Вопрос о построении сети на Cisco

0

3

Доброго времени!

Т.к я в решениях Cisco ориентируюсь пока слабо, прошу совета.
Есть задача реализовать отказоустойчивую надежную схему связи с уже существующий инфраструктурой. Что уже есть:
Много Blade серверов с виртуальными машинами на борту. Есть два независимых канала по 100 мегабит.

В углу валяется:
Cisco ASR-1001 две шт.
Cisco ASA 5512 две шт.
Blade Cisco 3020 две щт.
cisco 2960 – одна..

Наш местный спец сделал схему:

В каждую из Cisco ASR-1001 заведено по одному провадерскому каналу, из ASR линки идут в Cisco 2960. Cisco ASA 5512 аналогично как и ASR-1001 подключена в 2960. Из Cisco 2960 идет канал до Blade Cisco 3020 через которые видят свет все виртуальные машины.
Что хотелось + :
1) Создать DMZ с приватной адресацией у VM + всякий менеджмент железок в зарных VLAN.
2) Доступ по VPN
3) Балансировка траффика

Я не совсем понимаю, почему нельзя завести провайдерский аплинк сразу в ASA, которая будет соединена с ASR, а из ASR в 2960 и до блейдов..

Растолкуйте пожалуйста по сехеме…

Ссылка

←	Debian: No such file or directory - а файл есть

Squid и sslBump

→

боже, сколько ынтырпрайзного хлама ради решения плевой задачи.

для твоих задач хватит одного mikrotik ccr-1036, который обойдется тебе в 1 килобакс. тут тебе и роутер с балансировкой, и фаер, и свитч.

а если по теме - у тебя две asr сводятся на оду c2960. о какой резервации здесь идет речь?

по хорошему - у тебя два аплинка должны приходить независимо на блейд.

Turbid ★★★★★
(04.10.13 13:22:55 MSK)
Последнее исправление: Turbid 04.10.13 13:27:45 MSK (всего исправлений: 2)

Ответ на: комментарий от Turbid 04.10.13 13:22:55 MSK

боже, сколько ынтырпрайзного хлама ради решения плевой задачи.

Да, бюджет освоили хорошо, на выбор железяк я повлиять не могу +)))

если по теме - у тебя две asr сводятся на оду c2960. о какой резервации здесь идет речь?

Да увы, так и есть, но есть вариант её выкинуть т.к в самой карзине есть два независимых Blade Cisco 3020

Dr0id
(04.10.13 13:42:13 MSK) автор топика

Ссылка

Ответ на: комментарий от Turbid 04.10.13 13:22:55 MSK

а если по теме - у тебя две asr сводятся на оду c2960. о какой резервации здесь идет речь?

видимо речь о резервации канала провайдера. По существу выглядит нелепым дублирование устройств, которые подходят к одному коммутатору.

хватит одного mikrotik ccr-1036, который обойдется тебе в 1 килобакс. тут тебе и роутер с балансировкой, и фаер, и свитч.

но как в анекдоте про Петьку и Василия Ивановича - есть один нюанс...

andrew667 ★★★★★
(04.10.13 13:42:18 MSK)
Последнее исправление: andrew667 04.10.13 13:42:27 MSK (всего исправлений: 1)

Ссылка

почему нельзя завести провайдерский аплинк сразу в ASA,

Плохая идея. Железо лучше подключать через коммутатор. Там и зеркальце будет, и много услуг через транк одним интерфейсом в маршрутизатор можно будет собрать.

andrew667 ★★★★★
(04.10.13 13:44:46 MSK)

Ответ на: комментарий от andrew667 04.10.13 13:44:46 MSK

Плохая идея. Железо лучше подключать через коммутатор. Там и зеркальце будет, и много услуг через транк одним интерфейсом в маршрутизатор можно будет собрать.

Днело в том, что был в крупном ЦОД-е, удалось глянуть за сторонними частными решениями.. так вот там на ASA был Uplink провадера.. Такую картину видел в 5 разных стойках...

Dr0id
(04.10.13 14:03:12 MSK) автор топика

Ответ на: комментарий от Dr0id 04.10.13 14:03:12 MSK

Все правильно, потому что цод/провайдер может гонять в десятки раз больший трафик. Теперь насчет твоего стенда: если asr это всего лишь звено провайдера, а asa часть хостера, то все будет выглядеть именно так как ты видел в цоде.

Но ты можешь ради интереса посчитать сколько трафика сможет гонять asa и сколько asr без использования файрволла.

~~gh0stwizard~~ ★★★★★
(04.10.13 14:26:41 MSK)

Ответ на: комментарий от gh0stwizard 04.10.13 14:26:41 MSK

Но ты можешь ради интереса посчитать сколько трафика сможет гонять asa и сколько asr без использования файрволла.

У нас на ASA и ASR стоят SFP по 1 гигабиту..

Dr0id
(04.10.13 14:40:01 MSK) автор топика

Ответ на: комментарий от Dr0id 04.10.13 14:40:01 MSK

У нас на ASA и ASR стоят SFP по 1 гигабиту..

Ладно. По-другому, никто не будет осуждать, если ставить роутер после файрволла/ips. Есть определенные задачи, которые железка должна решать. С учетом того, что железки cisco все многофукнциональные, это не означает, что раз этот функционал имеется - значит это основное предназначение железки. Например, ASR 1001 умеет файрволлить, но это не ее основное назначение. ASA 5512 умеет маршутизацию - но это не роутер, который надо ставить в качестве бордера (ну мало ли :).

В любом случае, в том же ЦОДе бардак может быть на уровне провайдера, если между роутером и клиентской ASA стоит слабая железка. Последняя ляжет быстрее, чем ASA начнет ощущать что-то неладное :)

Твой стенд лишь должен отражать связь между провайдером и клиентским оборудованием. У провайдеров ставить ASA не нужно в большинстве случаев, т.к. если внутренние бордеры лягут/начнут тормозить трафик, то сеть рухнет. Также считается моветоном вообще как-то фильтровать трафик между внутренними бордерами. Фильтрация нужна между бордером и клиентским оборудованием. И вот тут-то ASA может раскрыть свой потенциал. Вместо ASA можно заюзать бордер (ASR) и на нем как-то фильтровать трафик, можно заюзать коммутаторы. Решается в рамках компентции и финансовой обеспеченности самого клиента и/или провайдера.

Если же ставить цель смоделировать клиентскую AS, то что ты заюзаешь для ее построения? ASR или ASA? И не забывай про ньанс, что провайдеры все жирнее и жирнее и каналы на построение AS всегда будут расти и расти. А ПО на серверах все тормознее и тормознее :)

~~gh0stwizard~~ ★★★★★
(04.10.13 15:18:08 MSK)

Потому что 2960 должно быть две с линками к к asr1k, asa и между ними, чтобы обеспечить L2 для фэйловера ASA и при этом отсутствие точки отказа.

frob ★★★★★
(04.10.13 15:20:07 MSK)

Ссылка

Ответ на: комментарий от gh0stwizard 04.10.13 15:18:08 MSK

Например, ASR 1001 умеет файрволлить, но это не ее основное назначение. ASA 5512 умеет маршутизацию - но это не роутер, который надо ставить в качестве бордера (ну мало ли :).

Никогда не понимал зачем так не делать. Если есть функция - значить можно и нужно использовать.

dada ★★★★★
(04.10.13 15:30:43 MSK)

Ответ на: комментарий от dada 04.10.13 15:30:43 MSK

Никогда не понимал зачем так не делать. Если есть функция - значить можно и нужно использовать.

Это называется многоцелевое использование. Делается для удовлетворения нужд более широкой публики. Иногда бывает нужно заюзать такой функционал в упрощенном виде, так сказать по-быстрому, и решить какую-то мелкую задачу. Более того, Cisco любит урезать возможности непрофильного функционала, дабы не заблуждать клиентов.

~~gh0stwizard~~ ★★★★★
(04.10.13 15:39:57 MSK)

Ответ на: комментарий от gh0stwizard 04.10.13 15:39:57 MSK

Более того, Cisco любит урезать возможности непрофильного функционала

В этом плане я могу понять. Что да, ASR может выступить в качестве файрвола, но он не предоставить такого-то и такого-то функционала. Лучше взять ASA, который всё это дело будет решать.
А покупать ещё одну железку только ради того «что бы была» - это плохо.

dada ★★★★★
(04.10.13 15:44:11 MSK)

Ответ на: комментарий от dada 04.10.13 15:44:11 MSK

А покупать ещё одну железку только ради того «что бы была» - это плохо.

Понятие плохо и хорошо это стереотип. То, что для одного плохо — для другого хорошо.

~~gh0stwizard~~ ★★★★★
(04.10.13 15:51:38 MSK)

Ссылка

Ответ на: комментарий от gh0stwizard 04.10.13 15:39:57 MSK

Спасибо за столь подробный ответ!

Что там у провайдера в ДЦ стоит без понятия, нам предоставлены два канала в виде двух патчкордов. Отдел закупок выбрал и купил на ASR и ASA, теперь мне необходимо максимально верно использовать все эти компоненты.. Я понимаю, что это все действительно “энтерпрайз железо” и реально обойтись более приземленным но, теперь интересуют возможности, которые оно раскрывает в нашем примере…

Dr0id
(04.10.13 15:53:48 MSK) автор топика

Ответ на: комментарий от Dr0id 04.10.13 14:03:12 MSK

Днело в том, что был в крупном ЦОД-е, удалось глянуть за сторонними частными решениями.. так вот там на ASA был Uplink провадера.. Такую картину видел в 5 разных стойках...

Я написал вполне доходчиво (про то, что можно собрать много услуг в транк и завести на нужную железку используя всего 1 порт+ зеркальце иметь). А ты там уже сам думай. Подходы и задачи у всех разные. Только вот в случае проблем без инструмента быть для кого-то неприемлемо, а для кого-то нормальная практика.

andrew667 ★★★★★
(04.10.13 15:55:09 MSK)

Ссылка

Ответ на: комментарий от dada 04.10.13 15:30:43 MSK

Никогда не понимал зачем так не делать. Если есть функция - значить можно и нужно использовать.

Плюхнется тебе таблица маршрутизации мегабайт 200, будешь тогда скулить, а прову пофигу, что твое железо не тянет.

andrew667 ★★★★★
(04.10.13 15:56:50 MSK)

Ссылка

Ответ на: комментарий от Dr0id 04.10.13 15:53:48 MSK

Отдел закупок выбрал и купил на ASR и ASA

Менеджеры бывшие сетевики? o_O

интересуют возможности, которые оно раскрывает в нашем примере

Стремится надо к своей AS. Но если это просто два шнурка с выделенным блоком IP, то делать надо как советовали выше - фолловер. Т.е. тебе надо соединить вместе все так, чтобы если одно звено ложится (задай себе вопросы, какие это могут быть ситуации), то трафик сразу начинает течь по-другой ветке/крылу. Самое простое — использовать OSPF с выставленными стоимостями направлений, но можно замутить и иначе. Как? Я бы сказал, если бы получал твою ЗП =))

Плюс надо учитывать особенность твоей ситуации. Помимо связей между железками, учета пропускной способности канала, вот что более важно, так это наличие двух независимых источников питания. Потому, что выключение света это не такая уж редкость. Думай над этим вопросом также серьезно, как сейчас планируешь составить связи железок.

~~gh0stwizard~~ ★★★★★
(04.10.13 16:08:25 MSK)