Всем замечательного дня!
Я столкнулся с такой проблемой.
Есть у нас сеть с несколькими сотнями L2-свичей (99% - это 3526 и 3028/3052). Все они находятся в одном управляющем вилане. Задолбало одно обстоятельство - когда "что-то" происходит в одном сегменте сетки, колбасит всю сеть. Вот решили мы провести фрагментацию нашей сетки.
На район ставим L3-свич (3612/3627). На нем терминируем и управляющие и клиентские виланы района. Далее он роутит их в другие виланы. Как бы все нормально.
вот схема:

Не пойму, как мне теперь организовать управление L2-свичами.
Подскажите, можно ли вообще сделать это вот в таком виде?
Я так слабо предполагаю, что OSPF наверное надо использовать. Но как конкретно? Слаб я в маршрутизации.
Короче, прошу хелпа.
Самое тупое - это руками прописывать статические маршруты. Но это ж не решение "для конкретных пацанов"..... Да и несерьезно это - несколько сот записей делать, да еще и менять руками их при замене/добавлении свича.
На всякий случай поясняю - все L2-свичи имеют уникальную по городу адресацию 10.125.0.0/16. Но по районам никакими подсетями не разделены.

В схеме на коммутаторах показаны клиентские IP адреса, или это адреса самих коммутаторов?

1. поставьте всего один роутер Л3 - в центр. В районах оставьте просто агрегирующие свичи Л2, от которых идут линки в центр.
2. У всех свичей должны быть адреса управляющих интерфейсов из одной адресной сети, которая задана для управляющего влана в свиче Л3. То есть управляющий влан должен покрывать всю сеть без сегментации.
3. OSPF вам не нужен, т.к. у вас один роутер.
4. В свиче Л3 с помощью ACL запретите хождение трафика между управляющим вланом и всеми остальными.
5. Наслаждайтесь...

Вообще-то у человека роутер не один. Я Вам завтра перезвоню.

2 grid
Это аксессные свичи (L2, с адресацией 10.125.0.0/16), к которым подключены клиенты
Конечно по сотне свичей с адресами я не стал рисовать.
Хотя смотрелось бы круто....... Пикассо отдыхал бы.


2 alex_ov
1 и 2. я как раз ухожу от такой схемы по объясненным выше причинам
3. вот тут откровенно плаваю...... ничего не могу сказать, но, L3-свичей, а в контексте вопроса - роутеров, нарисовано 5
4. выпонено, причем давно
5. выполняется

2 Demin Ivan
С нетерпением жду звонка...

Вообще, почитав введение в OSPF я понял, что если адресацию свичей в каждом районе ограничить подсетью (/12, /13 или что-то в этом роде), то ОСПФ будет рулить - в цискиной книге даже примеры есть такие. Но как-то тоскливо перелопачивать все свичи. Короче, было бы веселее, ежели без перенумерации.

Как показывает мой опыт, всю подсеть колбасит только в одном случае - арп-спуфинг. На свичах 3526/3028 от этого есть замечательная защита - ARP Spoofing Prevention. Поэтому нет никакого смысла ставить роутеры в районы в целях защиты от этого - это мера СНИЖЕНИЯ вреда, а не его ИСКОРЕНЕНИЯ. Ну да дело хозяйское...
Даже если роутеров 5 или 50, все равно сделайте управляющий влан "сквозным" на всю сеть. То есть роутеры для этого влана не должны маршрутизировать адресные подсети, они в этом влане должны как бы остаться коммутаторами Л2. Ну и в каждом роутере надо запретить ACL обмен трафиком между управляющим вланом и всеми остальными. Дабы туда не лез флуд и всякие умники со своими сканерами. Опять же, управляющий влан со своей адресной сетью не должен участвовать ни в OSPF, ни в статической маршрутизации.

всю сеть колбасит много из-за чего.
например, петлю можно соорудить. конечно, LBD порт отрубит, но шторм по сетке пробежится - как раз по упр. вилану

Ничего подобного! Сколько раз ловили петли - свободно захожу на свич и смотрю на каком порту лбд ругается. Другие свичи при этом аж никак не торкает. И при арп-штормах, когда корчило многих абонентов, свичи оставались полностью доступны.
Правильно настраивайте свичи и все будет нормально.

Покалякал я с умными людьми - кто в маршрутизации сечет.
Придется-таки мне делать на район города отдельную подсеть.
24-й хватит, можно 23-ю.....
и тогда ОСПФ заиграет во всей своей красе. когда я его по-нормальному настрою - вот сейчас цискину книжку прочитаю, переварю....

2 alex_ov
Не буду с Вами спорить, умею или нет я настраивать свичи. Это не входит в тему моего вопроса. И вопрос, кстати, стоял не "нужно-не нужно", а "как сделать". Потому что точно "нужно".
Что до фрагментации сети - так мне про нее говорили еще пару лет назад цискины спецы, и, кстати, д-линковские тоже - тот же Иван Демин предлагал подумать. Просто на тот момент я не прочувствовал ее нужность. А сейчас вот созрел.

Будут вопросы пишите, звоните!