connessione di un sito remoto tramite fibra: vlans di livello 2 o routing di livello 3?

Saluta tutto

Ai vecchi tempi, quando avevi due siti geograficamente separati, i collegamenti erano piuttosto ristretti, quindi abbiamo messo i router su di essi e, bene, "instradati" tra le sottoreti IP per sito. Quella era la migliore pratica al momento.

Ora abbiamo un fascio di fibre tra i due siti geograficamente separati. È la nostra fibra "di proprietà", quindi un intermediario non è un problema. Il test indica che il bundle può gestire il traffico multi-gigabyte senza problemi. Inoltre, l'anello in fibra ha incluso più ridondanze, inclusi percorsi fisici separati. Tutto bene.

Detto questo, è ancora considerato "best practice" utilizzare il routing e le diverse sottoreti tra i siti remoti? Oppure possiamo estendere la nostra rete "locale" (sito principale) al sito remoto insieme ai vlans del sito principale? È ancora considerata una pratica non ottimale o addirittura cattiva? Più precisamente, c'è qualche motivo per non farlo? (A parte, capisco il problema dell '"interruzione dell'escavatore a cucchiaia rovescia"; i percorsi fisici separati dovrebbero gestire quella contingenza).

Altri pensieri?

Grazie!

Ora abbiamo un fascio di fibre tra i due siti geograficamente separati. È la nostra fibra "di proprietà", quindi un intermediario non è un problema ... Inoltre, l'anello di fibra ha incluso più ridondanze, inclusi percorsi fisici separati. Tutto bene.

Detto questo, è ancora considerato "best practice" utilizzare il routing e le diverse sottoreti tra i siti remoti? Oppure possiamo estendere la nostra rete "locale" (sito principale) al sito remoto insieme ai vlans del sito principale? È ancora considerata una pratica non ottimale o addirittura cattiva? Più precisamente, c'è qualche motivo per non farlo? (A parte, capisco il problema dell '"interruzione dell'escavatore a cucchiaia rovescia"; i percorsi fisici separati dovrebbero gestire quella contingenza).

Innanzitutto, non esiste una buona pratica in questa situazione. I dettagli di progettazione di grandi dimensioni come le interconnessioni dei siti layer2 / layer3 sono guidati dalle esigenze aziendali, dal budget, dalle capacità del personale, dalle preferenze e dai set di funzionalità del fornitore.

Anche con tutto l'amore per lo spostamento di istanze di VM tra data center (che è molto più semplice con le interconnessioni Layer2 tra data center), provo ancora personalmente a connettere gli edifici a layer3, poiché i collegamenti layer3 in genere significano:

1. Opex inferiore e tempo inferiore per la risoluzione dei problemi. La maggior parte della diagnostica di risoluzione dei problemi di rete si basa su servizi IP. Ad esempio, mtr ha solo la visibilità layer3. Pertanto, i hop di layer3 sono molto più facili da correggere quando si trovano drop di pacchetti, a causa di congestione o errori sui collegamenti. Layer3 è anche più facile da diagnosticare quando hai a che fare con problemi multipath (rispetto ad esempio a multipath non-layer3 come LACP). Infine, è molto più facile trovare dove si trova un server o un PC quando è possibile eseguire il traceroute direttamente verso il edge switch.

2. Domini di trasmissione / flooding più piccoli. Se hai timer ARP / CAM non corrispondenti , sei vulnerabile a inondazioni unicast sconosciute. La soluzione per questo è ben nota, ma la maggior parte delle reti che vedo non si preoccupano mai di abbinare correttamente i timer ARP e CAM. Risultato finale? Più esplosioni di traffico e alluvioni all'interno del dominio layer2 ... e se stai inondando attraverso i tuoi collegamenti layer2 tra edifici, stai inondando i punti di congestione della rete naturale.

3. Più facile da implementare firewall / ACL / QoS ... tutte queste cose possono funzionare a layer2, ma tendono a funzionare meglio a layer3 (perché i fornitori / enti di standard hanno speso almeno 15 degli ultimi 20 anni a costruire set di funzionalità dei fornitori preferendo layer3) .

4. Meno spanning-tree. MSTP / RSTP hanno reso lo spanning tree molto più tollerabile, ma tutti i sapori di STP si riducono ancora a quel protocollo sgradevole che ama inondare le trasmissioni nella direzione sbagliata quando si rilascia un BPDU su un collegamento di blocco STP. Quando potrebbe accadere? Forte congestione, ricetrasmettitori traballanti, collegamenti che diventano unidirezionali (per qualsiasi motivo, incluso umano) o collegamenti che corrono con errori su di essi.

Questo significa che è male distribuire layer2 tra edifici? Niente affatto ... dipende davvero dalla tua situazione / budget / preferenze del personale. Tuttavia, andrei con i collegamenti layer3 a meno che non ci sia un motivo convincente altrimenti. ¹ Questi motivi potrebbero includere preferenze religiose all'interno del tuo staff / mgmt, minore familiarità con le configurazioni layer3, ecc ...

Questo è piuttosto difficile in quanto vi sono vantaggi e svantaggi per entrambi gli approcci. Nella mia vita precedente in cui le mie mansioni lavorative riguardavano molta più amministrazione della rete invece dell'amministrazione del sistema, avevamo forse due dozzine di siti all'interno di un'area geografica larga 12 miglia. Circa la metà di questi siti sono stati configurati come siti Layer-3 separati che sono stati reindirizzati all'ufficio principale e l'altra metà sono stati configurati come siti "Layer-2" (ovvero, abbiamo appena esteso la VLAN a quel sito).

I vantaggi dei siti "Layer-2" erano che erano molto più semplici da installare e mantenere; nessun router necessario, nessun aggiornamento delle nostre route statiche, nessun relè DHCP, nessuna configurazione VLAN separata e così via. I principali svantaggi che ho riscontrato erano non tecnici, cose come è molto più difficile individuare un server DHCP canaglia quando il tuo dominio di trasmissione si trova in 12 edifici diversi a pochi chilometri l'uno dall'altro. Molte attività amministrative diventano più complicate quando manca la compartimentazione di rete di siti diversi, cose come regole firewall diverse per Office A e Office B ma non Office C sono difficili quando condividono tutte la stessa VLAN / Sottorete. Suppongo che potresti anche riscontrare un problema con le trasmissioni a seconda di quanti dispositivi hai ma con la tecnologia di commutazione oggi che è,

I vantaggi dei siti "Layer-3" sono praticamente inversi rispetto ai siti "Layer-2". Ottieni la compartimentazione, puoi scrivere le regole del firewall per sito e sai in quale particolare edificio si trova quel dannato router Linksys. Gli svantaggi sono ovviamente le attrezzature necessarie per eseguire il routing e la configurazione e la manutenzione necessarie. I protocolli di routing dinamico e cose come VTP (se osate usarlo!) Possono alleviare l'onere della configurazione se la vostra rete è adeguatamente complessa.

La mia risposta senza risposta: non compartimentare inutilmente (cioè resistere alla tentazione di essere eccessivamente intelligente) ma non lasciare che la soluzione facile a breve termine vinca dove ha più senso avere VLAN / Sottoreti separate. Come qualcuno che ha inseguito la mia parte di server DHCP di Linksys Rogue ... er "Router" ... Penso che ci sia un caso valido per una VLAN / sottorete per progetto di rete di edifici semplicemente per limitare il danno che queste configurazioni errate possono fare. D'altra parte, se hai solo due siti e sono proprio accanto, forse ha senso condividere la stessa VLAN / Sottorete.

Come molti hanno detto, ci sono lati positivi e meno positivi sia per la soluzione L2 che per quella L3. In precedenza sono stato assunto da una compagnia telefonica e ho anche aiutato a creare reti più piccole.

Le soluzioni L2 sono più facili da capire ed economiche se tutto funziona. La parte di lavoro viene solitamente rovinata da qualcuno che ricollega un cavo che pensava fosse stato accidentalmente disconnesso. La protezione del loop e Spanning Tree potrebbero essere utili ma molto probabilmente causeranno più danni di quelli che potrebbero essere utili.

Le soluzioni L3, secondo la mia esperienza, sono state più difficili da comprendere dalle parti che ho aiutato. Il costo può anche diventare un problema se l'hardware e il software devono essere supportati da un produttore. Linux su una macchina x86 è un router molto conveniente e ricco di funzionalità.

I vantaggi di una soluzione L3 sono che i loop e le altre trasmissioni sono contenuti in un dominio molto più piccolo. L'esempio migliore è che se qualcuno crea accidentalmente un ciclo in una delle più filiali indirizzate, solo quell'ufficio scompare mentre altri possono continuare a lavorare.

Voterei per una soluzione indirizzata L3, principalmente a causa dei domini di trasmissione più piccoli, ma anche perché il traffico può essere prioritario e firewall facilmente. Se qualcuno ha bisogno di connessioni L2, può scavalcarlo sulla rete instradata e, se lo desidera, crittografare il traffico da solo.

Consiglierei gli switch layer3 che indirizzeranno alla velocità della lan. Se si dispone di una buona fibra, è possibile gestire una rete gigabit sulla propria fibra con tali dispositivi e beneficiare comunque di un vantaggio di una rete instradata (dominio di trasmissione ridotto, elenchi di accesso, ecc.).

Penso che il routing sia la scelta migliore. Tutta la tua rete andrà in crash se la fibra si romperà. E il routing con switch di livello 3 (commutazione di livello 3) è veloce come commutazione di livello 2 se usi CEF o qualcosa del genere.