Андрей Рогов

Документация Ошибки дизайна Ошибки эксплуатации

Актуальная Понятная Несколько диаграмм Не жалейте красок! Имена устройств (говорящие! ), адреса Обозначения Trunk/Access Port Channel (LACP/Etherchannel/PaGP) Primary/Backup Links STP Root

Физическое соединение Физическое расположение в стойке Таблица кроссировок Логические схемы Cхемы и таблицы VLAN Схемы маршрутизации Схемы и таблицы VRF И т.д.

Core Distribution Access У каждого уровня своя роль Модульная топология – «строительные блоки» Точки отказа четко очерчены и изолированы Балансировка и надежность Легко: o Понимается o Масштабируется o Сопровождается

Адресный план Сеть устройств Сеть управления Абонентские сети План распределения VLAN VLAN управления Технологические VLAN Абонентские VLAN НЕТ VLAN 1!!!

Control Plane управление устройством SSH/Telnet/HTTP/HTTPS SNMP служебные протоколы STP LACP/PaGP Data Plane Voice Video Data

Доступ к устройству HTTPS SSH ACL VLAN для управления SNMP Средства централизованной авторизации Журналирование Время Ограничения (rate limit)

Порт пользователя – Portfast Функционал 802.1q – отключить! Функционал Port Security Защита от атак на CAM Защита от фальсификации серверов DHCP (DHCP Snooping) Защита от атак ARP (DAI) Защита от подмены IP/MAC (IP Source Guard) Защита от поддельного STP Root (BPDU Guard)

Функционал 802.1q Разрешаем только те VLAN, которые ДЕЙСТВИТЕЛЬНО нужны! Агрегация портов LACP Доверенные порты DAI DHCP Snooping

Loopback – интерфейс для управления STP Root Агрегация портов - LACP

Для каждой VLAN - SVI SVI – IP Default gateway для пользователей VLAN Функционал IP DHCP Helper IP cуммаризация

Только L3! Отключение автосуммаризации маршрутов Все управление – только через Loopback Резервирование!

Количество участников – степень 2 Балансировка по хешу (L2 … L4) Балансировка: Уровень доступа – src-dst-ip (src-dst-mac по умолчанию) Уровень распределения – src-dst-ip + src-dst- l4port + vlan (src-dst-ip + vlan по умолчанию)

Master: LACP ARP Routing protocols Сервисы управления Синхронизация RIB/FIB Все участники стека: MAC Learning STP QoS ACL

Понимать дизайн Знать, что происходит Читать документацию