forum.opennet.ru

Составление сообщения

Исходное сообщение

"Маршрутизация MGMT 3750"
Отправлено Licha Morada, 19-Ноя-20 20:37

> Спасибо. К сожалению, хост отвечающий за маршрутизацию подсети управления - МЭ и
> может отбрасывать пакеты от некоторых других сетей. Я смогу получить на
> Ваш взгляд проблемы связанные с этим?
Надо смотреть топологию сети.
Проблемы чаще всего бывают от постепенного наколения нетривиальной лапши в маршрутах.
По идее, "сеть управления" инфраструкурой это просто тупиковый отросток сети, связанный с остальной сетью предприятия ровно через один гейт. Который, скорее всего, является МЭ. Если "сеть управления", кроме доступа к интерфейсам MGMT разных железок, ещё используется для транзита трафика между гейтами, то это, как правило, надо считать недостатком архитектуры. Чаще всего, этот недостаток приходится компенсировать ручной поддержкой статичных маршрутов, либо зависимостью от ICMP Redirect. Наверное, это не ваш случай, т.к. я не вижу как для этого может потребоваться VRF.
Кроме того, если администратор МЭ недружественный, то можно оставить в покое регулярную "сеть управления" и начать партизанить. Например сделать сервис MGMT "multihomed", т.е. подключить его напрямую отновременно к разным сетям, например, назначить IP адрес на дополнителный VLAN. Тогда надо мудрить с маршрутизацией на устройтве, так чтобы отвечать на подключения с того-же интерфейса на который оно пришло. Это делают с помощью policy based routing, а VRF это оверкилл, но тоже сойдёт. В таком случае проблемы которые можно поиметь гораздо разнообразнее, в том числе по башке от безопасников. Это больше похоже на ваш случай.
В общем, надо смотреть топологию сети.

Исходное сообщение
"Маршрутизация MGMT 3750" Отправлено Licha Morada, 19-Ноя-20 20:37
> Спасибо. К сожалению, хост отвечающий за маршрутизацию подсети управления - МЭ и > может отбрасывать пакеты от некоторых других сетей. Я смогу получить на > Ваш взгляд проблемы связанные с этим? Надо смотреть топологию сети. Проблемы чаще всего бывают от постепенного наколения нетривиальной лапши в маршрутах. По идее, "сеть управления" инфраструкурой это просто тупиковый отросток сети, связанный с остальной сетью предприятия ровно через один гейт. Который, скорее всего, является МЭ. Если "сеть управления", кроме доступа к интерфейсам MGMT разных железок, ещё используется для транзита трафика между гейтами, то это, как правило, надо считать недостатком архитектуры. Чаще всего, этот недостаток приходится компенсировать ручной поддержкой статичных маршрутов, либо зависимостью от ICMP Redirect. Наверное, это не ваш случай, т.к. я не вижу как для этого может потребоваться VRF. Кроме того, если администратор МЭ недружественный, то можно оставить в покое регулярную "сеть управления" и начать партизанить. Например сделать сервис MGMT "multihomed", т.е. подключить его напрямую отновременно к разным сетям, например, назначить IP адрес на дополнителный VLAN. Тогда надо мудрить с маршрутизацией на устройтве, так чтобы отвечать на подключения с того-же интерфейса на который оно пришло. Это делают с помощью policy based routing, а VRF это оверкилл, но тоже сойдёт. В таком случае проблемы которые можно поиметь гораздо разнообразнее, в том числе по башке от безопасников. Это больше похоже на ваш случай. В общем, надо смотреть топологию сети.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> Спасибо. К сожалению, хост отвечающий за маршрутизацию подсети управления - МЭ и 
>> может отбрасывать пакеты от некоторых других сетей. Я смогу получить на 
>> Ваш взгляд проблемы связанные с этим?

> Надо смотреть топологию сети.

> Проблемы чаще всего бывают от постепенного наколения нетривиальной лапши в маршрутах.

> По идее, "сеть управления" инфраструкурой это просто тупиковый отросток сети, связанный 
> с остальной сетью предприятия ровно через один гейт. Который, скорее всего, 
> является МЭ. Если "сеть управления", кроме доступа к интерфейсам MGMT разных 
> железок, ещё используется для транзита трафика между гейтами, то это, как 
> правило, надо считать недостатком архитектуры. Чаще всего, этот недостаток приходится 
> компенсировать ручной поддержкой статичных маршрутов, либо зависимостью от ICMP Redirect. 
> Наверное, это не ваш случай, т.к. я не вижу как для 
> этого может потребоваться VRF.

> Кроме того, если администратор МЭ недружественный, то можно оставить в покое регулярную 
> "сеть управления" и начать партизанить. Например сделать сервис MGMT "multihomed", т.е. 
> подключить его напрямую отновременно к разным сетям, например, назначить IP адрес 
> на дополнителный VLAN. Тогда надо мудрить с маршрутизацией на устройтве, так 
> чтобы отвечать на подключения с того-же интерфейса на который оно пришло. 
> Это делают с помощью policy based routing, а VRF это оверкилл, 
> но тоже сойдёт. В таком случае проблемы которые можно поиметь гораздо 
> разнообразнее, в том числе по башке от безопасников. Это больше похоже 
> на ваш случай.

> В общем, надо смотреть топологию сети.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру