Bonjour,
 
Dans le cadre d'un projet dans la refonte d'un réseau de 185 salariés.
J'aurai quelques questions concernant le protocole VRRP et LACP.
 
Voici la couche 2 :
 

• 8 commutateurs 2960 (100BaseT) 48 ports ;
• Chaque commutateur a 2 fibres 1000 Base SX connecté sur un coeur de réseau.

Voici la couche 3 :
 

• 2 commutateurs Cisco 3750G-12S ;
• Connecté en stackwise 32 Gbps.

Voici un schéma :
 

 
Mes questions :
 
Pour un stack de 2 x Cisco 3750G-12S :
 
Il n'est pas nécessaire d'utiliser le protocole VRRP pour assurer la redondance des passerelles des clients.
Suffit que je regroupe les 2 fibres de chaque commutateur de couche 2 en un lien logique (LACP) et pareil au niveau du stack de 3750 ?
Ainsi mon coeur de réseau sera un seul commutateur logique.
 
En cas de panne : Donc si un 3750 tombe, le deuxième a exactement les mêmes paramètres (Interface VLAN...). Et c'est transparent pour les commutateurs couche 2 ?
 
Ou alors je dois utiliser le protocole VRRP en plus de LACP ? Et donc avoir sur chaque 3750, une adresse IP différente par VLAN qui servira de passerelles, et une IP logique pour 2 interfaces VLAN.
Et c'est cette adresse IP logique qui servira aux clients ?
 
J'espère avoir été clair, merci de votre aide

Bonsoir,
 
Tout d'abord selon votre description il ne s'agit pas de VRRP mais plus du protocole HSRP au niveau de vos interfaces Vlans.
 
Si vos deux switchs sont en stack, ils ne forment donc qu'une unité logique c'est à dire que c'est la même conf sur les deux switchs. Il vous faut bien fermer l'anneau au niveau du stack ( 2 câbles).
 
Concernant votre design :
 
- Un PO par uplink de chaque 2960 si les 3750 permettent d'en avoir autant. Bien penser de mettre les deux uplink sur chaque module
- au niveau de l'etherchannel bien mettre un loadbalancing src-dst-ip pour bien équilibrer la charge sur les deux liens
- Avec la stack vous n'avez qu'une seule ip de management ce qui est avantageux
- Bien mettre en master un switch en changeant la priorité (15)
 
Voila

Soit tu considères tes 2 3750 comme des entités indépendantes et tu fais tourner Rapid-PVST+ avec VRRP ou HSRP, soit tu stackes tes 2 3750 et tu peux faire des etherchannels et tu n'as pas besoin de VRRP/HSRP.
 
En terme de temps de convergence la seconde solution est meilleure, il faut juste faire gaffe dans la config du stack à maintenir la mac address en cas de perte du master pour éviter les gratuitous ARP.

 
Merci pour ta réponse polak92
 
Mais il me semble que VRRP est une adaptation du protocole HSRP (cisco) plus récente. Ils ont le même objectif : redondance de passerelle.
J'ai bien pensé à utiliser 2 câble stackwise pour fermer l'anneau.
 
- Dans mon schéma, j'aurai 8 PO, un par commutateur de couche 2.
- Concernant le loadbalancing, peux tu être plus précis ? Je dois configurer au niveau des commutateurs couche 2 ou couche 3 pour "src-dst-ip"
 

 
Merci pour ta réponse dreamer18
 
Je vais configurer mon coeur de réseau en stack. Plus simple à configurer, et meilleur performances (liaison 32 Gbps).
 
   
 

Pour le loadbalancing, tu as une commande  
 
portchannel loadbalance xxx  
 
il faut le configurer sur chaque switch

 
Merci, je vais regarder cela de plus près, une fois le matériel en main.  

Autre question qui n'a pas de rapport avec le sujet.
 
C'est sur les VLANs.
 
Le VLAN management qui sert à prendre la main à distance sur les équipements, comment procéder pour sa mise en place ?
 
1. Je dédie un subnet pour le réseau management.
2. Je crée une interface vlan management avec une IP sur chaque équipement à gérer à distance. Et je ne dois surtout pas attribuer de port sur ce VLAN ?
3. Je laisse passer le VLAN management dans mes liens trunk.
4. Sur mon routage, je crée des ACL qui autorise seulement mon réseau service informatique (réseau différent de management) à utiliser différents protocole SSH, FTP... par exemple.
 
Car par défaut, si je ne fais pas d'ACL au niveau 3, tout le monde aura accès à tout le réseau, vu que chaque réseau est routé.
 
Voilà dans la pratique, est-ce que je dois procéder comme écrit ou alors je suis à côté de la plaque    
 
Merci

non c'est ça. Sur cisco en plus des ACL, protège l'accès au switch lui même via des access-class et la limitation des protocoles qui tournent sur la line vty

 
Merci pour la réponse rapide !  

Une autre question.
 
Je ne dois surtout pas utiliser le VLAN 1 (par défaut) ni le laisser passer dans mes trunk.
 
Donc pour mon vlan Management, j'utilise un ID différent de 1 ?
 
Merci

y a un mythe associé au VLAN 1.
 
Le problème du vlan 1 :
 
- les ports sont par défaut dans ce vlan
- c'est le vlan natif sur les trunks 802.1q par défaut
 
En général tu peux juste ne pas t'en servir et en utiliser un autre pour l'admin, ça suffit

Le vlan 1, c'est là que tout le bazar circule (cdp, dtp, ...), donc en général, il n'est pas conseillé d'utiliser ce vlan pour du trafic utilisateur.

non, ça circule sur le vlan natif (qui est 1 par défaut). Si tu changes le vlan natif tous les protocoles L2 passent dans ce vlan. La seule attaque dispo par défaut quand le port d'accès est dans le vlan natif est le vlan hopping http://en.wikipedia.org/wiki/VLAN_hopping