Rede de gerenciamento. Práticas recomendadas: VLAN grande ou interfaces roteadas

13

Vamos implantar uma rede de campus com aproximadamente 50 switches (Core, Agg, Access). Alguns deles serão L2 (20) e outros serão L3 (30). Estamos pensando em como gerenciar esses dispositivos:

  1. Uma grande VLAN em todos os switches. Fácil de implantar, endereçamento fácil, mas grande domínio de transmissão L2.
  2. VLAN de gerenciamento para switches L2. Para acessar comutadores principais e de agregação, use interfaces roteadas (ou SVI).

O que você prefere usar na sua rede?

cisco Эдуард Буремный
fonte
8
Não consigo imaginar nenhum cenário em que uma VLAN com 50 switches possa ser considerada uma boa decisão de design. Não é um caso de se, mas quando, alguém fará um loop nessa VLAN e bloqueará a metade de seus comutadores em um instante.
Jwbensley #
Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.
Ron Maupin

Respostas:

5

Como você disse, é importante em quantos dispositivos estamos falando, mas, além disso, o que você deve evitar, se possível, é ter apenas um gerenciamento "em banda" dos seus dispositivos. Você não deseja que seu tráfego de gerenciamento esteja na mesma rede que o tráfego de produção. Se nem todos os seus comutadores têm uma interface Ethernet separada para gerenciamento, tudo bem, mas quase todos os equipamentos existentes têm algum tipo de console serial. USE-O. Especialmente como um backup para gerenciamento em banda. Isso vai te salvar se um dispositivo cair do planeta. Eu também estou sugerindo usar um completamente separadoinfraestrutura física para conectividade de gerenciamento ao seu equipamento. Isso se aplica duplamente ao acesso serial ao console. Se você estiver usando uma de suas interfaces em seus comutadores (que não é uma interface de gerenciamento dedicada), isso também não é tão importante, desde que você tenha uma rede separada para conectá-la.

50 dispositivos não são muito irracionais para usar uma única VLAN (novamente, supondo que você não esteja gerenciando em banda) e têm um domínio de broadcast para - você pode estar tentando otimizar muito cedo nesta fase. Se seus comutadores principais são caixas modulares, eles definitivamente devem ter interfaces de gerenciamento Ethernet - aconselho você a usá-los em vez de um SVI ou uma interface roteada física.

editar: minhas preferências pessoais basicamente descrevem o que eu aconselhei acima: sempre consoles seriais. Use interfaces de gerenciamento Ethernet dedicadas, quando aplicável. Se interfaces de gerenciamento Ethernet dedicadas não estiverem disponíveis, grave uma porta física na caixa, mas sempre sempre uma rede separada, para consoles seriais no mínimo absoluto.

John Jensen
fonte
Por exemplo, eu tenho SUP7L-E para chassi 4500E. Este suporte possui porta de gerenciamento Ethernet dedicada. O que devo fazer para gerenciar o dispositivo: acesse via SVI ou conecte esta porta mgmt à porta LineCard na VLAN de gerenciamento. A última variante parece estranha, quanto a mim.
Эдуард Буремный
Desculpe, acho que deveria ter esclarecido - deve haver uma rede física completamente separada usada para gerenciar seu kit. Vou alterar minha resposta agora.
John Jensen
3

Isso realmente depende da rede, mas eu me inclinaria para a VLAN L2. Embora alguns tenham expressado preocupações sobre um loop na VLAN, mas em 12 anos em grandes redes, eu nunca vi um loop criado em uma VLAN de gerenciamento de rede.

Para não dizer que isso não poderia acontecer, mas geralmente as pessoas que sabem o suficiente para configurar uma VLAN de gerenciamento geralmente sabem o suficiente para não causar loops na rede. A maioria dos loops que encontrei estão em VLANs de usuários em que um usuário final conectou / configurou algo incorretamente ou quando um administrador de servidor configurou incorretamente a agregação / redundância de links no servidor ou configurou incorretamente um ambiente de VM.

Mudar para uma abordagem L3 evita esse problema específico, mas também é fácil confundir uma rede roteada. Sim, você pode tomar precauções, mas eu fico com o KISS quando posso e o roteamento é mais complexo do que mudar. Vamos começar a listar os principais incidentes que ocorreram devido à introdução de problemas de roteamento na Internet?

Por fim, como John Jensen apontou, você definitivamente deveria ter um sistema de gerenciamento OOB também; no entanto, eu geralmente me referiria a isso como um backup do gerenciamento em banda. De um modo geral, não recomendo alterar as configurações de velocidade em uma porta do console (quando se trata de situações de recuperação, ter que descobrir se uma porta do console é padrão, alterada ou alterada incorretamente pode ser uma dor) e, mesmo em 115k baud, console as portas podem ser muito lentas (e muitos fornecedores adotam o padrão de 9600 baud).

YLearn
fonte
O VRF alivia suas preocupações de usar o L3? Que outras vantagens existem para fazer L2 sobre L3 aqui? Eu não acho que você gostaria que o L2 se estendesse por uma grande rede.
generalnetworkerror
1

Eu usaria uma VLAN de gerenciamento separada, como nossos colegas já declararam, e depois trafegaria vlans quantas necessárias. Além disso, seria mais cuidadoso como você interconecta todos esses comutadores, qual versão de software é executada em cada dispositivo (você deve ter certeza de que executa uma versão estável e, acima de tudo, conhece algum bug relatado), e depois planejar outras coisas: como você configura troncos, etherchannels e claro "STP".

laf
fonte