Слайды презентации (PPS, 2.7 Mb)

Андрей Рогов



Документация
Ошибки дизайна
Ошибки эксплуатации






Актуальная
Понятная 
Несколько диаграмм
Не жалейте красок!
Имена устройств (говорящие! ), адреса
Обозначения
◦
◦
◦
◦
Trunk/Access
Port Channel (LACP/Etherchannel/PaGP)
Primary/Backup Links
STP Root




Физическое соединение
Физическое расположение в стойке
Таблица кроссировок
Логические схемы
◦
◦
◦
◦
Cхемы и таблицы VLAN
Схемы маршрутизации
Схемы и таблицы VRF
И т.д.
Core
Distribution
Access





У каждого уровня своя роль
Модульная топология – «строительные блоки»
Точки отказа четко очерчены и изолированы
Балансировка и надежность
Легко:
o Понимается
o Масштабируется
o Сопровождается

Адресный план
◦ Сеть устройств
◦ Сеть управления
◦ Абонентские сети

План распределения VLAN
◦ VLAN управления
◦ Технологические VLAN
◦ Абонентские VLAN
НЕТ VLAN 1!!!

Control Plane
◦ управление устройством
 SSH/Telnet/HTTP/HTTPS
 SNMP
◦ служебные протоколы
 STP
 LACP/PaGP

Data Plane
◦ Voice
◦ Video
◦ Data

Доступ к устройству
◦
◦
◦
◦
◦
◦



HTTPS
SSH
ACL
VLAN для управления
SNMP
Средства централизованной авторизации
Журналирование
Время
Ограничения (rate limit)



Порт пользователя – Portfast
Функционал 802.1q – отключить!
Функционал Port Security
◦ Защита от атак на CAM




Защита от фальсификации серверов DHCP
(DHCP Snooping)
Защита от атак ARP (DAI)
Защита от подмены IP/MAC (IP Source
Guard)
Защита от поддельного STP Root (BPDU
Guard)

Функционал 802.1q
◦ Разрешаем только те VLAN, которые
ДЕЙСТВИТЕЛЬНО нужны!

Агрегация портов
◦ LACP

Доверенные порты
◦ DAI
◦ DHCP Snooping



Loopback – интерфейс для управления
STP Root
Агрегация портов - LACP




Для каждой VLAN - SVI
SVI – IP Default gateway для пользователей
VLAN
Функционал IP DHCP Helper
IP cуммаризация




Только L3!
Отключение автосуммаризации маршрутов
Все управление – только через Loopback
Резервирование!



Количество участников – степень 2
Балансировка по хешу (L2 … L4)
Балансировка:
◦ Уровень доступа – src-dst-ip (src-dst-mac по
умолчанию)
◦ Уровень распределения – src-dst-ip + src-dstl4port + vlan (src-dst-ip + vlan по умолчанию)

Master:
◦
◦
◦
◦
◦

LACP
ARP
Routing protocols
Сервисы управления
Синхронизация RIB/FIB
Все участники стека:
◦
◦
◦
◦
MAC Learning
STP
QoS
ACL



Понимать дизайн
Знать, что происходит
Читать документацию 