Réseau de gestion. Meilleures pratiques: gros VLAN ou interfaces routées

13

Nous allons déployer un réseau de campus avec environ 50 commutateurs (Core, Agg, Access). Certains d'entre eux seront L2 (20), et d'autres seront L3 (30). Nous réfléchissons à la façon de gérer ces appareils:

  1. Un grand VLAN sur tous les commutateurs. Facile à déployer, adressage facile, mais grand domaine de diffusion L2.
  2. VLAN de gestion pour les commutateurs L2. Pour accéder au noyau et aux commutateurs d'agrégation, utilisez des interfaces routées (ou SVI).

Que préférez-vous utiliser dans votre réseau?

cisco Эдуард Буремный
la source
8
Je ne peux imaginer aucun scénario dans lequel un VLAN couvrant 50 commutateurs pourrait être considéré comme une bonne décision de conception. Il ne s'agit pas de savoir si, mais quand, quelqu'un fera une boucle sur ce VLAN et vous bloquera la moitié de vos commutateurs en un instant.
jwbensley
Une réponse vous a-t-elle aidé? si c'est le cas, vous devez accepter la réponse afin que la question ne continue pas d'apparaître indéfiniment, à la recherche d'une réponse. Alternativement, vous pouvez fournir et accepter votre propre réponse.
Ron Maupin

Réponses:

5

Comme vous l'avez dit, cela dépend du nombre d'appareils dont nous parlons, mais à part cela, ce que vous devriez éviter si possible est d'avoir uniquement une gestion "in-band" de vos appareils. Vous ne voulez pas que votre trafic de gestion chevauche le même réseau que votre trafic de production. Si tous vos commutateurs n'ont pas d'interface Ethernet distincte pour la gestion, c'est bien, mais presque tous les équipements ont une forme de console série. UTILISE LE. Surtout comme sauvegarde pour la gestion intrabande. Cela vous sauvera le cul si un appareil tombe de la planète. Je suggère également d'utiliser un tout autreinfrastructure physique pour la gestion de la connectivité à votre équipement. Cela s'applique doublement pour l'accès à la console série. Si vous utilisez l'une de vos interfaces sur vos commutateurs (ce n'est pas une interface de gestion dédiée), ce n'est pas aussi grave, tant que vous avez un réseau distinct pour le connecter.

50 appareils ne sont pas trop déraisonnables pour utiliser un seul VLAN (encore une fois, en supposant que vous ne faites pas de gestion intrabande) et avoir un domaine de diffusion pour - vous essayez peut-être d'optimiser trop tôt à ce stade. Si vos commutateurs principaux sont des boîtiers modulaires, ils devraient très certainement avoir des interfaces de gestion Ethernet - je vous conseille de les utiliser plutôt qu'un SVI ou une interface physique routée.

edit: mes préférences personnelles décrivent essentiellement ce que j'ai conseillé ci-dessus: toujours des consoles série. Utilisez des interfaces de gestion Ethernet dédiées, le cas échéant. Si des interfaces de gestion Ethernet dédiées ne sont pas disponibles, gravez un port physique sur le boîtier, mais toujours toujours toujours un réseau séparé, pour les consoles série au minimum absolu.

John Jensen
la source
Par exemple, j'ai SUP7L-E pour le châssis 4500E. Ce sup a un port de gestion Ethernet dédié. Que dois-je faire pour gérer l'appareil: accéder via SVI ou connecter ce port mgmt au port LineCard dans le VLAN de gestion. La dernière variante me semble étrange, pour moi.
Эдуард Буремный
Désolé, j'aurais dû clarifier - il devrait y avoir un réseau physique complètement séparé utilisé pour gérer votre kit. Je vais modifier ma réponse maintenant.
John Jensen
3

Cela dépend vraiment du réseau, mais je pencherais pour le V2 L2. Alors que certains ont exprimé des inquiétudes concernant une boucle sur le VLAN, mais en 12 ans sur les grands réseaux, je n'ai JAMAIS vu de boucle créée sur un VLAN de gestion de réseau.

Cela ne veut pas dire que cela ne peut pas arriver, mais généralement les personnes qui en savent assez pour configurer un VLAN de gestion en savent généralement assez pour ne pas provoquer de boucles sur le réseau. La plupart des boucles que j'ai rencontrées se trouvent sur des VLAN d'utilisateurs où un utilisateur final s'est connecté / configuré de manière incorrecte ou lorsqu'un administrateur de serveur a mal configuré l'agrégation / redondance de liens sur son serveur ou a mal configuré un environnement de machine virtuelle.

Passer à une approche L3 évite ce problème particulier, mais il est également facile de foirer un réseau routé. Oui, vous pouvez prendre des précautions, mais je reste avec KISS quand je le peux et le routage est plus complexe que la commutation. Pouvons-nous commencer à répertorier les incidents majeurs qui se sont produits en raison de problèmes de routage introduits sur Internet?

En fin de compte, comme l'a souligné John Jensen, vous devriez certainement avoir également un système de gestion OOB, mais je qualifierais généralement cela de sauvegarde de la gestion intrabande. De manière générale, je ne recommande pas de modifier les paramètres de vitesse sur un port de console (en ce qui concerne les situations de récupération, devoir déterminer si un port de console est par défaut, modifié ou modifié de manière incorrecte peut être pénible), et même à 115 000 bauds, console les ports peuvent être trop lents (et de nombreux fournisseurs utilisent par défaut 9600 bauds).

YApprendre
la source
VRF apaise-t-il vos préoccupations concernant l'utilisation de L3? Quels sont les autres avantages de faire L2 sur L3 ici. Je ne pense pas que vous voudriez que L2 soit réparti sur un grand réseau.
generalnetworkerror
1

J'utiliserais un VLAN de gestion distinct comme nos collègues l'ont déjà dit, puis acheminerais autant de vlans que nécessaire. De plus, je serais plus prudent comment allez-vous interconnecter tous ces commutateurs, quelle version de logiciel s'exécute sur chaque appareil (vous devez être sûr que vous exécutez une version stable et surtout connaître tout bogue signalé), puis planifier d'autres choses: comment configurer les trunks, les canaux Ethernet et bien sûr "STP".

laf
la source