Способ создания отдельной сети управления для всех устройств. Сервера, виртуальные машины, маршрутизаторы, коммутаторы. Как это можно сделать?

Question

[egrhabr]

Приведу пример для коммутаторов можно сделать отдельный management vlan. А для роутеров? Для роутеров и коммутаторов l3 можно создать loopback'и и поднять ospf. А как быть c l2 свичами? А с серверами? Пример топологии:

Comments

[aleks-th]

А зачем ?

[egrhabr]

Сбор логов, мониторинг, удаленное управление. Я понимаю что можно выделить отдельный коммутатор и подключить туда все устройства. А что если такой возможности нет?

[Артём]

А в чём проблема-то? Какую задачу пытаетесь решить? У L2-свитчей также есть влан управления, для роутеров и серверов нужна IP связность

[egrhabr]

Артём, Сделать отдельную подсеть для всех устройств. Я понимаю что есть влан управления, а с роутерами как быть?

[Артём]

egrhabr, а отдельную подсеть от чего?

[Wexter]

А что если такой возможности нет?

Тогда и не нужно, management vlan вам будет и так достаточно

[Руслан Федосеев]

А в чем проблема с роутерами?

Answer 1

[Кот Абсолютный]

"Надо заново придумать некий смысл бытия
На...фига?" (С) Агата Кристи "Два корабля"

Когда нам понадобилась отдельная сеть для управления и бэкапов между хостами - мы взяли и ее сделали :) Вот реально - в каждом хосте быда свободная сетевуха, где не было - закупили, закупили свитч - и вывели на него все хосты, сервер бэкапов, резервный сервер (стоит в другом краю корпуса, а корпус у нас длиной 200 метров :)) и общую сеть.

Отдельная сеть - это отдельный носитель, прям на уровне физики.

И, кстати, вам отдельную сеть от чего? От общей сети?

Answer 2

[AntHTML]

Для L2, L3 существуют VLANы в которые смотрит managment-интерфейс (да, это не обязательно порт, это тупо ip который можно засунуть в любой порт)
Также у серваков (ipmi может быть как на выделенном порте, так и на LAN1)
Также у гипервизоров - там в настройках виртуального свича к нему отдельно коннектится интерфейс управления
Также и у других игрушек.
У полутупых smart-коммутаторов на крайняк можно всю коммутацию загнать в acces vlan2, а дефолтный vlan1 использовать как managment.
Но обычно если нужна изоляция mgm, то она делается физически, чтобы весь стыковой трафик контролировать на единственном выделенном роутере, а не искать по всей сетке куда какой влан с какими настройками фильтров пошел и где он дропнулся по маршрутизации, qosу или ддосу общего порта.

Answer 3

[Drno]

впн или vlan

Answer 4

[Akina]

Наверное, надо всё же начинать с целей и объективки. И уже под конкретные задачи верстать решение.

Принципиально сперва надо будет решить, требуется ли для решения выделенная физика. Например, если речь идёт чисто об изоляции управления, то она скорее всего не нужна, хотя всё зависит от требуемого уровня защиты, разделения доступа, категорирования и требований по/для сертификации. А вот если речь об изоляции сети для резервного копирования, миграции, репликации - тут выделенная физика, скорее всего, будет жизненной необходимостью.

И уже после надо думать о том, что именно делить на L2, что на L3, а что на L3+L2.