Elektroda.pl
Elektroda.pl
X
Computer ControlsComputer Controls
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Projekt sieci redundantnej

25 Sie 2016 01:31 2994 28
  • Poziom 13  
    Witam,
    prosze o zweryfikowanie projektu sieci redundantnej.

    Wymagania:
    - 3 kondygnacyjny budynek, na każdym piętrze potrzeba 50 gniazd sieciowych
    - Gigabit Ethernet

    Założenia:
    - 2 DSW, switche do podziału sieci na każdym z pięter
    - 2 ASW, switche głowne
    - 2 routery aby zapewnić pełną redundancję
    - połączenia miedzy switchami zrealizowane światłowodowo
    - połączenia switchy z routerami oraz switchy do gniazd abonenckich zrealizowane za pomocą patchordu minimum kat.6
    - redundantne połączenie do internetu, 2 ISP


    Prosze o sprawdzenie projektu

    Projekt sieci redundantnej
  • Computer ControlsComputer Controls
  • Pomocny post
    Poziom 19  
    Topologia jak topologia, dobór sprzętu i konfiguracja będzie kluczowa.
    Będziesz używał switch-y layer 3
    Wszystkie urządzenia mają się dublować na wypadek awarii sprzętowej włącznie z routerami??
  • Pomocny post
    Poziom 38  
    Sieć ciekawa. Ale ja juz sie patrzę od strony oprogramowania i routingu. Jeśli chcesz dokonywać głównego routingu na poziomie switchów(4) to jest poprawna pod warunkiem, że switche bedą połączone kablem w tzw "stack". Nie wiem jaką firmę preferujesz ale switche Cisco moga być połączone w stack i wtedy działają jak jeden.
    W innym przypadku będziesz się gubił z routingiem, bramą domyślną, serwisem DHCP .
  • Computer ControlsComputer Controls
  • Pomocny post
    Poziom 37  
    Do poprawy układ switch'y i routerów wejściowych.
  • Pomocny post
    Poziom 19  
    Po dłuższym zastanowieniu to dla mnie to trochę nie ma sensu...
    tzn. jeżeli masz podłączone 24 końcówki do jednego switcha, jak padnie i tak nie przepniesz tych 24 automatycznie. Lepiej zaprojektować to na trunkach i jednym routerze który przełączy ISP w razie problemów.

    Jak zrobi stack to tym bardziej nie potrzebuje tylu połączeń no i dochodzi sprawa STP jak to ogarnąć żeby ta sieć działała.
  • Pomocny post
    Poziom 37  
    pitron napisał:
    Po dłuższym zastanowieniu to dla mnie to trochę nie ma sensu...
    tzn. jeżeli masz podłączone 24 końcówki do jednego switcha, jak padnie i tak nie przepniesz tych 24 automatycznie.
    To ma sens. Do krytycznych komputerów może podłączyć dwa linki (dwa porty w komputerze), a całą rzeszę w razie awarii może przepiąć dowolna osoba (nawet mało wykwalifikowana). Do tego minimalizuje czas obsługi awarii, ma już skonfigurowany i podłączony sprzęt.

    pitron napisał:
    Lepiej zaprojektować to na trunkach i jednym routerze który przełączy ISP w razie problemów.
    Może nie musi przełączać, dlaczego nie może korzystać z wielu połączeń ze światem jednocześnie?

    sanfran napisał:
    Jeśli switche "centralne" zostaną zestackowane i tam będzie podejmowany wybór bramy (default gateway) to ujdzie. Routery moga pełnić role firewall'ów.
    Dlaczego switche mają obsługiwać L3? I dlaczego ma być w ogóle default gateway? Co to ma do takiego układu?
  • Pomocny post
    Poziom 19  
    freebsd napisał:
    To ma sens. Do krytycznych komputerów może podłączyć dwa linki (dwa porty w komputerze), a całą rzeszę w razie awarii może przepiąć dowolna osoba (nawet mało wykwalifikowana). Do tego minimalizuje czas obsługi awarii, ma już skonfigurowany i podłączony sprzęt.

    Czynnik ludzki fuj ;-). Nie spotkałem osobiście takiego rozwiązania ale czy są krosownice przełączane? Takie cyk i mamy krosy wpięte do innego switcha...

    freebsd napisał:
    Może nie musi przełączać, dlaczego nie może korzystać z wielu połączeń ze światem jednocześnie?
    No pewnie że może to już kwestia konfigu i ewentualnych ograniczeń: mailserver, vpn itp.
  • Pomocny post
    Poziom 37  
    pitron napisał:
    No pewnie że może to już kwestia konfigu i ewentualnych ograniczeń: mailserver, vpn itp.

    Serio? Nawet dla LIR'a?
  • Poziom 13  
    Widzę, że w moim projekcie sieci są niedoskonałości.

    Przeanalizowałem ponownie projekt, wymagania odnosnie sieci:

    - LAN
    - sieć w standardzie Gigabit Ethernet
    - 2 ISP
    - siec redundantna
    - sprzęt Cisco
    - osobna podsieć WLAN dla gości i serwera WWW/poczta itp/

    Ilości gniazd:
    - parter 32 gniazda
    - pietra 1 i 2: 44 gniazda

    Podstawowy projekt sieci wygląda tak:
    Projekt sieci redundantnej

    Switch dla strefy DMZ można ominąć za pomocą VLAN:
    Projekt sieci redundantnej

    Teraz pojawia się pytanie, jak przerobić tą sieć na redundantną?
    Chodzi mi o zapewnienie bezawaryjnosci w przypadku:
    - awari łaczy między switchami, routerem
    - braku internetu od ISP
    - awarii switcha w CPD
    - awarii routera

    Wszystim zaangażowanym w dyskusję z góry dziękuje.
  • Poziom 19  
    baser napisał:

    Teraz pojawia się pytanie, jak przerobić tą sieć na redundantną?
    Chodzi mi o zapewnienie bezawaryjnosci w przypadku:
    1 awari łaczy między switchami, routerem
    2 braku internetu od ISP
    3 awarii switcha w CPD
    4 awarii routera


    Moje propozycje są takie:
    1. Tworzysz trunki np. LACP po co najmniej dwa porty między urządzeniami jeden kabel zostanie uszkodzony sieć działa bez zająknięcia.
    2. Brak jednego ISP jeden router z wieloma WANami można tak skonfigurować że będzie wykrywał które łącze jest sprawne, a które nie i wybierał odpowiednią trasę.
    4. Tutaj się trochę komplikuje, ale podobnie można to dokonfigurować/oskryptować żeby drugi router przejął funkcje pierwszego włączył routing i podniósł linki.
    3. Punkt 3 to dla mnie największy kłopot poczekam co powiedzą koledzy ;-)
  • Pomocny post
    Poziom 38  
    Przepraszam, ze bez polskich znakow ale stukam na szybko ze sluzbowego peceta.

    1. Laczysz dwa switche w stack. Zaczynaja dzialac jako jeden. Wtedy laczysz kazdy ze switchy do routera. Dwa (lub wiecej) porty w routerze konfigurujesz jako jeden komenda bridge-group wtedy dzialaja jako switch, wtedy jeden link bedzie aktywny a drugi redundantny - switch juz o to zadba.
    Problemem jest brak portu do ISP. Mozesz albo kupic dodatkowy modul z portem Ethernet, albo podlaczyc ISP do jednego switcha i puscic po osobnym VLAN (niezalecane).

    2. Brak internetu od ISP. Konfigurujesz "floating static route" i "ip sla responder". I centralny punkt sieci (najlepiej zestackowany switch z obsluga L3) podejmuje decyzje gdzie jest "default-gateway"

    3. Jesli beda dwa switche zestackowane w jeden - wszystko jest OK. metoda jest taka. Na switch nr 1 podpinasz porty nieparzyste 1-3-5 itd; na switchu 2 porty parzyste. W konfiguracji switcha (zestackowany dziala jak jeden) konfugurujesz identycznie porty w module 1 i 2. Chodzi o to, zeby w przypadku awarii jednego ze switchy poprzepinac porty z zepsutego do dobrego 1-1, 3-3 itd. lub 2-2, 4-4 itd.

    4. Awaria routera. Tu jest problem, bo z reguly podlaczenie ISP jest "single point of failure". Stawia sie dwa routery, do dwoch dostawcow internnetu i konfiguruje w/g punktu 2.
  • Poziom 25  
    Ja bym się tam nie pchał w takie rozwiązania bez odpowiedniego budżetu (wspomniane wyżej Cisco). Raczej poszedłbym w zakup identycznych urządzeń + np 2 na zapas. Zrobienie kopii ustawień i w razie awarii wgranie konfiguracji uszkodzonego urządzenia do sprzętu zapasowego i jego podmianę.

    Co do routera - sytuacja identyczna. Zakup urządzenia z multiWan lub skorzystanie z OpenWrt + drugie zapasowe urządzenie w szafie. Tu można od razu skopiować ustawienia - kwestia przepięcia kabli.

    Jeśli liczysz na bezobsługowość rozwiązania z redundancją to raczej się przeliczysz. Zawsze coś wyskoczy, niech któryś switch zgubi konfigurację i z np LACP czy innego wynalazku zrobi się pętla paraliżująca pracę całej sieci.
  • Poziom 37  
    Ibuprom napisał:
    Ja bym się tam nie pchał w takie rozwiązania bez odpowiedniego budżetu (wspomniane wyżej Cisco)
    Bezpieczeństwo kosztuje, a sprzęt Cisco czasami ułatwia, a czasami utrudnia. Spokojnie mozna to zrobić na tańszym sprzęcie (ale markowym) i oprogramowani Open Source.


    Ibuprom napisał:
    Jeśli liczysz na bezobsługowość rozwiązania z redundancją to raczej się przeliczysz. Zawsze coś wyskoczy, niech któryś switch zgubi konfigurację i z LACP zrobi się pętla paraliżująca pracę całej sieci.

    Na to są sposoby.
  • Poziom 25  
    Na wszystko są sposoby. Wszystko da się ustawić, skonfigurować - ale nie wszystko da się przewidzieć. Poza tym trzeba pomyśleć co będzie gdy sieć przejmie ktoś inny i się pogubi w zawiłościach jej konfiguracji?

    Na warsztatach z Cisco takie scenariusze przerabiałem - wszystko działało super - tyle że taki lab wart był więcej niż dom w którym mieszkam. Ot - coś za coś.
  • Poziom 37  
    Ibuprom napisał:
    Na wszystko są sposoby. Wszystko da się ustawić, skonfigurować - ale nie wszystko da się przewidzieć. Poza tym trzeba pomyśleć co będzie gdy sieć przejmie ktoś inny i się pogubi w zawiłościach jej konfiguracji?
    Sposoby wynikają z wiedzy, a na przewidywanie awarii ma wpływ doświadczenie. Ilość możliwych awarii (tak realnie) jest jednak ograniczona. Przyszły pracownik pogubi się? To trzeba zatrudnić bardziej rozgarniętego i dbać o aktualizowanie dokumentacji sieci.

    Ibuprom napisał:
    Na warsztatach z Cisco takie scenariusze przerabiałem - wszystko działało super - tyle że taki lab wart był więcej niż dom w którym mieszkam. Ot - coś za coś.

    Robiłem taki lab (tak fizycznie) na potrzeby pierwszych szkoleń Cisco Security w Łodzi, jeszcze na PIX'ach. Moje mieszkanie jest jednak droższe.
  • Poziom 38  
    Ibuprom napisał:
    tyle że taki lab wart był więcej niż dom w którym mieszkam


    Juz Bareja w swoim filmie to przewidział:

    Cytat:
    Nie mieszajmy myślowo dwóch różnych systemów walutowych. Nie bądźmy peweksami!


    Czyli nie mieszaj budżetu domowego z budżetem firmowym. Nie zawsze na miejscu jest informatyk od ogarnięcia awarii, lepiej się zabezpieczyć na wyrost.
  • Poziom 25  
    Niedawno inżynier inforrmatyk przejął sieć z 3 vlanami - nie wiedział co to jest vlan, a już całkiem go przerosło sprawdzenie na którym porcie jakie lecą vlany w klikalnym gui switcha d-link. O takich fachowcach właśnie myślę. Dokumentacja niewiele im pomoże.

    Ok, mieszanie pojęć wartości pieniądza było słabe z mojej strony. Nie wiemy jednak jakim budżetem dysponuje autor tematu bo założenia ma ambitne a jak już widać nie jest to prosty do ogarnięcia temat.
  • Poziom 19  
    Ibuprom napisał:
    Niedawno inżynier inforrmatyk przejął sieć z 3 vlanami - nie wiedział co to jest vlan, a już całkiem go przerosło sprawdzenie na którym porcie jakie lecą vlany w klikalnym gui switcha d-link. O takich fachowcach właśnie myślę. Dokumentacja niewiele im pomoże.


    Do zawodu trzeba podejść z zamiłowaniem, żadna uczelnia nie nauczy tego co samodoskonalenie i praktyka. :D

    Nie wierzę ślepo w redundancję i wolę monitorować sieć Zabbixem lub na bogato NetCrunchem.
  • Poziom 13  
    Dziękuje wszystkim za pomocne posty. Wymieniłem kilka wiadomosci z ludźmi od Cisco i doszedłem do wniosku, że najlepszy bedzie poniższy schemat sieci.

    Mozliwa awaria:
    - switcha w PPD: odpada całe pietro - konieczna wymiana switcha, tego nie przeskocze.
    - routera: brak internetu, brak routingu miedzy VLANami lub tylko brak interentu przy użyciu switchy z CPD warstwy 3.

    CDP:
    - 2 switch połączone w stack, kazdy min 3xSFP
    - z każdego switcha po 1 światłowodzie do PPD skonfigurowanych jako EtherChannel vlan10
    - z każdego switcha po 1 skrętce do serwera skonfigurowanych jako EtherChannel VLAN10
    - z każdego switcha po 1 skrętce do WEB serwera skonfigurowanych jako EtherChannel VLAN20

    PPD:
    - po 1 switchu 48 portowym, min 3xSFP

    Router:
    - 1 szt z 2 ISP

    Pytania:
    - Czy lepiej w CPD zamontować switche L3 i zastosować na nich routing miedzy VLANami?
    - Jezeli Switche L3 to jak podłączyć ISP?
    - Czy zainstalować 2 routery zamiast 1? Jak wtedy wykonać połączenia?

    Projekt sieci redundantnej
  • Poziom 37  
    Nie ma danych, jaki jest wykorzystywany protokół routingu. Jakie są konkretnie założenia i cele?

    Patrząc na zaproponowany schemat, to już lepiej nie robić żadnej redundancji. Szkoda pracy. Np.: uaktualniamy oprogramowanie routera -> połączenie ze światem nie działa. Co jest na schemacie:
    - Pojedynczy router.
    - Zdublowane switche.
    - Zdublowane połączenia przebiegające w ścianach.
    - Pojedynczy switch.
    Dlaczego by, nie zdublować wszystkich elementów aktywnych i połączeń pomiedzy nimi? O ile jeszcze zamiast dublować switche w PPD, to można mieć po prostu jeden, już skonfigurowany, na "globalny"zapas, to brak powielenia routera jest kiepskim pomysłem.
  • Poziom 13  
    Celem jest zaprojektowanie redundantnej sieci:
    - 3 pietra w jednej podsieci
    - podsieć dla gości
    - podsieć dla serwera www

    Założenia:
    - Wszystkie urządzenia aktywne (poza przełącznikami w PPD) w sieci oraz polaczenia miedzy nimi będą podwójne.
    - Okablowanie pionowe wykonane zostanie za pomocą światłowodów jednomodowych, aby zwiększyć przepustowość miedzy piętrowymi punktami dystrybucyjnymi a centralnym punktem dystrybucyjnym.
    - Okablowanie poziome wykonane zostanie za pomocą skrętki komputerowej UTP kat.6. (odcinki nie wieksze niż 60m)
    - Na każdym piętrz zainstalowany zostanie punkt dostępowy obsługujący bezprzewodową transmisję, z 2 SSID dla VLAN wewnętrznego i gości

    Protokół routingu: RIP lub EIGRP
    Routery będą dwa, na nich skonfigurowany HSRP, tylko jak je połączyć fizycznie?

    Projekt sieci redundantnej

    S1 i S2 połączone w stack.
  • Poziom 37  
    baser napisał:
    za pomocą światłowodów jednomodowych, aby zwiększyć przepustowość miedzy piętrowymi punktami dystrybucyjnymi a centralnym punktem dystrybucyjnym.
    Dokładnie.


    baser napisał:
    Okablowanie poziome wykonane zostanie za pomocą skrętki komputerowej UTP kat.6.

    Karty sieciowe w jakim standardzie? - do tego dobierz skrętkę. Jeżeli będzie max. 1000Base-T to kat.6 wygeneruje niepotrzebne koszty i problemy.

    Zobacz przykładowe rozwiązania:
    Projekt sieci redundantnej Projekt sieci redundantnej
  • Poziom 19  
    Od pierwszego schematu tej sieci redundantnej nurtuje mnie pytanie jak chcesz rozwiązać problem błądzących pakietów i pętli? Zamierzasz włączyć Spanning Tree i zapomnieć? W tej topologi będziesz musiał pogłówkować jak skonfigurować STP i jego implementacje choćby dla Vlanów...
  • Poziom 38  
    Switche CISCO mają zaimplementowany bardzo dobry STP (Spannig Tree Protocol) i to na dodatek domyślnie włączony.
    Każdy kto ma za sobą zdany przynajmniej CCNA takich rzeczy nie wypisuje.
    Takie sieci z podobnymi połączeniami projektuje i implementuje dla przemysłu olejowego (platformy wiertnicze) i działają tam jak trzeba.
  • Poziom 19  
    Jesteś na 100% pewien że nie da się tak omyłkowo spiąć topologi że może dojść do rozpięcia sieci w sposób niepożądany? Jeżeli tak to ja kończę wpisy w tym temacie.
  • Poziom 38  
    Wiesz, na Cisco to juz trochę zębów zjadłem.
    Gdy podłączasz coś do nieskonfigurowanego switcha zapewne zauważyłeś że kontrolka nad portem zapala się na pomarańczowo i tak sobie miga od 20 do 40 sekund. W tym czasie sieć jest testowana na okoliczność pętli.
    Jeśli w konfiguracji portu jest linia: "spannig-tree portfast" to wtedy ta czynność jest pomijana.

    Ale jeżeli masz prawidłowo skonfigurowane trunki i nie łączysz żadnych innych "dziwnych" urządzeń sieciowych to jest OK.

    Ale zgadzam się z tobą, oprócz rysunku topologii potrzebne jest także zaprogramowanie urządzeń sieciowych. I to juz robota dla sieciowca. I nie da sie napisać konfiguracji na forum.
    To znaczy da się, ale szanujmy się nawzajem.
  • Poziom 13  
    Dziękuje wszystkim za pomoc. Czytając i przeglądając fora cisco oraz specyfikacje, natknąłem sie na kilka możliwości rozwiązania mojego problemu.

    Warstwa dostępowa

    To co pozostaje na pewno bez zmiany to 2 switche w warstwie dystrybucyjnej, każdy połączony z switchem warstwy dostępowej 1 światłowodem oraz jednym patchordem z serwerem.

    Projekt sieci redundantnej

    Warstwa dystrybucyjna

    Jeżeli chodzi o samo połączenie switchy natrafiłem na 2 rozwiązania (wiekszość switchy które oferuje stack daje też możliwość VRRP lub HSRP):
    - połączenie switchy w stack, połączenia w trybie port-channel
    - nie łączenie switchy w stack i zaimplementowanie na nich VRRP/HSRP

    Projekt sieci redundantnej

    Wychodzi na to, ze stack daje większe możliwości przy tej samej ilości połączeń. W VRRP wykorzystywane jest tylko 1 aktywne łącze, przy stackowaniu dwa w trybie port-channel. Więc kolejną warstwę oprę o założenie stackowania w warstwie dystrybucyjnej. Poprawcie mnie, jeżeli się mylę.

    Warstwa rdzenia

    Oparta na 2 routerach:
    - na switchach (L3) zaimplementowanie SLA tracking oraz float static routes - wtedy router pełnią funkcje firewallów.
    - switche L2, na routerach HSRP

    Projekt sieci redundantnej


    W takiej topologii sieci doświadczenia nie mam, dlatego pytam Was, bardziej doswiadcoznych użytkowników aby nie popełnić błędów.

    1) Switche dystrybucyjnej są warstwy 3, dlaczego ich nie wykorzystać w celu routingu, a zamiast routerów wstawić 2 firewalle?
    2) Jak zapewnić dostęp do serwera www z WAN, aby działał dla 2 ISP?

    ____________________________________________________________

    pitron napisał:
    Od pierwszego schematu tej sieci redundantnej nurtuje mnie pytanie jak chcesz rozwiązać problem błądzących pakietów i pętli? Zamierzasz włączyć Spanning Tree i zapomnieć? W tej topologi będziesz musiał pogłówkować jak skonfigurować STP i jego implementacje choćby dla Vlanów...


    Switche w trybie stack, połączenia do nich w trybie Cross-Stack EtherChannel, połączenie switch-router np VRRP. Gdzie tu mowa wtedy o STP?
  • Poziom 37  
    baser napisał:
    Jeżeli chodzi o samo połączenie switchy natrafiłem na 2 rozwiązania (wiekszość switchy które oferuje stack daje też możliwość VRRP lub HSRP):
    - połączenie switchy w stack, połączenia w trybie port-channel
    - nie łączenie switchy w stack i zaimplementowanie na nich VRRP/HSRP

    Łączę kablem stack'owym, gdy brakuje mi portów. W innym wypadku używam uniwersalnych rozwiązań.

    baser napisał:
    Oparta na 2 routerach:
    - na switchach (L3) zaimplementowanie SLA tracking oraz float static routes - wtedy router pełnią funkcje firewallów.
    - switche L2, na routerach HSRP

    baser napisał:
    1) Switche dystrybucyjnej są warstwy 3, dlaczego ich nie wykorzystać w celu routingu, a zamiast routerów wstawić 2 firewalle?

    Ogólnie to zależy np.: od użytego sprzętu, ale w Twoim przypadku nie potrzebujesz dużej pamięci na tablice routingu, a rozwiązanie "sprzętowe' powinno być szybsze - więc switch'e L3. To tak naprawdę ogólnie, bez rozpatrywania np.: którędy chcemy odpowiedzieć na dany rodzaj ruchu, czy rozdzielenia obciążenie danego interface.

    baser napisał:
    2) Jak zapewnić dostęp do serwera www z WAN, aby działał dla 2 ISP?

    1) Własna przestrzeń adresowa, zostań LIR'em.
    2) Dwa łącza do jednego dostawcy, ale do dwóch różnych punktów dostępu i dogadanie się na jakiś protokół routingu.
    3) Zewnętrzny DNS odpowiednio ustawiony.
    4) Redirect z "chmury".