Обращаюсь к all за опытом.
Начали модернизацию сети (глобальная от docsis+домовой_Ethernet на полноценный MetroEthernet, на access переход от тупых свичей на 3526). Посему имеется ряд вопросов.

С конфигурированием железок все более-менее понятно. Вопрос к обслуживанию. По окончанию модернизации их будет 700-750.

Собственно вопрос. Разграничение ответственности между сисадминами и службой эксплуатацией (ну умрут сисадмины на рутине, у них и так своих тараканов хватает). Хочется отдать вопросы сопровождения на эксплуатацию и инженеров тех.поддержки.

Как видится. Т.к. менеджерские vlan'ы и клиентские vlan'ы отделены, не выключать web-интерфейс. Закрепить, например, 24 порт для управления и загнать туда менеджерский vlan (это для эксплуатации, чтоб, если что, они с бука могли подключиться с чердака/подвала к web-интерфейсу). Изначально принимаем, что обучение cli для эксплуатации - не посильная задача. Для тех.поддержки - доступ к web (как вариант - некий web-посредник между snmp-dlink и самим инженером). Первоначальная настройка в лаборатории по имеющимся шаблонам. Для эксплуатации и тех.поддержки курс молодого бойца по основам технологии, web-интерфейсу и типовым проблемам (определение и разрешение). Что-то нештатное - однозначно будут привлекаться сисадмины.

Дополнение: уровень доступа - для тех.поддержки - admin, для службы эксплуатации - user.

Немного о архитектуре. Будет 15 полуколец агрегации. В каждом полукольце - единое ip-пространство для менеджерских vlan'ов dlink'ов (т.е. своя /24 сеть). Для клиентов - отдельная /24 сеть на dlink. Привязка клиента к порту не планируется (все на pppoe будет - ESR 10008 - вытянит).

Еще раз уточню. Как осуществляется сопровождение у провайдеров, хотя б в общих чертах (я прекрасно понимаю, что это ноу-хау каждого, но все-таки...)? У той же корбины этих access на порядки больше. А за опытом не обратиться - не Московские мы.

В принципе логика правильная. Также стоит использовать механизм Trusted Host/Trusted Subnet для ограничения доступа к устройствам, а а также возможно CPU Interface filtering чтобы скажем разрешить только WEB с определённых IP. Если хотите подробно пообщаться можете перезвонить в офис по телефону +7(495)744-00-99 доб.390.

Это подразумевалось (только на уровне не dlink, а всей сети - acl (у меня только одна точка связи провайдерской сети и клиентской сети), хотя можно и dlink добавить - много-не_мало) + ограничение мас на порту до 5-7.



Это пренепременно, но в какой день на следующей неделе я не готов сказать, я до телефона на работе доберусь к среде-четвергу.