タグ付けされた質問 「design」

双方向フォワーディング検出（BFD）の実装を検討すると、タイマーの調整に関して非常に柔軟であるように見えます。オーバーヘッドに関する軽量性と、アプリケーション全体に関する柔軟性は非常に印象的です。 たとえば、イーサネット上のリンク障害、複数のホップ上のMPLS、ネットワークエッジ、IGPコンバージェンス、トンネルなどの検出に適用できる場合-なぜ特定のシナリオで使用されないのでしょうか？知っておくべきことは？

17 cisco  juniper  mpls  ethernet  design 

私はネットワークをオーバーホールしている最中ですが、私が繰り返し返してきた問題は、ファイアウォールを集中化したまま、レイヤー3をコアに持ち込もうとすることです。 ここでの主な問題は、これまで見てきた「ミニコア」スイッチでは、ハードウェア内のACLの制限が常に低く、現在のサイズでもすぐにヒットする可能性があることです。現在、コア用に1組のEX4300-32Fを（うまくいけば）購入しようとしていますが、他のモデルや、ジュニパーとBrocadeのICXシリーズの他のオプションも検討しました。それらはすべて同じ低いACL制限を持っているようです。 コアスイッチはワイヤ​​スピードルーティングを維持できる必要があるため、これは完全に理にかなっているため、ACL処理によってあまり犠牲にしないでください。したがって、コアスイッチ自体ですべてのファイアウォールを実行することはできません。 ただし、主に完全に管理されたサーバーを使用しており、集中型（ステートフル）ファイアウォールを使用すると、顧客と直接対話することができないため、その管理に非常に役立ちます。できればそれを維持したいのですが、ほとんどのISPネットワークはこのようなことを行わないように感じます。そのため、ほとんどの場合、コアでルーティングを行うのは簡単です。 参考までに、ここに私が理想的に実行したいトポロジーを示します（ただし、FWをどこに当てはめるかは明らかではありません）。 現在のソリューション 現在、ルーターオンスティック構成です。これにより、NAT、ステートフルファイアウォール、VLANルーティングをすべて1か所で行うことができます。とても簡単です。 L2をネットワークの「最上部」、つまり境界ルーターまで拡張することで、（ほぼ）同じソリューションを続行できます。しかし、それからコアが提供できるワイヤスピードルーティングのすべての利点を失います。 IIRCコアスイッチは464 Gbpsのルーティングを実行できますが、運が良ければ、ボーダールーターはおそらく10または20 Gbpsを提供できます。これは現時点では技術的に問題ではなく、成長の問題です。今、コアルーティングキャパシティを活用するアーキテクチャを設計していないと、大きくなり、そのキャパシティを活用する必要がある場合、すべてをやり直すのは苦痛になるでしょう。私はそれを最初に正しくしたいです。 可能な解決策 アクセスするレイヤー3 L3をアクセススイッチに拡張し、ファイアウォールルールをより小さなセグメントに分割して、アクセススイッチのACLのハードウェア制限に合わせることができると思いました。だが： 私の知る限り、これらはステートフルACLではありません L3 to Accessは、私にとってははるかに柔軟性に欠けるようです。サーバーを移動したり、VMを他のキャビネットに移行したりすると、さらに苦痛になります。 各ラックの上部（そのうち6つのみ）でファイアウォールを管理する場合は、とにかく自動化が必要です。したがって、その時点では、ホストレベルでファイアウォールの管理を自動化することはそれほど大きな進歩ではありません。したがって、問題全体を回避できます。 アクセス/コア間の各アップリンクのブリッジ/透過ファイアウォール これには複数のファイアウォールボックスが必要であり、必要なハードウェアを大幅に増やす必要があります。そして、ファイアーウォールとして古いLinuxボックスを使用していても、大きなコアルーターを購入するよりも高価になる可能性があります。 ジャイアントコアルーター 必要なファイアウォールを実行でき、ルーティング容量がはるかに大きい、より大きなデバイスを購入できます。しかし、実際にはそのための予算がありません。デバイスに設計されていない何かを実行させようとしている場合は、おそらくもっと高いスペックに行かなければならないでしょう。それ以外の場合よりも。 一元化されたファイアウォールなし 私はフープを飛び越えているので、これは努力する価値がないかもしれません。これは常に良いものであり、「ハードウェア」ファイアウォールを必要とする顧客にとってセールスポイントになることもあります。 ただし、「ネットワーク全体」に集中型ファイアウォールを設定することは不可能であるようです。では、何百、何千ものホストがある場合に、専用のサーバーを使用する顧客に、どのように大規模なISPがハードウェアファイアウォールソリューションを提供できるのでしょうか。 誰もがこの問題を解決する方法を考えることができますか？私が完全に見逃したものか、上記のアイデアのバリエーションですか？ 更新2014-06-16： @Ronの提案に基づいて、私が直面している問題をかなりよく説明し、問題を解決するための良い方法を説明するこの記事を偶然見つけました。 他に提案がない限り、これは製品推奨タイプの問題だと思うので、それで終わりだと思います。 http://it20.info/2011/03/the-93-000-firewall-rules-problem-and-why-cloud-is-not-just-orchestration/

11 routing  firewall  design 

OSPFルーテッドネットワークを介してすべて接続されている複数のレイヤー3スイッチ/ルーターがあります。他の2つのネットワークも各スイッチに接続されています。これらのネットワークのそれぞれにVLANを割り当てる必要があります。スイッチを離れるすべてのトラフィックにはタグが付けられていないため（VLANトランクではなくルーティングされているため）、各スイッチで同じ2つのVLANを再利用できます。これを実行して各ネットワークに異なるVLANを割り当てるべきではないのはなぜですか？例えば：

10 vlan  design 

問題：2.4GHzのCCI（同一チャネル干渉）。 環境：教室あたり40席。高水準なので、非常に混合されたクライアントベース。AP-on-a-stickを24Mbの最低必須データレートおよび最低Tx電力設定に設定（2 dBm） 問題：必要な密度を達成するために2.4GHz無線を無効にする必要があることは、最適とは思われません。私はこれについて間違っていますか？ 計画： APの密度と無線の数には次の式を使用しました。 TTc =クライアントごとのターゲットTCP / UDPスループット TCc =クライアントのスループット機能 CUm =現実的な最大チャネル使用率 c =クライアントの数 TTc / TCc / CUm * c =無線の数 教室あたり40席で、各生徒がラップトップとスマートフォンまたはタブレットを使用し、ラップトップの場合は3Mbps、スマートフォン/タブレットの場合は1Mbpsのスループットを想定します。 ノートパソコン：3Mbps / 150 / .8 * 40 = 1 スマートフォン/タブレット：1Mbps / 30 / .8 * 40 = 1.6 教室ごとに必要な無線の総数= 2.6。各APには2つの無線があり、これにより教室ごとに1つのAPが利用できます。切り捨てる場合。すべての教室が使用されており、毎日満員です。現在のクライアントベースは、キャンパス全体で約30％の5GHz対応を示しています。ほとんどのクライアントが5GHz対応になっているため、この数は急速に増えると思います。 使用中のアンテナ：AIR-ANT2566P4W-R（デュアルバンドパッチ） PDF画像は、AP /アンテナを教室の正面（東向き、または廊下から離れた場所）に配置した結果です。部屋（シートロックの壁）間の減衰はほとんどありません。これは3階建ての建物で、各フロアのレイアウトは同じです。 現在の計画： 教室ごとに1つのAP、パッチアンテナが東向きに取り付けられた外壁（図を参照）のある教室用。ただし、1階の機械式ダウンチルトを使用して、Anetannaの「背後」にある部屋の信号を減らします。2階と3階には、アンテナが描画どおりに取り付けられており、ダウンチルトはありません。20MHz …

10 cisco  wireless  design 

環境内のリンクのOSPFコストを設計するために、どのようなプロセスやツールを使用していますか？

10 ospf  architecture  design 

フルメッシュデザインのN7Kがそれぞれ2つあるコントロールセンターサイトが2つあり、内部サーバーファームの集約として2つのNexus 5548UPがあり、各N5K Aggで2つのASAファイアウォールがハングしています。どちらのサイトにも鏡像デザインがあります。内部サーバーファームアプリケーションに直接アクセスする必要のあるユーザーがいます。また、内部サーバーアプリケーションからの送信接続要求のセキュリティ境界も必要です。さらに、Agg内でプライベートDMZをホストして、インバウンド接続要求を低セキュリティゾーンとして分類するものから分離する必要があります（N7K COREは、低セキュリティネットワークサブネットへのルートにvrf：Globalを使用します）。 通常、ユーザーは安全性の低いゾーンと見なされますが、この設計は大規模な電力網の制御システムをホストするためのものです。これを念頭に置いて、ユーザーをN5K Aggに直接接続して、SITE1サーバーファームAggがダウンしてSITE 2がアプリケーションをホストできるようにすることも望まない（現在、ユーザーをアプリケーションと同じ物理スイッチに接続している） 。ユーザーがHA L3コア（4 x N7Kフルメッシュ）からサーバーファームにルーティングする従来のデータセンター設計を提供したいと思います。ただし、これらは「内部サーバー」と同じセキュリティレベルと見なされているため、N7K COREでホストされているプラ​​イベートVPNクラウドに分離したいと考えています。N7KはMPLSをサポートしているため、これが最も論理的ですが、現在の設計では、ファイアウォールも接続されているため、Nexus 5548アグリゲーションの内部サーバーのL2 / L3境界があります。Nexus 5KはMPLSをサポートしていませんが、VRF Liteをサポートしています。N5Kは、各サイトのローカルN7Kにもフルメッシュで接続されています。 N5KとN7Kの間の4つのリンクすべてを利用するには、ファイアウォールから転送する必要があるトラフィックから内部ユーザートラフィックをコアから分離するという考えにピトンホールするptからpt L3リンクを構成するか、5K間でFabricPathを利用できます。 7Kとvrf liteを使用します。N7Kのvrf：グローバルルーティングテーブルを接続するために、4つのノードとファイアウォールの外部VLANの間のインターフェイスSVIがFabricPath vlanだけになります。これらはライセンスを取得する必要があるため、これはおそらくやり過ぎですが、独自のセキュリティ要件があるため、コストは小さな問題になる傾向があります。 ルーティングの場合、ファイアウォールにデフォルトルートをインストールして、N7K vrf：Globalをポイントします。これにより、OSPFまたはEIGRPが実行され、他の低セキュリティネットワークへのルートが学習されます。ハイセキュアゾーンの場合、すべてのN5KとN7Kにvrf：Internalをインストールします。N7KのMPLSではMP-BGPを使用する必要があるため、ほとんどの場合BGPを実行します。これは、SITE2内部サーバーファームと内部ユーザーのルートのみを学習します（私たちのアプリケーションは、スプリットブレインを防ぐためにサイト間にL3が必要です）。また、vrf：Globalがvrf：Internalとルートを交換することを許可しないように細心の注意を払う必要があります。これにより、2つのvrf間のL3接続を提供するステートフルファイアウォールで非対称的な悪夢が生じるからです。ローカルサイトのN5Kとファイアウォールの単純なデフォルトルートと、内部サーバーサブネットを指すN7Kのサマリールートを使用すると、この問題を回避できます。 あるいは、N7Kから別のVDCを構築してFHRPを提供し、ファイアウォールをVDCに移動することを検討しました。N5Kは、FabricPathのみを使用し、いかなるL3も使用しません。 これは典型的な設計ではない可能性が高いので、これについてのフィードバックをいただければ幸いです。

9 design  cisco-nexus-5k  cisco-nexus-7k 

サードパーティのプロバイダーが、メトロイーサネット経由でリモートサテライトキャンパスに接続を提供しています。レッドテープのため、プロバイダーはルーティングされたポイントツーポイント接続（R2およびR3）をサテライトキャンパスに提供する必要があります。理想的には、プロバイダーは私のプライベートWANをサテライトキャンパス（R1およびR4）にブリッジしますが、これは前述の理由によるオプションではありません。 私の目標は、プロバイダーの支援をほとんどまたはまったく受けずに、衛星キャンパスをASに組み込むことです。現在、プロバイダーを介してルーティングする必要のある新しいネットワークを作成するときは、プロバイダーに電話して、新しいルートをインストールするよう依頼する必要があります。新しいルートは、EIGRPを使用してR2とR3の間で配布します。多くの場合、このプロセスは難しく、人為的ミスが発生しやすくなります。 着信ルートをフィルタリングできないため、プロバイダーがABRであることを信頼しません。R1とR4の間でIPIPトンネルを使用することを検討しましたが、プロバイダーによって実行されるポリシングがトラフィックにどのように影響するかわかりません。これにより、トンネルでOSPFを実行できます。 私の主な制限はプロバイダーであり、既存のハードウェアで使用できる動的プロトコルはOSPFだけであるという追加の事実です。

9 ospf  routing  design 

私は大規模なネットワーキングに本当に慣れていません。知っているのは基本だけです。複数のオフィスで構成される巨大なワークスペースのネットワークを作成します。合計308のクライアントがあり、オフィスごとに少なくとも12のクライアントがあります。 私はこの図に従っています： CISCO SG500-28マネージドスイッチをメインスイッチとして使用し、別のスイッチCISCO SG250-18マネージドスイッチを使用します。 インストールを簡単にするために、すべてのパーツまたはセクターにCISCO SG250-18マネージドスイッチを使用する予定です。デスクトップスイッチはこれに接続します。 私の質問： よろしいですか？ スイッチのカスケードは全体的なパフォーマンスに影響しますか？ 最後のノードは、他のノードからギガビットファイル転送速度を取得できますか？ メインスイッチはすべてのクライアントを処理できますか？

9 cisco  switch  network  design 

アクセスレイヤーを設計する場合、今日のベストプラクティスはL3設計に進むことを示しているようです。DC設計とエンタープライズキャンパス設計のどちらを話しているかによって、答えが異なる場合があることを知っています。 アクセスレイヤでL3よりもL2を選択する場合、およびDCとキャンパスの設計の違いを説明してください。 クラスター（Windows、VMWareなど）などのサーバー間のL2隣接要件により、DCアクセスでL2がプッシュされることがわかっています。他にも要因はありますか？（そして、L2が必要な場合、ベストプラクティスは、L2トラフィックをアグリゲーションレイヤーまで運び、バックダウンするか、アクセススイッチ間の直接接続されたトランクを介してそのL2を運ぶ（つまり、三角形の代わりにループの正方形を構築する）ことです。ブロードキャスト/衝突/ STPドメインを増加させないように、L2隣接を1組のアクセススイッチに限定し続けますか？ エンタープライズキャンパスで、L2隣接要件がないと仮定して、アクセスレイヤでL3以外の設計を示すケースはありますか？

8 cisco  routing  best-practices  design 

コンピュータネットワークの知識のある人として、私はいつもカスタム長の光ファイバーケーブルを作成する方法を学ぶのに悩みがありました。したがって、個人的な目標として、ケーブルの終端処理とスプライシングのトレーニングと認定を受けたいと思います。追求すべき優れた信頼できる業界標準の認定とは何ですか？ 私はロサンゼルスにいるので、トレーニングに適した場所を知っている人がいたら教えてください（例：コミュニティカレッジですが、他の人を熟考します）。

7 layer1  fiber  design  hardware  optics 

「OOB」管理ネットワークの設計を支援するように依頼されましたが、利用できるリソースは限られています。私は以下を持っています： それぞれにC3KX-NM-1Gネットワ​​ークモジュールを搭載した1つのCisco 3750-Xスタックペア。 8 Cisco 2960-24TC-L「集約」スイッチ。 Cisco 6509-E VSSコアを使用して、レイヤ2コラプスドコアネットワークトポロジを実行します。128個のアクセススイッチが1Gpsポートチャネルを介してコアに接続されています。これは、銅線とファイバーのアップリンクを組み合わせたものです。2階へのファイバーとデータセンターの銅線。 コンサルタントによる現在の考えは、2690の「集約」スイッチにアップリンクされた独自のVLANを使用して、各アクセススイッチに管理SVIを構成することです。集約スイッチは、802.1qトランクを介して3750-Xスタックにアップリンクされ、IPアンナンバードで構成されて、実稼働アクセススイッチ間のL2通信をバイパスするレイヤ3リンクをエミュレートします。3750-Xスタックには、運用アクセススイッチがデフォルトゲートウェイとして使用する個々のVLANごとに構成されたループバックがあります。 考え/懸念は、管理ネットワークがSTPトラフィックを他のアクセススイッチに渡したり、2つの別個のネットワーク間のあらゆる種類のネットワーク収束を危険にさらしたりしたくないことです。「貧乏人」のプライベートVLANセットアップの一種。 これがこれを設定するための最良のまたは最も効率的な方法か、それを回避するためのより良い方法があるのか​​と思います。

7 design  management