Gibt es eine bessere Möglichkeit, ein Out-of-Band-Verwaltungsnetzwerk zu entwerfen?

7

Ich wurde gebeten, beim Entwurf eines "OOB" -Verwaltungsnetzwerks mitzuwirken, aber mir steht nur eine begrenzte Anzahl von Ressourcen zur Verfügung. Ich habe folgendes:

  1. 1 Cisco 3750-X-Stapelpaar mit jeweils einem C3KX-NM-1G-Netzwerkmodul.
  2. 8 Cisco 2960-24TC-L "Aggregat" -Schalter.

Wir führen eine Layer 2 Collapsed Core-Netzwerktopologie mit einem Cisco 6509-E VSS-Kern aus. Wir haben 128 Zugangsschalter, die über 1Gps-Port-Kanäle mit unserem Kern verbunden sind. Es ist eine Mischung aus Kupfer- und Faser-Uplinks. Glasfaser in den zweiten Stock und Kupfer in unserem Rechenzentrum.

Der derzeitige Gedanke unseres Beraters besteht darin, die Verwaltungs-SVI auf jedem unserer Zugriffs-Switches mit einem eigenen VLAN zu konfigurieren, das mit unseren 2690 "Aggregat" -Switches verbunden ist. Die Aggregat-Switches werden wiederum über einen 802.1q-Trunk mit dem 3750-X-Stack verbunden und mit IP Unnumbered konfiguriert, um eine Layer 3-Verbindung zu emulieren, die im Wesentlichen die L2-Kommunikation zwischen den Produktionszugriffs-Switches umgeht. Für den 3750-X-Stack ist für jedes einzelne VLAN ein Loopback konfiguriert, das von den Produktionszugriffsschaltern als Standardgateway verwendet wird.

Die Idee / Sorge ist, dass wir nicht möchten, dass unser Verwaltungsnetzwerk STP-Verkehr an die anderen Zugriffsschalter weiterleitet oder irgendeine Art von Netzwerkkonvergenz zwischen den beiden separaten Netzwerken riskiert. Eine Art "Poor Man's" Private VLAN-Setup.

Ich frage mich, ob dies der beste oder effizienteste Weg ist, dies einzurichten, oder ob es einen besseren Weg gibt, dies zu tun.

design management JDGray
quelle
verstehe ich das richtig 128 Schalter in einem VLAN?
Mike Pennington
Im Produktionsnetzwerk haben wir über 250 VLANs. In dem vorläufig entworfenen OOB-Verwaltungsnetzwerk gibt es ein VLAN pro Access Switch, das wir verwalten. (Ausgenommen natürlich Geräte mit einer dedizierten Verwaltungsschnittstelle)
JDGray
Welche Art von Spanning Tree betreiben Sie? pvst, schnelle pvst, rstp oder mst?
Mike Pennington
Rapid PVST (VTP Transparent Mode) Die Entscheidung, ein OOB-Verwaltungsnetzwerk zu erstellen, ist auf einen Ausfall zurückzuführen, den wir im Zusammenhang mit STP hatten und bei dem wir die gesamte Konnektivität zu unserem In-Band-Verwaltungsnetzwerk verloren haben.
JDGray
1
Rapid PvST ist der beste Spannbaum für diese Topologie ... Sie könnten sogar eine direkte 30-Bit-Routing-Schnittstelle auf dem VSS-Chassis in Betracht ziehen, wenn dies Spanning Tree vollständig eliminieren könnte ...
Mike Pennington

Antworten:

7

Ich weiß, dass die 3750X auf der Rückseite eine Verwaltungsschnittstelle haben, bei der es sich um einen 10/100 Fast-Ethernet-Port handelt. Es befindet sich direkt neben dem RJ-45-Konsolenanschluss. Ich glaube auch, dass der 2960-Switch, den Sie dort aufgelistet haben, auch einen Verwaltungsport an der Vorderseite über den SFP-Ports hat.

Angenommen, Ihre Switches sind nicht zu weit entfernt, können Sie die Geräte über die Verwaltungsschnittstellen remote verwalten, wenn Sie möchten. Natürlich würden Sie eine zusätzliche Verkabelung zu einem anderen "Management-Switch" benötigen, der wahrscheinlich das VLAN enthält, das nur für die Verwaltung dieser Geräte erforderlich ist.

Andernfalls können Sie auch einen Terminalserver-Server wie OpenGear oder ähnliches ausführen und die Konsolenverbindungen wieder mit diesem Gerät verknüpfen, um sie fernzusteuern, wenn in Ihrem gesamten Netzwerk Probleme auftreten oder nicht.

Diese Verwaltungsschnittstellen arbeiten mit ihrer eigenen VRF und nehmen auch nicht an STP teil, da sie nicht in dem aktiven VLAN ausgeführt werden, das auf sie übertragen wird. Ich habe jedoch gesehen, dass einige Organisationen das Verwaltungs-VLAN gerne im selben Subnetz wie die Hosts auf dem Switch haben möchten. Auf diese Weise können sie die Arp-Tabelle / Mac-Adresstabelle anpingen und überprüfen und feststellen, wo Geräte etwas einfacher sind als bei einem einfachen L2-Netzwerk. Es gibt natürlich Vor- und Nachteile für jede Methode, vorausgesetzt, Sie wollten eine Out-of-Band-Methode anwenden. Ich würde sagen, die Verwaltungsoberfläche ist wahrscheinlich Ihre beste Richtung.

knotseh
quelle
3
Sie sollten RS232 haben, also OpenGear, altes Cisco CPE mit Assync-Port oder vergleichbar. Die ON-BAND- Verwaltungsschnittstelle ist optional luxuriös und hat fast keinen Vorteil für die Verwaltung des Switches über die Produktionsverbindungen. Es teilt das gleiche IOS und die gleiche Steuerebene. Zumindest über RS232 können Sie es brechen, um zu rommon und neu zu laden.
Ytti
1
@ytti sehr wahr! Über die On-Band-Verwaltungsschnittstelle können Sie auch TFTP- und FTP-Images verwenden, um den Switch usw. zu aktualisieren. Ich stimme zu, dass die RS232-Verwaltung immer vorhanden sein sollte, es sei denn, Sie haben jemanden, der in einem dringenden Notfall mit einem Konsolenkabel bereitsteht.
Knoten
3
Sie können den Produktionsdatenpfad auch für TFTP / FTP verwenden. Die On-Band-Verwaltungsschnittstelle ist normalerweise nicht mit ASIC / NPU verbunden, sondern befindet sich direkt in der Steuerebene. Dies bedeutet, dass Sie sie nicht vor dem Gerät selbst schützen können. Dies bedeutet, dass selbst zufällige Dinge wie eine Schleife in Ihrem NMS-Netzwerk alle Ihre Geräte auf einmal herunterfahren können. Wenn Sie es verwenden möchten, beschränken Sie den Zugriff über den NMS-Switch auf sehr strenge Weise. (Die wirkliche Lösung hierfür ist 'CMP', echtes 'Licht aus Ethernet' mit verschiedenen HW- und SW-Funktionen im Gerät, leider haben nur wenige Geräte in der Netzwerkwelt dies)
ytti
Unsere Cisco 2960-Switches verfügen über keine Verwaltungsschnittstellen. Dies ist eines meiner Anliegen, da es sich um unser "OOB" -Netzwerk handelt, da sich die Schnittstelle, die wir auf unseren Zugriffsschaltern als "Verwaltungs" -Port verwenden, weiterhin im Verkehrsflugzeug befindet. Ich habe versucht, sie mit einem konsolenbasierten System für das Out-of-Band-Management zu verkaufen, aber sie bestanden darauf, dass sie dies auf diese Weise tun wollten, um das Upgrade des IOS bei Bedarf zu erleichtern. Sie haben sich jedoch abgemeldet, indem wir dedizierte Konsolenkabel für jeden Zugriffsschalter verlegt haben, und die Konsolenschalter, wahrscheinlich Avocent, im nächsten Geschäftsjahr gekauft.
JDGray