Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Sieć oparta o przełączniki Cisco - projekt

06 Cze 2015 10:19 1284 1
  • Poziom 1  
    Witam serdecznie

    Na wstępie powiem, iż moja prośba / pytania dotyczą zaiste "pracy domowej", dlatego też postarałem się dodać maksymalnie dużo szczegółów od siebie, bo w żadnym wypadku nie chodzi mi o to, by ktoś zrobił to za mnie. Dużo bardziej docenię opinię i uwagi, które pozwolą mi wdrożyć poprawki i zawrzeć wszystko co niezbędne.

    W drugiej części będę miał też prośbę, jeżeli znajdzie się chętna osoba, która dysponuje sprzętem, by dostosowała mi pliki konfiguracyjne właśnie na fizycznych urządzeniach.

    Na początek - topologia sieci:

    Sieć oparta o przełączniki Cisco - projekt

    Założenia:
    1. MLS Core1 i Core2 implementujące HSRP (Core1 active, Core2 standby)
    2. Powyższe switch'e jako dwa serwery DHCP dla VLAN100 (nie miałem styczności z wieloma serwerami DHCP w jednej podsieci, ale zakładam, że jedynym sposobem jest podzielenie puli adresów pomiędzy serwerami?)
    3. Switche j.w. jako serwery VTP (Tutaj pytanie podobne, jak rozumiem VTP automatycznie ustala "hierarchię" serwerów?)
    4. Wyłączenie DTP dla trunków (konfiguracja ręczna), trunki między Core-Distribution i Distribution-Access
    5. Data Center z adresacją statyczną (VLAN 200 + PVLAN 201 DB+WWW, PVLAN 202 FTP, PVLAN 203 SMTP) + Port Security z ręczną konfiguracją MAC dla serwerów
    6. Porty dostępowe na switch'ach Access1-3 w VLAN 100
    7. Powyższe porty z możliwością uzyskania jedynie jednego adresu IP (tutaj pytanie co najlepiej zastosować?)
    8. DHCP Snooping na portach access z limit rate 10 + DAI
    9. RSTP (tutaj pytanie gdzie umieścić RB najlepiej?) + BPDU Guard + Root Guard
    10. Routing statyczny
    11. ACLs wpuszczające do Data Center jedynie dane z protokołów HTTP, HTTPS, SMTP, FTP z VLAN 100 i VLAN 300 (Rozumiem, że na Core1 i Core2). Tutaj pytanie, czy jest uzasadnienie dla ACLek wyjściowych z Data Center dla tych samych protokołów? Tak np., żeby wypuszczać ruch jedynie do VLAN 100 i 300? Ponadto, skoro VLAN 200 podzielony jest na PVLANy, ACLki powinny dotyczyć VLAN 200 czy poszczególnych PVLAN (czy też najlepiej użyć adresów IP, skoro i tak adresacja w tej podsieci będzie statyczna)

    Niestety nie dysponuję sprzętem, więc starałem się zaimplementować to w packet tracer - gdzie jednak ograniczenia mi na to do końca nie pozwalają. Mam natomiast właśnie przy jego użyciu zaimplementowane VTP i kilka innych elementów. Stanąłem na HSRP, bo nie do końca wiem jak skonfigurować HSRP w przypadku VLANów (per-VLAN?) i z RSTP, bo nie wiem gdzie umieścić Root Bridge.

    Prosiłbym o zweryfikowanie powyższych założeń, a w dalszej kolejności postaram się przygotować pliki konfiguracyjne i poprosiłbym również o ich sprawdzenie. Jeśli znajdą się tutaj jakieś szkolne błędy to proszę o wybaczenie, ale od 1,5 roku nie miałem styczności z sieciami i zostałem zmuszony, by na moment do tego powrócić.

    Z góry dziękuję i pozdrawiam

    P.S.

    Jeżeli brakuje to jakichś istotnych informacji to chętnie ich udzielę.
  • Poziom 19  
    pzpzpzpzpz napisał:

    Na początek - topologia sieci:

    Sieć oparta o przełączniki Cisco - projekt

    Topologia narzucona czy Twoja?

    pzpzpzpzpz napisał:

    Założenia:
    1. MLS Core1 i Core2 implementujące HSRP (Core1 active, Core2 standby)

    Ok, ale przy większych sieciach można implementować GLBP - rozkłada ruch na oba przełączniki

    pzpzpzpzpz napisał:

    2. Powyższe switch'e jako dwa serwery DHCP dla VLAN100 (nie miałem styczności z wieloma serwerami DHCP w jednej podsieci, ale zakładam, że jedynym sposobem jest podzielenie puli adresów pomiędzy serwerami?)

    Możesz dzielić, możesz nie dzielić.
    Teoretycznie każdy serwer DHCP przed przydzieleniem adresu sprawdza, czy jakiś host w sieci nie ma już takiego adresu, więc mogą chodzić dwa równolegle. Adres wyda szybszy :)

    pzpzpzpzpz napisał:

    3. Switche j.w. jako serwery VTP (Tutaj pytanie podobne, jak rozumiem VTP automatycznie ustala "hierarchię" serwerów?)

    Nie ma hierarchii serwerów VTP. Każdy przełącznik działający jako serwer VTP może dokonywać zmian w VLAN'ach.
    Po wykonaniu zmiany po sieci rozchodzi się informacja, mająca wyższy revision number. Wszystkie urządzenia skonfigurowane jako klienci i serwery danej domeny VTP sprawdzają swój numer rewizji i jak jest niższy, to aktualizują swoje dane o VLAN do najwyższego.
    Inaczej mówiąc, zmiany możesz wprowadzać na każdym serwerze i wszyscy się o tym dowiedzą

    pzpzpzpzpz napisał:

    4. Wyłączenie DTP dla trunków (konfiguracja ręczna), trunki między Core-Distribution i Distribution-Access

    Ogólnie trunki lepiej zestawiać ręcznie, panując nad tym co się dzieje

    pzpzpzpzpz napisał:

    5. Data Center z adresacją statyczną (VLAN 200 + PVLAN 201 DB+WWW, PVLAN 202 FTP, PVLAN 203 SMTP) + Port Security z ręczną konfiguracją MAC dla serwerów

    Strefy aplikacji, czy Data Center nie podłącza się w sposób przedstawiony na Twoim obrazku.
    Masz tam pojedynczy punk awarii.
    Strefę aplikacji podłącza się do CORE przez przełączniki drugiej lub trzeciej warstwy, każdy przełącznik do każdego przełącznika CORE

    pzpzpzpzpz napisał:

    6. Porty dostępowe na switch'ach Access1-3 w VLAN 100

    Ok

    pzpzpzpzpz napisał:

    7. Powyższe porty z możliwością uzyskania jedynie jednego adresu IP (tutaj pytanie co najlepiej zastosować?)

    To zależy, co chcesz osiągnąć?
    Możesz zastosować PortSecurity, ale to upierdliwe rozwiązanie, zwłaszcza jak zaczną się zmiany sprzętu i sprzętu jest dużo.
    Możesz zastosować 802.1X do autoryzacji urządzeń w sieci.

    pzpzpzpzpz napisał:

    8. DHCP Snooping na portach access z limit rate 10 + DAI
    9. RSTP (tutaj pytanie gdzie umieścić RB najlepiej?) + BPDU Guard + Root Guard

    Tu musisz sobie zadać pytanie, czy dystrybucję robisz na 2 czy 3 warstwie.
    Ja bym robił na 3 :)

    pzpzpzpzpz napisał:

    10. Routing statyczny

    Przy dystrybucji na L2 - ok, przy dystrybucji na L3 włączyłbym OSPF

    pzpzpzpzpz napisał:

    11. ACLs wpuszczające do Data Center jedynie dane z protokołów HTTP, HTTPS, SMTP, FTP z VLAN 100 i VLAN 300 (Rozumiem, że na Core1 i Core2). Tutaj pytanie, czy jest uzasadnienie dla ACLek wyjściowych z Data Center dla tych samych protokołów? Tak np., żeby wypuszczać ruch jedynie do VLAN 100 i 300? Ponadto, skoro VLAN 200 podzielony jest na PVLANy, ACLki powinny dotyczyć VLAN 200 czy poszczególnych PVLAN (czy też najlepiej użyć adresów IP, skoro i tak adresacja w tej podsieci będzie statyczna)

    Ogólna zasada mówi, że najbliżej źródła. Życiowa zasada mówi, że tam gdzie najwygodniej :)
    Ja bym ACL do strefy serwerowej wstawiał na przełącznikach tej strefy, są tylko dwa i łatwo będzie tym zarządzać.
    Czy ACL na wyjście jest potrzeby?
    Nie zaszkodzi :)

    pzpzpzpzpz napisał:

    Niestety nie dysponuję sprzętem, więc starałem się zaimplementować to w packet tracer - gdzie jednak ograniczenia mi na to do końca nie pozwalają. Mam natomiast właśnie przy jego użyciu zaimplementowane VTP i kilka innych elementów. Stanąłem na HSRP, bo nie do końca wiem jak skonfigurować HSRP w przypadku VLANów (per-VLAN?) i z RSTP, bo nie wiem gdzie umieścić Root Bridge.

    Tyle sprzętu też nie mam, może za jakiś czas.

    Dużo rozwiązań dla Twoich rozważań znajdziesz tu:
    www.pdfiles.com/pdf/files/English/IT_Certific...CCDA_640-864_Official_Certification_Guide.pdf