Schéma sítě

[Magic]

Zdravím,
byl bych vděčný za radu jak nejlépe změnit topologii síťě, kterou již historicky máme viz. obrázek. S růstem siťe se jen vylepšoval HW, ale topologie zůstala.

Jen okomentuji, že od ISP máme konekt do 1G na optice, který prochází přes GW na kterém běží hlavní firewall, shaper, nat veřejných adres a routy. Z něj to jde do hlavního routeru, který řeší vnitřní firewall, vlany a neplatiče. Vlany jsou posílány do switche, který je směruje na konkrétní porty/vlany do dalších částí síťě optiky, rádia, atd.

V současnosti přes síť teče cca 400Mbit a chtěli bychom s nárustem rychlosti topologii změnit k nejideálnějšímu schématu.
Bohužel to nyní stojí na funkčnosti všech tří prvků a kdyby se něco stalo, tak je potřeba okamžitě vyměnit vadný kus. Jde to vůbec zduplikovat?

- Je lepší vzít do budoucna konekt 1+1 nebo upgradovat na 10G?
- Je lepší mít shaper zvlášť a jak případně přes něj protáhnout trafic?
Budu vděčný za každou radu.
díky

[svestka]

snad jedině mít náhradní HW. switch je jasnej, ideálně stejný kus, v polici, a udržovat stejnou konfiguraci. gw a router mít typově stejnou mašinu a v polici držet kus navíc a navíc disk s kopií z gw a disk s kopií z routeru

[hocimin1]

Co se tyce hardware viz vyse.

Co se tYce konektivity.

Tak vyhodnejsi je 10g


- budes mit jednoduzsi navyseni do budocna 1g protoze mas rezervu 9g
- napr lepe preckas soucasne ddos utok, protoze se vetsinou pohybuji do 5g
- vyjde to levneji nez platit 2 linky s kapacitou do 1g. A kdZ ti jedna padne tak mas pouze 1g, jedes to ano, ale teeba i spatne. A kdZ bude utok pujde na tebe obema linkami
- navic kdyz budes krmit iptv tak ti to multicas k tobe odrizne parset mega z trafiku

Za me ze zkusenosti dve 1g od dvou ruznych. Predelano na 10g od jednoho.


Ohledne shaperu. Nyni testujem vice shaperu v kokalitach ccrka. Protoze kdyz jedno chcipne jedou alespon i ty ostatni lokality. A taky dlouhodobe prechazime z routovane site na switchovanou a vlan

[Kaja]

Co je pro tebe zasadnim duvodem k prechodu na switchovanou sit?
Neni uziti CCRek v lokalitach v rozporu s prechodem na switchovanou sit?
K

Co se tyce hardware viz vyse.

Co se tYce konektivity.

Tak vyhodnejsi je 10g


- budes mit jednoduzsi navyseni do budocna 1g protoze mas rezervu 9g
- napr lepe preckas soucasne ddos utok, protoze se vetsinou pohybuji do 5g
- vyjde to levneji nez platit 2 linky s kapacitou do 1g. A kdZ ti jedna padne tak mas pouze 1g, jedes to ano, ale teeba i spatne. A kdZ bude utok pujde na tebe obema linkami
- navic kdyz budes krmit iptv tak ti to multicas k tobe odrizne parset mega z trafiku

Za me ze zkusenosti dve 1g od dvou ruznych. Predelano na 10g od jednoho.


Ohledne shaperu. Nyni testujem vice shaperu v kokalitach ccrka. Protoze kdyz jedno chcipne jedou alespon i ty ostatni lokality. A taky dlouhodobe prechazime z routovane site na switchovanou a vlan

[helapc]

Taky mě zajímá důvod přechodu na switchovanou. Nerejpu fakt mě to zajímá.

[hocimin1]

Jsem to mel rozepsany na telefonu a sklaplo to, tak znovu.

Kazde ma sve pro i proti.

Vyuzivame od kazdeho neco

Switch uz je z podstaty vykonejsi.

Tak treba odeleni servisni vlan a data vlan

Spoj na ap a jednotlive sektory mam na servisni vlan. Klienti jsou na datove

Servis i vlan nemuze do internetu a jde se na ni dostat pouze ze servisnich ip.

Navic kdyz mas routovano tak nepoznas kam ti co tece. Ale takhle me staci monitorovat core switch a vlan. Kdyz nekdo dela bordel, odriznu vlan a zbytek jede dal.
Kdyz budud potrebovat dat zakaznikovi verejnou, poslu mu ji na VLAN. Na tu VLAN si ji rozrezu s vetsi maskou a pouziji i nekde jinde pro jine zakazniky. U rotovane bud budu rezat na masku 30, nebo delat NAT 1:1 (ale pak je problem pro IPsec)



Na ap dam napr poe switch hp2530-8-POE (cenove podobne RB3011) vyzalohuju 48v a muzu napajet privod 10g,17g a apcka pres 803af extraktory. 8 Portu POE 2 porty normalni. Nepotrebuju uz zadne dalsi POE blbosti ci tak, vim co bezi. Muzu to vypnout a podobne. Vykonove to to HP da v pohode, RB taky. Ale proc rvat router na to aby switchoval


Kdyz budu potrebovat poslat iptv na vlane do lokality tak ji tam dam a je tam.

Nemluve o tom ze i dnesni switche v pohode zvladaji bgp a ospf


Nerikam ze neroutuju. Je to hybrid. Ale jen na lokality (mesta) apcka a baraky jsou je vlan


ptejte se tech switchujou uz od zacatku, proc nepresli na routovanou

[rouchi]

Ahoj jeslti můžu přidat kousek do názoru. osobně jsme taky přešli na hybridni sít... resp. když jsme začínali tak jsem jeli kompletně switchovanou (do cca 400 zařízení) potom jsme to překlápěli na routovanou a na cca 1500 účastnících jsem to zase začli předělávat na hybridní s tím, že to máme teda udělané tak, že páteřní sít, je na switchích a , kde končí profi rádia (10/17/18/80G) je bouchlý router a ten už dál vysílače navazující v 5tce routuje.
musim říct, že mi to takhle příjde docela OK.
důvod byl ten, že máme docela hodně vysílačů, přeskoků atd, tak prostě cpát všude router za 4 - 5k, aby to s klidem utáhl i na 300 - 400Mbitech (do budoucna) mi přišlo jako mařená investice (máme cca 100 vysílačů) a týkalo by se to dejme tomu 15 - 25.
no a především s příchodem UBNT edge switchů byla volba jasná.
Teď racky vypadají tak, že tam je Edge, 750 /2011 + intex a 75/100AH baterka a zbytek jsou FODy (vč UBNT hraček) a nic víc..
jediné potřebné propojky jsou 2-3 mezi switchem a RBčkem.. na větších sajtech plánuju až bude dostupné napáječe od UBNT pořídit tam ty jejich HOTSWAPOVé zdroje a napájet tím profi rádia... sice to zabere další místo ale max další 2U a na to by mělo být v rackách místa dost.
Docela dlouhou dobu jsme dávali takové ty OCrack Elektroskříně, než jsme došli k tomu, že je to blbost a te´d už kupuju jedině klasické 19" Racky... max když to je vesnické AP se dvěma sektory a příjmací parabolou, necháváme menší krabici a 750 bez zálohy.
jak je to větší a jde přes to víc vesnic atd, jde rack a intex.

[Magic]

Díky za rady.
Myslel jsem si, že s náhradním HW to bude asi logická cesta.
Pokud tedy nechci mít brány dvě a v případě výpadku HW jedné trasy bude funkční druhá větev. Pokud se pletu, tak mne opravte.
Co se týče té optiky, tak se asi tedy pustíme do upgradu na 10G.

Na obrázku mám, že síť je od routeru do switche vedena přes jeden port a vlany. To je z důvodu oddělení jednotlivých podsítí (hlavně pro firemní zákazníky). Celá síť je jinak routovaná až v daných lokalitách. Nejbližší páteř od GW bridge (hybrid)
Mohl tam být místo switche router s x porty, ale bylo levnější a rychlejší nasadit switch s vlany než hledat spolehlivý router s x porty a ccrka jsme zatím netestovali.
V současnosti jsou ty dva stroje dvě i5-tky. GW cca na 25% a router do 15% CPU.
U GW jsme přemýšleli o upgradu na něco výkonějšího a hlavně nového (už má odslouženo). Asi nějaké Supermicro.
U routeru mě napadlo jestli prostě jen nepoužít právě nějaké CCR. Výkon to velký nepotřebuje a rozdělil bych tak lépe těch 10G na více gigových portů. Nemusím tak kupovat switch se SFP+.
V ccrkách se nevyznám. Jaká verze by stačila?
Celá síť krom switchů na MK

[Kaja]

Hybridni sit mate jako docasnou (diky prechodu z routovane na switchovanou) nebo jako zadouci cilovy stav?
Hybridni sit totiz neumozni pouzit PPPoE.

Pokud nekdo z Vas pouzivate plne switchovanou sit, pouzivate co vlan to zakaznik, nebo vlanujete vetsi skupiny (napr jedno AP, nebo jeden sajt, nebo...).
Jake filtry ci ACLka mate pouzity na access swichich za kterymi jsou APcka? Nebo na accessu nic neresite a vse nezadouci filtrijete az na centralnim routeru, ktery vam terminuje vsechny VLANy?

K.

[hocimin1]

Hybridni sit mate jako docasnou (diky prechodu z routovane na switchovanou) nebo jako zadouci cilovy stav?
Hybridni sit totiz neumozni pouzit PPPoE.

Pokud nekdo z Vas pouzivate plne switchovanou sit, pouzivate co vlan to zakaznik, nebo vlanujete vetsi skupiny (napr jedno AP, nebo jeden sajt, nebo...).
Jake filtry ci ACLka mate pouzity na access swichich za kterymi jsou APcka? Nebo na accessu nic neresite a vse nezadouci filtrijete az na centralnim routeru, ktery vam terminuje vsechny VLANy?

K.

zatim je to prechodny.

umoznuje pouzit PPOE. Protoze muzu udelat VLAN pro PPoE klienty a protahnout mimo routery v lokalitach az na hlavni koncentrator. Vlastne stejne jako tu servisni vlan

co se tyce VLAN. Momentalne

pokud je to firma vlastni VLAN
pokud je AP tak VLAN na jedno cele AP
pokud je panelak jedna VLAN na panelak

a samozrejme kombinaci. Pokud mam v panelaku firmu, prihodim k panelakove jeste VLAN pro firmu a pokud tam ma AP tak i pro AP.

Momentalne vse filtrujem vzdy na tom routeru kde jsou VLANY.

[helapc]

A když to trochu vrátíme do tématu. Jak si libovolnou lokalitu od zálohuješ? U routované mi to pořeší Quagga.

[hocimin1]

A když to trochu vrátíme do tématu. Jak si libovolnou lokalitu od zálohuješ? U routované mi to pořeší Quagga.

no z 90 procet stavime do hvezdy a to tak, ze prakticky kazde AP jde jednim spojem primo na hranicni router pro lokalitu. Ale samozrejme mame i neco pres vic skoku.

Ale kdyz je potreba zaloha jde pouzit RSTP