы было все круто!". К сожалению это суровая действительность.... посему все узлы только походят на модель, но как таковой ею не являются. Но я считаю что лучше уж походят на модель, чем полный сумбур и все вперемешку. Таких перемешанных узлов я на своем веку повидал не мало, проще сказать - это полная жопа, которая и работает соотвественно.

Возьмем составленный тобой конфиг устройств. Ну что сказать ? Разделение по уровням ? Ну можно и так. При небольших размерах конторы и соответственно кол-ва трафика - сойдет.
Если стараться все же делать по модели, то роутинг между внутренними подсетями, ты должна унести на C3560G-DISTRIB и именно там ты аналайзишь/фильтруешь хождение трафика между твоими подсетями и правилом выхода трафика "наверх" в CORE уровень..
К C3560G-CORE ты подключаешь сервера, про внутренние подсети ядро знает одним статик маршрутом либо не знает о них ничего в принципе, т.к. они не "выбираются" из дистрибьюшена, так же все внешние линки подключатся только к CORE уровню и в нем должно уже быть минимум фильтрации трафика (только на внешних линках), т.к. задача CORE уровня максимально бысто обрабатывать трафик.
На C2960G-ACCESS живут юзеры, там должны располагаться самые жесткие фильтры, что бы в дистрибьюшн поступал уже "очещенный" трафик. Я про запреты DHCP-серверов, привязка маков и т.п.

Так же небольшие комменты:

1. Обязательно СНАЧАЛА нарисуй схему сети, продумай как и что в ней ходит, а только потом приступай к реализации.
2. обязательно смени имя VTP домена и установи пароль. В противном случае, втыкание новой не настроенной железки в твою сеть может закончится печально. Не наступай на грабли, на них многие наступили уже
3. Во vlan 1 вообще не должно быть, он должен ходить только между коммутаторами, дабы VTP работал. Но никаких устройств кроме них в нем быть не должно.
4. Все устройства соединять только транковыми портами, что ты и пытаешся сделть пользуя "switchport trunk encapsulation dot1q", но ты забыла дать команду "switchport mode trunk", а без нее это по прежнему access порт. Так же этими командами ты разрешаешь хождения между устройствами в транке все вланы разом, что так же может в итоге привести к падению сети в следствии образования колец.
Таким образом ты либо должна запустить STP где root это дистрибьюшн уровен, а аксесс уровень это "листья", либо используй команду "switchport trunk allowed vlan add XXX", которая позволит передавать в транке только указанный тобой список вланов.
5. Все порты должны быть законфигурены вручную, никаких авто настроек, должен быть задан режим порта (акксесс "switchport mode access" или транк "switchport mode trunk"), выставлена скорость и дуплекс, отключен "switchport nonegotiate", cdp и т.п.
6. Все не используемые порты должны быть в аксесс, во влане ОТЛИЧНОМ от vlan 1 и выключены.

Эти не хитрые рекомендации позволят тебе избежать многих проблем при обслуживании этой сети.

Вложения:

cisco systems model

cisco systems model

cisco_model2.JPG (15.89 Кб) Просмотров: 68467

[Gella]

Здравствуйте,

Спасибо за Ваши ответы!

Прикладываю схему будущей сети к данному сообщению:


Будьте так добры дайте пожалуйста свои комментарии, касательно правильности моего рассуждения.

Спасибо.

[root]

суждение то правильно, а вот схемка слишком общая.
я, говоря о схеме, имел в виду более подробную схему. что бы были отражены интерфейсы девайсов, IP-адреса, какие вланы ходят и т.п.
что бы взглянув на схему, было понятно как оно работает.
так же по подробной схеме легче понимать где может быть проблема, если она возникнет.

ещё порекомендую в CORE уровне, по возможности, полностью избавиться от свичинга, что бы там был только роутинг и ничего кроме роутинга.

[Gella]

Здравствуйте,

С логикой разобралась, теперь хочу понять касательно соединения CORE и DISTRIBUTION между собой, изначально я считала, что это должен быть канал второго уровня (switchport mode trunk), с ваших слов я понимаю, что нужно использовать канал третьего уровня (no switchport), правильно ли я рассуждаю?

Спасибо.

[root]

правильно ли я рассуждаю?

правильно

изначально я считала, что это должен быть канал второго уровня (switchport mode trunk), с ваших слов я понимаю, что нужно использовать канал третьего уровня (no switchport)

как я уже говорил, все зависит от ситуации и возможностей.
я бы делал именно (no switchport), если серверам не требуется иметь L2 линк в какой либо влан. Почему ? да что бы отрезать проблемы, которые могут возникать в L2 в уровне ниже CORE, а по итогу затрагивать и CORE уровень, а по итогу ложится все. С L3 меньше заморочек будет это точно.
И кстати если каким то серверам требуется L2 во влан локалки, внутренние сервера, например DHCP, то можно подумать над перемещения таких серверов в уровень нижу - в дистрибьюшн.

[Gella]

Спасибо за ваш ответ.

И кстати если каким то серверам требуется L2 во влан локалки, внутренние сервера, например DHCP, то можно подумать над перемещения таких серверов в уровень нижу - в дистрибьюшн.

Данную проблему разве не решает ip helper-address? Самое главное чтобы был соответствующий маршрут до DHCP?

Хочу так же поинтересоваться маршрутами между CORE и DISTRIBUTION уровнем, лучше использовать статические маршруты или, например OSPF либо EIGRP?
И еще, как быть с сетью управления, ведь оборудование находится в разных сегментах сети? Смею предположить, что для каждого сегмента, своя подсеть?

Спасибо.

[root]

Данную проблему разве не решает ip helper-address?

решает, вместе с релеем DHCP запросов.
говоря DHCP я не имел конкретно его, я в говорил в общем, т.е. как пример сервиса, которому может потребоваться доступ к L2.

Самое главное чтобы был соответствующий маршрут до DHCP?

ессно свич должен понимать как добраться до хелпер-адреса

Хочу так же поинтересоваться маршрутами между CORE и DISTRIBUTION уровнем, лучше использовать статические маршруты или, например OSPF либо EIGRP?

в твоем случае можно и статикой, а вот если в схеме появляется вторая, третья и т.п. железки, то тут уже лучше динамикой.
в CORE уровне должны ходить только суммаризованные маршруты, когда в DISTRIBUTION можно позволить себе хоть /32 гонять.

И еще, как быть с сетью управления, ведь оборудование находится в разных сегментах сети? Смею предположить, что для каждого сегмента, своя подсеть?

там где ходит L2, делаешь под это дело влан, со своей адресацией и поднимаешь этот влан на каждой железке.
там где L3 соответственно делаешь L3 интерфейс

что для каждого сегмента, своя подсеть?

я бы сказал что для каждого уровня.

[krowel]

ещё порекомендую в CORE уровне, по возможности, полностью избавиться от свичинга, что бы там был только роутинг и ничего кроме роутинга.

Простите, что вмешиваюсь

А зачем ему в Core только роутинг?
Роутинг в чистом виде нужен на Edge, а Core это аггрегация, получения с низу L2 и отдача на верх L3 ...

как-то так наверно ближе к "немножко беременна" ))