Как создавать понятные логические (L3) схемы сети

http://packetpushers.net/how-to-draw-clear-l3-logical-network-diagrams/
  • Перевод
  • Tutorial
Cамая большая проблема, с которой я сталкиваюсь при работе с сетями предприятий — это отсутствие чётких и понятных логических схем сети. В большинстве случаев я сталкиваюсь с ситуациями, когда заказчик не может предоставить никаких логических схем или диаграмм. Сетевые диаграммы (далее L3-схемы) являются чрезвычайно важными при решении проблем, либо планировании изменений в сети предприятия. Логические схемы во многих случаях оказываются более ценными, чем схемы физических соединений. Иногда мне встречаются «логически-физически-гибридные» схемы, которые практически бесполезны. Если вы не знаете логическую топологию вашей сети, вы слепы. Как правило, умение изображать логическую схему сети не является общим навыком. Именно по этой причине я пишу эту статью про создание чётких и понятных логических схем сети.

Какая информация должна быть представлена на L3-схемах?

Для того, чтобы создать схему сети, вы должны иметь точное представление о том, какая информация должна присутствовать и на каких именно схемах. В противном случае вы станете смешивать информацию и в итоге получится очередная бесполезная «гибридная» схема. Хорошие L3-схемы содержат следующую информацию:

  • подсети
    • VLAN ID (все)
    • названия VLAN'ов
    • сетевые адреса и маски (префиксы)

  • L3-устройства
    • маршрутизаторы, межсетевые экраны (далее МСЭ) и VPN-шлюзы (как минимум)
    • наиболее значимые серверы (например, DNS и пр.)
    • ip-адреса этих серверов
    • логические интерфейсы

  • информацию протоколов маршрутизации

Какой информации НЕ должно быть на L3-схемах?

Перечисленной ниже информации не должно быть на сетевых схемах, т.к. она относится к другим уровням [модели OSI, прим. пер.] и, соответственно, должна быть отражена на других схемах:

  • вся информация L2 и L1 (в общем случае)
  • L2-коммутаторы (может быть представлен только интерфейс управления)
  • физические соединения между устройствами

Используемые обозначения

Как правило, на логических схемах используются логические символы. Большинство из них не требуют пояснений, но т.к. я уже видел ошибки их применения, то позволю себе остановиться и привести несколько примеров:

  • Подсеть, представленная как трубка или линия:

  • VRF или другая не известная точно зона представляется в виде облака:




Какая информация необходима для создания L3-схемы?

Для того, чтобы создать логическую схему сети, понадобится следующая информация:

  • Схема L2 (или L1) — представление физических соединений между устройствами L3 и коммутаторами
  • Конфигурации устройств L3 — текстовые файлы либо доступ к GUI, и т.д.
  • Конфигурации устройств L2 — текстовые файлы либо доступ к GUI, и т.д.


Пример

В данном примере мы будем использовать простую сеть. В ней будут присутствовать коммутаторы Cisco и МСЭ Juniper Netscreen. Нам предоставлена схема L2, также как и конфигурационные файлы большинства представленных устройств. Конфигурационные файлы пограничных маршрутизаторов ISP не предоставлены, т.к. в реальной жизни такую информацию ISP не передаёт. Ниже представлена L2-топология сети:



А здесь представлены файлы конфигурации устройств. Оставлена только необходимая информация:

asw1
!
vlan 210
name Servers1
!
vlan 220
name Servers2
!
vlan 230
name Servers3
!
vlan 240
name Servers4
!
vlan 250
name In-mgmt
!
interface GigabitEthernet0/1
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface GigabitEthernet0/2
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface vlan 250
ip address 192.168.10.11 255.255.255.128
!
ip default-gateway 192.168.10.1

asw2
!
vlan 210
name Servers1
!
vlan 220
name Servers2
!
vlan 230
name Servers3
!
vlan 240
name Servers4
!
vlan 250
name In-mgmt
!
interface GigabitEthernet0/1
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface GigabitEthernet0/2
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface vlan 250
ip address 192.168.10.12 255.255.255.128
!
ip default-gateway 192.168.10.1

asw3
!
vlan 210
name Servers1
!
vlan 220
name Servers2
!
vlan 230
name Servers3
!
vlan 240
name Servers4
!
vlan 250
name In-mgmt
!
interface GigabitEthernet0/1
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface GigabitEthernet0/2
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface vlan 250
ip address 192.168.10.13 255.255.255.128
!
ip default-gateway 192.168.10.1

csw1
!
vlan 200
name in-transit
!
vlan 210
name Servers1
!
vlan 220
name Servers2
!
vlan 230
name Servers3
!
vlan 240
name Servers4
!
vlan 250
name In-mgmt
!
interface GigabitEthernet0/1
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface GigabitEthernet0/2
switchport mode trunk
switchport trunk encapsulation dot1q
channel-group 1 mode active
!
interface GigabitEthernet0/3
switchport mode trunk
switchport trunk encapsulation dot1q
channel-group 1 mode active
!
interface GigabitEthernet0/4
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface GigabitEthernet0/5
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface GigabitEthernet0/6
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface Port-channel 1
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface vlan 200
ip address 10.0.0.29 255.255.255.240
standby 1 ip 10.0.0.28
!
interface vlan 210
ip address 192.168.0.2 255.255.255.128
standby 2 ip 192.168.0.1
!
interface vlan 220
ip address 192.168.0.130 255.255.255.128
standby 3 ip 192.168.0.129
!
interface vlan 230
ip address 192.168.1.2 255.255.255.128
standby 4 ip 192.168.1.1
!
interface vlan 240
ip address 192.168.1.130 255.255.255.128
standby 5 ip 192.168.1.129
!
interface vlan 250
ip address 192.168.10.2 255.255.255.128
standby 6 ip 192.168.10.1
!
ip route 0.0.0.0 0.0.0.0 10.0.0.17

csw2
!
vlan 200
name in-transit
!
vlan 210
name Servers1
!
vlan 220
name Servers2
!
vlan 230
name Servers3
!
vlan 240
name Servers4
!
vlan 250
name In-mgmt
!
interface GigabitEthernet0/1
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface GigabitEthernet0/2
switchport mode trunk
switchport trunk encapsulation dot1q
channel-group 1 mode active
!
interface GigabitEthernet0/3
switchport mode trunk
switchport trunk encapsulation dot1q
channel-group 1 mode active
!
interface GigabitEthernet0/4
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface GigabitEthernet0/5
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface GigabitEthernet0/6
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface Port-channel 1
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface vlan 200
ip address 10.0.0.30 255.255.255.240
standby 1 ip 10.0.0.28
!
interface vlan 210
ip address 192.168.0.3 255.255.255.128
standby 2 ip 192.168.0.1
!
interface vlan 220
ip address 192.168.0.131 255.255.255.128
standby 3 ip 192.168.0.129
!
interface vlan 230
ip address 192.168.1.3 255.255.255.128
standby 4 ip 192.168.1.1
!
interface vlan 240
ip address 192.168.1.131 255.255.255.128
standby 5 ip 192.168.1.129
!
interface vlan 250
ip address 192.168.10.3 255.255.255.128
standby 6 ip 192.168.10.1
!
ip route 0.0.0.0 0.0.0.0 10.0.0.17

fw1
set interface ethernet0/1 zone untrust
set interface ethernet0/1.101 tag 101 zone dmz
set interface ethernet0/1.102 tag 102 zone mgmt
set interface ethernet0/2 zone trust
set interface ethernet0/1 ip 10.0.0.1/28
set interface ethernet0/1 manage-ip 10.0.0.2
set interface ethernet0/1.101 ip 10.0.0.33/28
set interface ethernet0/1.102 ip 10.0.0.49/28
set interface ethernet0/2 ip 10.0.0.17/28
set interface ethernet0/2 manage-ip 10.0.0.18
set vrouter trust-vr route 0.0.0.0/0 interface ethernet0/1 gateway 10.0.0.12

fw2
set interface ethernet0/1 zone untrust
set interface ethernet0/1.101 tag 101 zone dmz
set interface ethernet0/1.102 tag 102 zone mgmt
set interface ethernet0/2 zone trust
set interface ethernet0/1 ip 10.0.0.1/28
set interface ethernet0/1 manage-ip 10.0.0.3
set interface ethernet0/1.101 ip 10.0.0.33/28
set interface ethernet0/1.102 ip 10.0.0.49/28
set interface ethernet0/2 ip 10.0.0.17/28
set interface ethernet0/2 manage-ip 10.0.0.19
set vrouter trust-vr route 0.0.0.0/0 interface ethernet0/1 gateway 10.0.0.12

outsw1
!
vlan 100
name Outside
!
vlan 101
name DMZ
!
vlan 102
name Mgmt
!
interface GigabitEthernet1/0
description To-Inet-rtr1
switchport mode access
switchport access vlan 100
!
interface GigabitEthernet1/1
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface GigabitEthernet1/3
switchport mode trunk
switchport trunk encapsulation dot1q
channel-group 1 mode active
!
interface GigabitEthernet1/4
switchport mode trunk
switchport trunk encapsulation dot1q
channel-group 1 mode active
!
interface Port-channel 1
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface vlan 102
ip address 10.0.0.50 255.255.255.240
!
ip default-gateway 10.0.0.49

outsw2
!
vlan 100
name Outside
!
vlan 101
name DMZ
!
vlan 102
name Mgmt
!
interface GigabitEthernet1/0
description To-Inet-rtr2
switchport mode access
switchport access vlan 100
!
interface GigabitEthernet1/1
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface GigabitEthernet1/3
switchport mode trunk
switchport trunk encapsulation dot1q
channel-group 1 mode active
!
interface GigabitEthernet1/4
switchport mode trunk
switchport trunk encapsulation dot1q
channel-group 1 mode active
!
interface Port-channel 1
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface vlan 102
ip address 10.0.0.51 255.255.255.240
!
ip default-gateway 10.0.0.49


Сбор информации и её визуализация

Хорошо. Теперь, когда мы имеем всю необходимую информацию, можно приступать к визуализации.

Процесс отображения шаг за шагом

  1. Сбор информации:
    1. Для начала откроем файл конфигурации (в данном случае ASW1).
    2. Возьмём оттуда каждый ip-адрес из разделов интерфейсов. В данном случае есть только один адрес (192.168.10.11) с маской 255.255.255.128. Имя интерфейса — vlan250, и имя vlan 250 — In-mgmt.
    3. Возьмём все статические маршруты из конгфигурации. В данном случае есть только один (ip default-gateway), и он указывает на 192.168.10.1.

  2. Отображение:
    1. Теперь давайте отобразим информацию, которую мы собрали. Во-первых, нарисуем устройство ASW1. ASW1 является коммутатором, поэтому используем символ коммутатора.
    2. Нарисуем подсеть (трубку). Назначим ей имя In-mgmt, VLAN-ID 250 и адрес 192.168.10.0/25.
    3. Соединим ASW1 и подсеть.
    4. Вставляем текстовое поле между символами ASW1 и подсети. Отобразим в нём имя логического интерфейса и ip-адрес. В данном случае имя интерфейса будет vlan250, и последний октет ip-адреса — .11 (это является общей практикой — отображать только последний октет ip-адреса, т.к. ip-адрес сети уже присутствует на схеме).
    5. Также в сети In-mgmt есть другое устройство. Или, как минимум, должно быть. Нам ещё неизвестно имя этого устройства, но его IP-адрес 192.168.10.1. Мы узнали это потому, что ASW1 указывает на этот адрес как на шлюз по-умолчанию. Поэтому давайте отобразим это устройство на схеме и дадим ему временное имя "??". Также добавим его адрес на схему — .1 (кстати, я всегда выделяю неточную/неизвестную информацию красным цветом, чтобы глядя на схему можно было сразу понять, что на ней требует уточнения).


На этом этапе мы получаем схему, подобную этой:



Повторите этот процесс шаг за шагом для каждого сетевого устройства. Соберите всю информацию, относящуюся к IP, и отобразите на этой же схеме: каждый ip-адрес, каждый интерфейс и каждый статический маршрут. В процессе ваша схема станет очень точной. Убедитесь, что устройства, которые упомянуты, но пока неизвестны, отображены на схеме. Точно так же, как мы делали ранее с адресом 192.168.10.1. Как только вы выполните всё перечисленное для всех известных сетевых устройств, можно начать выяснение неизвестной информации. Вы можете использовать для этого таблицы MAC и ARP (интересно, стоит ли писать следующий пост, рассказывающий подробно об этом этапе?).

В конечном счёте мы будем иметь схему наподобие этой:



Заключение

Нарисовать логическую схему сети можно очень просто, если вы обладаете соответствующими знаниями. Это продолжительный процесс, выполняемый вручную, но это отнюдь не волшебство. Как только у вас есть L3-схема сети, достаточно нетрудно поддерживать её в актуальном состоянии. Получаемые преимущества стоят приложенных усилий:

  • вы можете планировать изменения быстро и точно;
  • решение проблем занимает гораздо меньше времени, чем до этого. Представим, что кому-то нужно решить проблему недоступности сервиса для 192.168.0.200 до 192.168.1.200. После просмотра L3-схемы можно с уверенностью сказать, что МСЭ не является причиной данной проблемы.
  • Вы можете легко соблюдать корректность правил МСЭ. Я видел ситуации, когда МСЭ содержали правила для трафика, который никогда бы не прошёл через этот МСЭ. Этот пример отлично показывает, что логическая топология сети неизвестна.
  • Обычно как только L3-схема сети создана, вы сразу заметите, какие участки сети не имеют избыточности и т.д. Другими словами, топология L3 (а также избыточность) является такой же важной как избыточность на физическом уровне.
Поделиться публикацией
Комментарии 27
    0
    Пост не претендует на новизну, но похожих материалов на русском припомнить почему-то не могу. Если вам известны полезные материалы по данной тематике или есть заметки из личного опыта, сообщите их, пожалуйста, в комментариях.

    Из комментариев к оригиналу статьи: часто встаёт вопрос, какую информацию следует обозначать на схеме: будет её слишком много, или наоборот — недостаточно. Самое распространённое мнение на этот счёт (что подтверждает и автор): отображать на схеме только действительно полезную информацию, которую будет относительно нетрудно поддерживать в актуальном состоянии. Это важно.
      +1
      Для создания всех схем данной статьи использовался MS Visio.

      Для улучшения навыков отрисовки рекомендую к ознакомлению следующие статьи:
      Network Diagrams: Tips for Printing from Visio
      Network Diagrams:Zones on a diagram with Visio shape union
      Visio Connector Tips

      Многие специалисты ведут собственные блоги, где частенько выкладывают части собственных практик. Думаю, ознакомиться с ними будет крайне интересно.
      +1
      В копилку полезных ссылок — коннекторы, позволяющие подписывать интерфейсы с разных сторон. У той же конторы есть решение для вложенных диаграмм (когда со схемы здания можно открыть план комнаты, оттуда перейти в схему расстановки оборудования в шкафу).
        0
        На подписи к коннекторам уходило немало времени. Спасибо, буду применять у себя.

        А насчёт вложенных диаграмм — интересное решение. Надо попробовать :)
          0
          В Visio ж есть штатный механизм, которые позволяет по клику на объекте открывать другую страницу документа. В свое время это мне очень помогло быстро прототипировать структуру схем сети на всех уровнях иерархии, чтобы показать коллегам, что мы потом будем рисовать в системе мониторинга.
        0
        Как бы этот процесс автоматизировать, ну сеть в несколько устройств можно отрисовать и ручками, а в несколько сотен устройств уже сложнее, там где будет несколько тысяч — уже нужен отдельный художник. В системах мониторинга это выглядит не так красиво, зато не нужен специально обученный человек и за пару часов с небольшой ручной доработкой можно получить интерактивную логическую структуру сети. Вот бы скрестить наработки, чтоб на сеть натравил скрипт и через пару часов получил полную визуализацию, может кто знает инструменты, наработки есть, но результат выглядит как-то так:
        Пример сети на 90% созданной в автоматическом режиме
        Узлы сети по карте раздвинуты вручную, чтоб более наглядно разделить районы, также вручную, где нужно на линках вставлен триггер, указывающий текущую нагрузку, все остальное построено скриптами автоматически и автоматически обновляется при изменении.


          0
          А какое ПО такую красоту нарисовало?
            0
            Автоопределение устройств в zabbix + LLD (собственная реализация из коробки мало функционально) шаблоны + snmp скрипт для опроса ключевых параметров с оборудования (имя, связи, виланы и т.п.) + expect срипт (то же что snmp, но для древнего железа без snmp) + скрипт построения деревьев + скрипт выгрузки построенных деревьев в базу карты сетей по координатам, пример есть по ссылке. Ну еще много мата, кофе и костылей(всех не вспомню) и сеть строится сама, только ручками связи раздвигай для наглядности.
              0
              У себя подобное завести можно?
                0
                Заводите, кто же не дает, то. В моем куча хардкода и костылей, то-есть на другую сеть без серьезного допиливания не перенести. Основная суть в том, что по диапазону управляющего VLAN пробегает скрипт который строит L2 структуру сети на основании маков на портах (скрипту только надо задать маки ядра сети, чтоб строил от них), дальше строим дерево связей на этом основании и вгружаем в систему, самая сложная часть по ссылке выше, остальное базовые умения заббикса ну и знание оборудования в своей сети. Мне самому хотелось бы инструмент, чтоб прийти в любую сеть, где местные админы пролюбили схему сети, тупо запустить скрипт, пойти пить кофе и через n минут получить карту логических связей в графическом виде, а не сидеть несколько дней(недель) с инженером и подымать историю сварок, но к сожалению я такого инструмента пока не нашел, а мой не портируем на другие сети и оборудование без серьезной доработки.
                  0
                  Упомянутое мной ниже решение от IBM отчасти позволит решить задачу. Да и не только у IBM в принципе такие решения есть (на вскидку, EMS Smarts, например, из опен сорсной области уже с ходу не назову ничего). Но там всегда будут нюансы.

                  Например, неуправляемый тупой хаб у большинства алгоритмов автоопределения топологии вызывает появление на схеме full-mesh из подключенных в него девайсов (мы их «ежами» прозвали, ибо похоже). С одной стороны такого в сети быть не должно, с другой — я знаю крупную компанию, где такое было в регионах. Глобальная карта их сети выглядела очень смешно.
                  Второй куда более серьезный нюанс работы подобных автоматизированных систем — опрос таблицы маршрутизации и ARP кэша. При больших размерах оных можно случайно завалить саму железку, если это делается по SNMP. Cisco на ура падает, проверяли.
                    0
                    Если работали сами с этим решением, подскажите как оно себя ведет в мультивендорной сети, для одновендорных сетей встречал похожие варианты от вендоров, например, работающих через LLDP, но как только вендоров больше нескольких, часть оборудования просто не видна на схемах или показывает какие-то совсем ужасы. Для SNMP конечно есть RFC, но некоторые вендоры на него кладут. В своих скриптах можно перечислить всех вендоров, как определить и нужные мибы для каждого, позволяет ли это сделать вышеназванное решение?
                      0
                      как раз на днях закончил формировать карту сети для Zabbix. Мультивендорной ее не назовешь, но скрипты для интерфейсов подошли и к Cisco и к Juniper SRX.
                      Остальные скрипты, которые писал — проприетарные технологии, на джунипере не проверишь (nbar, ip sla)

                      Но, допустим OID загрузки CPU на ASR и на ISR отличаются. В рамках одного lld скрипта, сделал оба oid. Если шаблон цепляется на ISR, то тот кусок что касается ASR показывается как «OID не поддерживается на устройстве.»
                        0
                        lld позволяет задавать условия для шаблонов, то-есть если найден ASR — используем шаблон 1, если ISR — шаблон 2, у меня еще есть MXы там по третьему, тоже делал костылями на заббиксе. Чем делали формирование, приопритарным инструментом или своими скриптами?
                          0
                          проприетарным, но уперся в его лимит и сейчас подумываю о своих скриптах. Но, нужно время
                        +1
                        Вполне нормально ведет себя. Там конечно есть свои ограничения, что-то оно поддерживает, что-то нет. Но IBM не пишет одновендорных решений по части мониторинга, поэтому более или менее распространенных вендоров оно поддерживает.

                        С SNMP проблема в том, что на Cisco каждый запрос обрабатывается процом. Если сделать очень много запросов подряд, растет загрузка проца, далее могут начать отваливаться другие функции. Запрос ARP кэша или большой таблицы маршрутизации по SNMP нагружает железку вплоть до ее падения, поэтому с этим надо очень осторожно работать.
                          0
                          Спасибо, попробую погонять на стенде если есть возможность получить на тест, не знал об этом продукте.
                            0
                            Проще в местный IBM обращаться. Просто так для теста скачать с сайта не дадут точно.
                              0
                              Ну я для местной фирмы одной думал взять на тест, но думаю с Крымом пока IBM дел иметь не захочет, уже испытали на других вендорах, старые контракты обслуживают а новые не хотят из-за непонятного юридического статуса, но будем узнавать, спасибо.
                                0
                                Ну я б спросил. Вдруг захотят.
                0
                При наличии денег можно воспользоваться IBM Tivoli Netcool Network Manager, который умеет делать автоматическое определение L2/L3 топологии (в последней версии — 4.1.1 — они таки допилили работу с транспортными оптическими сетями и мобильной инфраструктурой типа BSS, RAN, etc).
                Хотя мат, кофе и костыли все равно понадобятся в некотором количестве, ибо ни один софт 100% корректное не распознает 100% всей сети.

                Преимущество именно этого варианта полноценно можно прочувствовать, если у вас уже используется fault management софт от IBM, так как ITNM интегрируется, понятное дело, с IBM Tivoli Netcool OMNIbus (ядро fault management решения) и позволяет делать root-cause analysis неиправностей.
              0
              Хорошие L3-схемы содержат следующую информацию:
              подсети
              VLAN ID (все)
              названия VLAN'ов
              сетевые адреса и маски (префиксы)


              Слишком уж радикально, как по мне.
              Если в моей ситуации вывести на L3 схему все вланы с адресацией по всем сайтам, у меня бы живого места не осталось бы. При этом у нас далеко не большая сетевая инфраструктура (порядка 12 распределенных площадок)
              Поэтому эту информацию, мы выводим на L2 схему площадки.

              PS. Большое спасибо за перевод и ссылки. Хочется улучшить скилл рисования красивых схем)
                0
                Все ситуации различаются. Если на схеме, пускай даже и одного типа (например L3, как здесь), нужно отобразить относительно много информации, то логично будет её разбить на части. В конечном счёте ведь главное — что, где и почему происходит. Или наоборот — не происходит =)
                  0
                  Да, согласен :)
                0
                Согласен с мнением
                Слишком уж радикально, как по мне.

                Для того чтобы получить общую картину схемы, нужно перед глазами иметь к примеру L3 схему, и в ближайшей доступности — L2.
                К примеру мы делаем это разными закладками в одном vsd файле
                По примеру который вы привели — правильно я понимаю что данная схема описывает только транспортную связность и OaM для данного участка?
                А как быть с описанием каких нибудь сервисных сеток, которые должны передаваться end-to-end между узлами?

                P.S. а VLAN как сущность относящаяся к модели L2, выносится на схему с L2 коннективити.
                  0
                  Здесь автор говорит о том, что на L3 схеме должна быть вся кинформация, касающаяся сетевого уровня — всё, что имеет ip-адрес: интерфейсы (в т.ч. из VLAN управления), сабинтерфейсы.

                  Для того чтобы получить общую картину схемы, нужно перед глазами иметь к примеру L3 схему, и в ближайшей доступности — L2.

                  А уж для совсем полного понимания и L1 не помешает.

                  0
                  На схеме не просматривается топология L2 на аксессе. Собственно не удалось понять, если в схеме L2-резервирование на аксессе?
                  Далее, зачем HSRP между маршрутизаторами, файерволами и коммутаторами distribution layer? Там должен быть протокол динамический маршрутизации. Кроме этого, раз включён HSRP в этом месте, значит имеется распределённый vlan на несколько устройств, а значит есть STP, я правильно понимаю? Было бы правильней все линки между данными устройствами сделать L3, чтобы избежать использования STP на distribution layer.

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое