Existe uma maneira melhor de criar uma rede de gerenciamento fora da banda?

Pediram-me para ajudar no design de uma rede de gerenciamento "OOB", mas tenho um número limitado de recursos disponíveis. Eu tenho o seguinte:

1 par de pilhas Cisco 3750-X com um módulo de rede C3KX-NM-1G em cada um.
8 Switches "agregados" Cisco 2960-24TC-L.

Executamos uma topologia de rede Núcleo Colapsado da Camada 2 com um núcleo Cisco 6509-E VSS. Temos 128 switches de acesso conectados ao nosso núcleo por meio de canais de porta de 1 Gps. É uma mistura de uplinks de cobre e fibra. Fibra no segundo andar e cobre em nosso datacenter.

O pensamento atual de nosso consultor é configurar o SVI de gerenciamento em cada um dos nossos switches de acesso com sua própria VLAN ligada aos nossos switches 2690 "agregados". Os comutadores agregados, por sua vez, serão conectados à pilha do 3750-X por meio de um tronco 802.1q e configurados com IP Unnumbered para emular um link da Camada 3, ignorando, em essência, a comunicação L2 entre os comutadores de acesso de produção. A pilha 3750-X terá um loopback configurado para cada VLAN individual que os comutadores de acesso à produção usarão como gateway padrão.

A idéia / preocupação é que não queremos que nossa rede de gerenciamento repasse o tráfego STP para os outros comutadores de acesso ou arrisque qualquer tipo de convergência de rede entre as duas redes separadas. Uma espécie de configuração de VLAN privada de "Pobre homem".

Gostaria de saber se esta é a melhor ou mais eficiente maneira de configurar isso ou se existe uma maneira melhor de fazer isso.

design management

— JDGray
fonte

estou entendendo isso corretamente? 128 switches em uma vlan ??

— Mike Pennington

Na rede de produção, temos mais de 250 VLANs. Na rede de gerenciamento OOB provisoriamente projetada, haveria uma VLAN por switch de acesso que estamos gerenciando. (Dispositivos que possuem uma interface de gerenciamento dedicado, claro Excluindo)

— JDGray

que tipo de árvore de abrangência você está executando? pvst, pvst rápido, rstp ou mst?

— Mike Pennington

PVST rápido (modo transparente VTP) A decisão de criar uma rede de gerenciamento OOB decorre de uma interrupção relacionada ao STP, onde perdemos toda a conectividade à nossa rede de gerenciamento em banda.

— JDGray

rápida PVST é a melhor spanningtree para esta topologia ... você pode até considerar um trinta direta mordeu interface de roteado no chassi VSS se isso poderia eliminar completamente árvore estendida por completo ...

— Mike Pennington

Eu sei que o 3750X tem uma interface de gerenciamento na parte traseira, que é uma porta Ethernet 10/100 Fast. Está ao lado da porta do console RJ-45. Também acredito que o switch 2960 que você listou lá também tem uma porta de gerenciamento na frente, acima das portas SFP.

Supondo que seus switches não estejam muito longe, você pode usar as interfaces de gerenciamento para gerenciar seus dispositivos remotamente, se desejar. É claro que você precisaria de cabeamento adicional para outro "comutador de gerenciamento" que provavelmente conteria a VLAN necessária apenas para gerenciar esses dispositivos.

Caso contrário, você também pode executar um servidor de servidor de terminal como um OpenGear ou algo dessa natureza e ter as conexões do console vinculadas a este dispositivo para controlá-las remotamente se toda a sua rede estiver com problemas ou não.

Essas interfaces de gerenciamento operam em seu próprio VRF e também não participam do STP, pois não estão sendo executadas na VLAN ativa que está sendo acessada por eles. No entanto, eu vi isso em algumas organizações que gostam de ter a VLAN de gerenciamento na mesma sub-rede que os hosts no switch. Isso lhes permite executar ping e verificar a tabela arp table / mac address e identificar onde os dispositivos são um pouco mais fáceis do que se fosse apenas uma rede L2 simples. É claro que existem prós e contras em cada método, no entanto, uma vez que você deseja usar um método fora da banda. Eu diria que a interface de gerenciamento é provavelmente a sua melhor direção.

— knotseh
fonte

Você deve ter o RS232, então OpenGear, antigo CPE da Cisco com porta assync ou comparável. A interface de gerenciamento ON-BAND é uma opção opcional, quase não traz benefícios para gerenciar o switch nos links de produção. Ele compartilha completamente o mesmo IOS e o mesmo plano de controle. Pelo menos via RS232, você pode quebrá-lo para rommon e recarregar.

— ytti

@ytti very true! a interface de gerenciamento em banda também permite imagens TFTP e FTP para ajudar a atualizar o switch e etc. Concordo que o gerenciamento RS232 deve estar sempre presente, a menos que você tenha alguém em espera com um cabo do console em uma emergência terrível.

— knotseh

Você também pode usar o caminho de dados de produção para TFTP / FTP. A interface de gerenciamento em banda normalmente não está conectada ao ASIC / NPU, mas fica diretamente no plano de controle; isso significa que você não pode protegê-la do próprio dispositivo. O que significa que mesmo coisas acidentais, como o loop na sua rede NMS, podem derrubar todos os seus dispositivos ao mesmo tempo. Se você for usá-lo, limite o acesso a ele de maneira muito rigorosa a partir da opção NMS. (a verdadeira solução para isso é 'CMP', verdadeiros 'luzes apagadas ethernet' usando diferentes HW e SW dentro do dispositivo, infelizmente poucos dispositivos na rede mundial tem isso)

— ytti

Nossos switches Cisco 2960 não possuem nenhuma interface de gerenciamento. Essa é uma das minhas preocupações em ser a nossa rede "OOB", pois a interface que usamos em nossos switches de acesso como porta de "gerenciamento" ainda estará no plano de tráfego. Tentei vendê-los usando um sistema baseado em console para gerenciamento fora de banda, mas eles insistiram que queriam fazê-lo dessa maneira para facilitar a atualização do IOS, se necessário. No entanto, eles assinaram contrato com cabos dedicados de console para cada switch de acesso e compraram os switches de console, provavelmente Avocent, no próximo ano fiscal.

— JDGray