łączenie zdalnej strony za pomocą światłowodu: vlans warstwy 2 czy routing warstwy 3?

Wita wszystkich,

W dawnych czasach, kiedy istniały dwie geograficznie odseparowane strony, łącza były dość ograniczone, więc umieściliśmy na nich routery i, no cóż, „routowaliśmy” między podsieciami IP na witrynę. To była najlepsza praktyka w tym czasie.

Teraz mamy pakiet światłowodów między dwoma geograficznie oddzielonymi miejscami. To nasze własne „własne” włókno, więc pośrednik nie stanowi problemu. Testy wskazują, że pakiet może bez problemu obsługiwać ruch wielobajtowy. Ponadto pierścień światłowodowy zawiera wiele redundancji, w tym oddzielne ścieżki fizyczne. Wszystko dobrze i dobrze.

Biorąc to pod uwagę, czy nadal uważa się za „najlepszą praktykę” stosowanie routingu i różnych podsieci między zdalnymi lokalizacjami? Czy możemy rozszerzyć naszą sieć „lokalną” (główną stronę) na zdalną stronę wraz z vlansami głównej strony? Czy nadal jest to uważane za nieoptymalną czy nawet złą praktykę? Co więcej, czy jest jakiś powód, aby tego nie robić? (Poza tym rozumiem problem „przerywania koparki”; oczekuje się, że osobne ścieżki fizyczne poradzą sobie z tą sytuacją).

Inne przemyślenia?

dzięki!

Teraz mamy pakiet światłowodów między dwoma geograficznie oddzielonymi miejscami. To nasze własne „własne” włókno, więc pośrednik nie stanowi problemu… Ponadto pierścień światłowodowy zawiera wiele redundancji, w tym oddzielne ścieżki fizyczne. Wszystko dobrze i dobrze.

Biorąc to pod uwagę, czy nadal uważa się za „najlepszą praktykę” stosowanie routingu i różnych podsieci między zdalnymi lokalizacjami? Czy możemy rozszerzyć naszą sieć „lokalną” (główną stronę) na zdalną stronę wraz z vlansami głównej strony? Czy nadal jest to uważane za nieoptymalną czy nawet złą praktykę? Co więcej, czy jest jakiś powód, aby tego nie robić? (Poza tym rozumiem problem „przerywania koparki”; oczekuje się, że osobne ścieżki fizyczne poradzą sobie z tą sytuacją).

Po pierwsze, w takiej sytuacji nie ma najlepszej praktyki. Wielkoformatowe szczegóły projektu, takie jak połączenia lokacji warstwy 2 / warstwy 3, zależą od potrzeb biznesowych, budżetu, możliwości personelu, preferencji i zestawów funkcji dostawcy.

Mimo całej miłości do przenoszenia instancji maszyn wirtualnych między centrami danych (co jest znacznie łatwiejsze w przypadku połączeń między warstwami między centrami danych w warstwie 2), osobiście nadal próbuję łączyć budynki w warstwie 3, ponieważ łącza warstwy 3 ogólnie oznaczają:

1. Niższe koszty operacyjne i krótszy czas do rozwiązania problemu. Zdecydowana większość diagnostyki problemów sieciowych jest oparta na usługach IP. Na przykład mtr ma tylko widoczność warstwy3. Tak więc przeskoki warstwy 3 są znacznie łatwiejsze do naprawienia, gdy znajdziesz upuszczenie pakietu, z powodu przeciążenia lub błędów w łączach. Warstwa 3 jest również łatwiejsza do zdiagnozowania, gdy masz do czynienia z problemami z wieloma ścieżkami (w porównaniu na przykład z wieloma ścieżkami innymi niż warstwa 3, takimi jak LACP). Wreszcie jest o wiele łatwiej znaleźć miejsce, w którym znajduje się serwer lub komputer, kiedy można śledzić bezpośrednio do przełącznika krawędzi.

2. Mniejsze domeny rozgłoszeniowe / zalewowe. Jeśli masz niedopasowane zegary ARP / CAM , jesteś podatny na nieznane zalanie emisji pojedynczej. Rozwiązanie tego problemu jest dobrze znane, ale większość sieci, które widzę, nigdy nie zawracają sobie głowy dopasowaniem timerów ARP i CAM. Wynik końcowy? Więcej wybuchów i powodzi w ruchu w domenie warstwy 2 ... a jeśli zalewasz łącza między warstwami warstwy 2, zalewasz naturalne punkty przeciążenia sieci.

3. Łatwiejsze wdrażanie zapór ogniowych / list ACL / QoS ... wszystkie te rzeczy mogą działać w warstwie 2, ale zwykle działają lepiej w warstwie 3 (ponieważ dostawcy / organy normowe spędzili co najmniej 15 z poprzednich 20 lat na tworzeniu zestawów funkcji dostawców preferujących warstwę 3) .

4. Mniej drzew opinających. MSTP / RSTP sprawiły, że drzewo opinające jest znacznie bardziej tolerowane, ale wszystkie smaki STP wciąż sprowadzają się do tego nieprzyjemnego protokołu, który uwielbia zalewanie rozgłasza niewłaściwy kierunek, gdy upuścisz BPDU na łączu blokującym STP. Kiedy to może się zdarzyć? Duże zatłoczenie, łuszczące się nadajniki-odbiorniki, łącza, które idą jednokierunkowo (z dowolnego powodu, w tym ludzkie), lub łącza, które działają z błędami.

Czy to oznacza, że ​​źle jest rozmieścić warstwę 2 między budynkami? Wcale nie ... to naprawdę zależy od twojej sytuacji / budżetu / preferencji pracowników. Jednak wybrałbym linki z warstwą 3, chyba że istnieje inny ważny powód. ¹ Przyczyny te mogą obejmować preferencje religijne w twoim personelu / mgmt, niższą znajomość konfiguracji warstwy 3 itp.

Jest to dość trudne, ponieważ oba podejścia mają zalety i wady. W poprzednim życiu, w którym moje obowiązki służbowe obejmowały znacznie więcej administracji sieciowej zamiast administracyjnej systemu, mieliśmy może dwa tuziny witryn na obszarze geograficznym o szerokości 12 mil. Około połowa tych witryn została skonfigurowana jako osobne witryny warstwy 3, które zostały skierowane z powrotem do głównego biura, a druga połowa została skonfigurowana jako witryny „warstwy 2” (tj. Właśnie rozszerzyliśmy VLAN na tę witrynę).

Zaletami witryn „Layer-2” było to, że ich konfiguracja i obsługa były znacznie prostsze; nie są potrzebne żadne routery, bez aktualizacji naszych tras statycznych, bez przekaźnika DHCP, bez osobnej konfiguracji VLAN i tak dalej. Główne wady, których doświadczyłem, były nietechniczne, na przykład o wiele trudniej jest zlokalizować nieuczciwy serwer DHCP, gdy domena rozgłoszeniowa znajduje się w 12 różnych budynkach, każdy w odległości kilku mil od siebie. Wiele zadań administracyjnych staje się trudniejszych, gdy brakuje podziału na przedziały sieciowe różnych witryn, takie jak różne reguły zapory dla Office A i Office B, ale nie Office C są trudne, gdy wszystkie mają tę samą sieć VLAN / podsieć. Przypuszczam, że możesz również napotkać problem z transmisjami w zależności od tego, ile masz urządzeń, ale z dzisiejszą technologią przełączania,

Zalety witryn „Layer-3” jest zupełnie odwrotna do witryn „Layer-2”. Otrzymujesz podział na przedziały, możesz pisać reguły zapory dla poszczególnych witryn i wiesz, w jakim konkretnym budynku znajduje się ten przeklęty router Linksys. Wady to oczywiście sprzęt wymagany do przeprowadzenia routingu oraz niezbędnej konfiguracji i konserwacji. Dynamiczne protokoły routingu i takie rzeczy jak VTP (jeśli odważysz się go użyć!) Mogą zmniejszyć obciążenie konfiguracji, jeśli sieć jest odpowiednio złożona.

Moja odpowiedź bez odpowiedzi: nie dziel na niepotrzebne przedziały (to znaczy oprzyj się pokusie bycia zbyt sprytnym), ale nie pozwól, aby krótkoterminowe łatwe rozwiązanie wygrało tam, gdzie bardziej sensowne jest posiadanie oddzielnych sieci VLAN / podsieci. Jako ktoś, kto ścigał moją część nieuczciwych serwerów Linksys DHCP ... er "Routery" ... Myślę, że istnieje mocny argument za zaprojektowaniem jednej sieci VLAN / podsieci na budynek w celu ograniczenia szkód, jakie mogą wyrządzić te błędne konfiguracje . Z drugiej strony, jeśli masz tylko dwie witryny i znajdują się tuż obok, być może warto udostępniać tę samą sieć VLAN / podsieć.

Jak wielu powiedziało, zarówno L2, jak i L3 mają dobre i słabsze strony. Byłem wcześniej zatrudniony przez firmę telefoniczną, a także pomagałem w tworzeniu mniejszych sieci.

Rozwiązania L2 są łatwiejsze do zrozumienia i tańsze, jeśli wszystko działa. Część robocza jest zwykle zrujnowana przez kogoś, kto ponownie podłącza kabel, który według nich został przypadkowo odłączony. Ochrona pętli i drzewo opinające mogą być przydatne, ale najprawdopodobniej spowodują więcej szkód niż użycia.

Z mojego doświadczenia, rozwiązania L3 były trudniejsze do zrozumienia przez strony, którym pomagałem. Koszt może również stać się problemem, jeśli producent musi obsługiwać sprzęt i oprogramowanie. Linux na maszynie x86 jest bardzo opłacalnym i pełnym funkcji routerem.

Zaletą rozwiązania L3 jest to, że pętle i inne transmisje są zawarte w znacznie mniejszej domenie. Najlepszym przykładem jest to, że jeśli ktoś przypadkowo utworzy pętlę w jednym z wielu przekierowanych oddziałów, tylko to biuro znika, podczas gdy inne mogą kontynuować pracę.

Głosowałbym na rozwiązanie z routingiem L3, głównie ze względu na mniejsze domeny rozgłoszeniowe, ale także dlatego, że ruch może być łatwo ustalany priorytetowo i zapory ogniowej. Jeśli ktoś potrzebuje połączeń L2, może tunelować je w sieci routowanej, a nawet samodzielnie szyfrować ruch, jeśli chce.

Polecam przełączniki warstwy 3, które będą trasować z prędkością LAN. Jeśli masz dobre łącze światłowodowe, możesz uruchomić sieć gigabitową za pośrednictwem światłowodu za pomocą takich urządzeń i nadal korzystać z zalet sieci routowanej (zmniejszona domena rozgłoszeniowa, listy dostępu itp.).

Myślę, że routing jest najlepszym wyborem. Cała sieć ulegnie awarii, jeśli światłowód zostanie zerwany. A routing za pomocą przełączników warstwy 3 (przełączanie warstwy 3) jest szybki jak przełączanie warstwy 2, jeśli używasz CEF lub czegoś takiego.