Beste medetweakers,
Momenteel zijn wij aan het brainstormen over onze nieuwe netwerk structuur zoals we deze op het datacentrum willen gebruiken. We hebben één connecvitity partner waar we via BGP over 2 uplinks met ze babbelen. We beschikken over een C-Class netwerk welke wij versnipperen in aparte VLANs/Subnets. Momenteel gebruiken we een C3750 stack als 'core'.
Waar willen we heen:
A: Toevoegen van NAC+IPS
B: Slimmer omgaan met IPs
C: Het netwerk IPv6 ready maken
Heel straight-forward, zou het dan zoiets worden:
Waar loop ik tegen aan:
Om probleem A te tackelen tackelen zat ik er aan te denken om twee 2811's in te zetten (mogelijk met ASA's tussen de 2811's en de netwerk switches). Deze zouden eBGP babbelen richting onze ISP en iBGP onderling.
Met de huidige 3750-stack, is het gateway IP van ieder subnet/VLAN geconfigureerd op de stack. Dat gaat in de nieuwe situatie niet op, waardoor ik er aan zit te denken om HSRP in te zetten, echter druist dat in tegen het issue B (slimmer omgaan met IPs) aangezien ik naast het Router IP nog twee IPs uit de subnets kwijt ben voor de individulere router.
Verder willen we in sommige subnets meerdere klanten van ons kunnen plaatsen, zonder dat ze elkaar zijn, maar dat ze wel via L3 met elkaar kunnen communiceren. Nu is me niet helemaal duidelijk of dit lukt met 'switchport protected'. Een alternatief zou om Private VLANs te gaan gebruiken, echter waar ga je het router IP plaatsen? Op de 2811's bedacht ik me, maar de 2811's ondersteunen volgens mij geen private VLANs, laat staan dat ze private-vlan promiscuous trunks ondersteunen. Een gateway IP per VLAN binnen subinterfaces werkt meen ik ook niet omdat hij geen private VLANs ondersteunt en dus niet weet hoe hij daartussen moet routeren.
Op zich zou 'switchport protected' wel kunnen werken (als communicatie via het VLAN IP/L3 nog wel mogelijk is), maar ik begreep dat dit commando niet tussen switches werkt, waardoor we dergelijke VLANs dus zouden moeten limiteren tot één switch. Op zich niet echt een probleem omdat deze klanten een enkele ethernetkabel naar ons netwerk hebben en dus sowieso niet redundant connected zijn. We hebben klanten met meerdere servers, maar die krijgen sowieso een eigen VLAN/subnet en kunnen spullen zonder problemen redundant aansluiten. Eventueel zou dit commando icm port ACLs nog wel voldoen.
Naast losse serververs hebben we ook ESX oplossingen met virtual rental servers. Om communicatie daar te limiten zag ik dat we daarvoor Nexus 1000v kunnen gebruiken. Een alternatief had ook hier private VLANs kunnen zijn aangezien dit door vSphere (4.0) wordt ondersteund.
Dan.. puntje C. De 2811 ondersteunt IPv6 en is normaal vlot genoeg. Ik weet alleen niet of dat ook zo is met IPS/NAC ingeschakeld. Moeten we dus echt ASA's plaatsen? Dan blijkt de 2960-series ook geen IPv6 te ondersteunen (wel op management niveau, maar niet op ACL niveau) waardoor deze switches icm 'switchport protected' niet voldoen en we naar de 3560's moeten kijken. De 3560's ondersteunen wel Private VLANs, maar geen promiscuous trunk poort (dit wordt wel weer door 4948 ondersteund)..
Hoe denk ik dit aan te gaan pakken:
Nu maar gaan 2x2811+HSRP + 2960's (of 3560's) en in de toekomst kijken naar een alternatief..
Ofwel.. langzaam maar zeker een beetje een bomen + bos verhaal. Nu vroeg ik me af of er hier geniale ideeen zijn waar ik niet aan heb gedacht.
Momenteel zijn wij aan het brainstormen over onze nieuwe netwerk structuur zoals we deze op het datacentrum willen gebruiken. We hebben één connecvitity partner waar we via BGP over 2 uplinks met ze babbelen. We beschikken over een C-Class netwerk welke wij versnipperen in aparte VLANs/Subnets. Momenteel gebruiken we een C3750 stack als 'core'.
Waar willen we heen:
A: Toevoegen van NAC+IPS
B: Slimmer omgaan met IPs
C: Het netwerk IPv6 ready maken
Heel straight-forward, zou het dan zoiets worden:
Waar loop ik tegen aan:
Om probleem A te tackelen tackelen zat ik er aan te denken om twee 2811's in te zetten (mogelijk met ASA's tussen de 2811's en de netwerk switches). Deze zouden eBGP babbelen richting onze ISP en iBGP onderling.
Met de huidige 3750-stack, is het gateway IP van ieder subnet/VLAN geconfigureerd op de stack. Dat gaat in de nieuwe situatie niet op, waardoor ik er aan zit te denken om HSRP in te zetten, echter druist dat in tegen het issue B (slimmer omgaan met IPs) aangezien ik naast het Router IP nog twee IPs uit de subnets kwijt ben voor de individulere router.
Verder willen we in sommige subnets meerdere klanten van ons kunnen plaatsen, zonder dat ze elkaar zijn, maar dat ze wel via L3 met elkaar kunnen communiceren. Nu is me niet helemaal duidelijk of dit lukt met 'switchport protected'. Een alternatief zou om Private VLANs te gaan gebruiken, echter waar ga je het router IP plaatsen? Op de 2811's bedacht ik me, maar de 2811's ondersteunen volgens mij geen private VLANs, laat staan dat ze private-vlan promiscuous trunks ondersteunen. Een gateway IP per VLAN binnen subinterfaces werkt meen ik ook niet omdat hij geen private VLANs ondersteunt en dus niet weet hoe hij daartussen moet routeren.
Op zich zou 'switchport protected' wel kunnen werken (als communicatie via het VLAN IP/L3 nog wel mogelijk is), maar ik begreep dat dit commando niet tussen switches werkt, waardoor we dergelijke VLANs dus zouden moeten limiteren tot één switch. Op zich niet echt een probleem omdat deze klanten een enkele ethernetkabel naar ons netwerk hebben en dus sowieso niet redundant connected zijn. We hebben klanten met meerdere servers, maar die krijgen sowieso een eigen VLAN/subnet en kunnen spullen zonder problemen redundant aansluiten. Eventueel zou dit commando icm port ACLs nog wel voldoen.
Naast losse serververs hebben we ook ESX oplossingen met virtual rental servers. Om communicatie daar te limiten zag ik dat we daarvoor Nexus 1000v kunnen gebruiken. Een alternatief had ook hier private VLANs kunnen zijn aangezien dit door vSphere (4.0) wordt ondersteund.
Dan.. puntje C. De 2811 ondersteunt IPv6 en is normaal vlot genoeg. Ik weet alleen niet of dat ook zo is met IPS/NAC ingeschakeld. Moeten we dus echt ASA's plaatsen? Dan blijkt de 2960-series ook geen IPv6 te ondersteunen (wel op management niveau, maar niet op ACL niveau) waardoor deze switches icm 'switchport protected' niet voldoen en we naar de 3560's moeten kijken. De 3560's ondersteunen wel Private VLANs, maar geen promiscuous trunk poort (dit wordt wel weer door 4948 ondersteund)..
Hoe denk ik dit aan te gaan pakken:
Nu maar gaan 2x2811+HSRP + 2960's (of 3560's) en in de toekomst kijken naar een alternatief..
Ofwel.. langzaam maar zeker een beetje een bomen + bos verhaal. Nu vroeg ik me af of er hier geniale ideeen zijn waar ik niet aan heb gedacht.
