Red de gestión. Mejores prácticas: gran VLAN o interfaces enrutadas

13

Vamos a implementar una red de campus con aproximadamente 50 conmutadores (Core, Agg, Access). Algunos de ellos serán L2 (20), y otros serán L3 (30). Estamos pensando en cómo administrar estos dispositivos:

  1. Una gran VLAN en todos los conmutadores. Fácil de implementar, fácil direccionamiento, pero gran dominio de transmisión L2.
  2. VLAN de gestión para conmutadores L2. Para acceder a los conmutadores de núcleo y agregación, use interfaces enrutadas (o SVI).

¿Qué preferirías usar en tu red?

Эдуард Буремный
fuente
8
No puedo imaginar ningún escenario en el que una VLAN que abarque 50 conmutadores pueda considerarse una buena decisión de diseño. No es un caso de si, pero cuándo, alguien hará un bucle en esa VLAN y lo bloqueará de la mitad de sus conmutadores en un instante.
jwbensley
¿Alguna respuesta te ayudó? Si es así, debe aceptar la respuesta para que la pregunta no siga apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar y aceptar su propia respuesta.
Ron Maupin

Respuestas:

5

Como dijiste, importa de cuántos dispositivos estamos hablando, pero aparte de eso, lo que debes evitar si es posible solo es tener una administración "en banda" de tus dispositivos. No desea que su tráfico de gestión se encuentre en la misma red que su tráfico de producción. Si no todos sus conmutadores tienen una interfaz Ethernet separada para la administración, está bien, pero casi todos los equipos tienen alguna forma de consola en serie. Úselo. Especialmente como respaldo para la gestión en banda. Esto te salvará el culo si un dispositivo se cae del planeta. También estoy sugiriendo usar un completamente separadoInfraestructura física para la gestión de conectividad a su equipo. Esto se aplica doblemente para el acceso en serie a la consola. Si está utilizando una de sus interfaces en sus conmutadores (esa no es una interfaz de administración dedicada), tampoco es un gran problema, siempre que tenga una red separada para conectarla.

50 dispositivos no es una huella demasiado irrazonable para usar una sola VLAN (una vez más, suponiendo que no esté haciendo la administración dentro de banda) y tenga un dominio de transmisión para: puede estar tratando de optimizar demasiado pronto en esta etapa. Si sus conmutadores principales son cajas modulares, definitivamente deberían tener interfaces de administración de Ethernet; le recomendaría que las use en lugar de una SVI o una interfaz enrutada física.

editar: mis preferencias personales básicamente resumen lo que he aconsejado anteriormente: siempre consolas seriales. Utilice interfaces de gestión de Ethernet dedicadas cuando corresponda Si las interfaces de administración Ethernet dedicadas no están disponibles, grabe un puerto físico en la caja, pero siempre siempre una red separada, para consolas seriales al mínimo absoluto.

John Jensen
fuente
Por ejemplo, tengo SUP7L-E para el chasis 4500E. Este sup tiene un puerto de administración de Ethernet dedicado. Qué debo hacer para administrar el dispositivo: acceder a través de SVI o conectar este puerto de administración al puerto LineCard en la VLAN de administración. La última variante parece ser extraña, en cuanto a mí.
Эдуард Буремный
Lo siento, supongo que debería haberlo aclarado: debería haber una red física completamente separada utilizada para administrar su kit. Enmendaré mi respuesta ahora.
John Jensen
3

Esto realmente depende de la red, pero me inclinaría hacia la VLAN L2. Si bien algunos han expresado su preocupación por un bucle en la VLAN, pero en 12 años en grandes redes, nunca he visto un bucle creado en una VLAN de administración de red.

No quiere decir que no podría suceder, pero en general las personas que saben lo suficiente para configurar una VLAN de administración generalmente saben lo suficiente como para no causar bucles en la red. La mayoría de los bucles que he encontrado están en VLAN de usuario donde un usuario final conectó / configuró algo incorrectamente o cuando un administrador del servidor configura incorrectamente la agregación / redundancia de enlaces en su servidor o configura mal un entorno VM.

Pasar a un enfoque L3 evita ese problema en particular, pero también es fácil arruinar una red enrutada. Sí, puede tomar precauciones, pero me quedo con KISS cuando puedo y el enrutamiento es más complejo que el cambio. ¿Comenzamos a enumerar los principales incidentes ocurridos debido a problemas de enrutamiento que se están introduciendo en Internet?

En última instancia, como John Jensen ha señalado, definitivamente también debería tener un sistema de administración OOB, sin embargo, generalmente me referiría a esto como una copia de seguridad de la administración en banda. En términos generales, no recomiendo cambiar la configuración de velocidad en un puerto de consola (cuando se trata de situaciones de recuperación, tener que averiguar si un puerto de consola es predeterminado, cambiar o cambiar incorrectamente puede ser un problema), e incluso a 115k baudios, consola los puertos pueden ser demasiado lentos (y muchos proveedores predeterminan a 9600 baudios).

YLearn
fuente
¿VRF alivia sus preocupaciones sobre el uso de L3? ¿Qué otras ventajas hay para hacer L2 sobre L3 aquí? No creo que quieras que L2 abarque una red grande.
generalnetworkerror
1

Usaría una VLAN de administración por separado como ya indicaron nuestros colegas, luego traficaría las vlans tantas como sea necesario. Además, sería más cuidadoso cómo va a interconectar todos estos conmutadores, qué versión de software se ejecuta en cada dispositivo (debe asegurarse de ejecutar una versión estable y, sobre todo, si conoce algún error informado), luego planifique otras cosas: ¿Cómo se configuran los enlaces troncales, los canales de Ethernet y, por supuesto, "STP"?

laf
fuente