uzak yeri fiber ile bağlama: katman 2 vlans veya katman 3 yönlendirmesi?

Herkesi selamlar,

Eski günlerde, coğrafi olarak ayrılmış iki siteniz olduğunda, bağlantılar oldukça daralmıştı, bu yüzden yönlendiricileri onlara yerleştirdik ve site başına ip alt ağları arasında 'yönlendirildi'. O zaman en iyi uygulama buydu.

Şimdi coğrafi olarak ayrılmış iki bölge arasında bir elyaf demeti var. Bu bizim kendi 'sahip olduğumuz' fiber yani bir aracı endişe değil. Test, paketin çok gigabaytlık trafiği sorunsuz bir şekilde ele alabileceğini gösteriyor. Ek olarak, fiber halka, ayrı fiziksel yollar dahil olmak üzere birden fazla fazlalık içermiştir. Her şey yolunda ve güzel.

Bu göz önüne alındığında, uzak siteler arasında yönlendirme ve farklı alt ağlar kullanmak hala 'en iyi uygulama' olarak kabul ediliyor mu? Ya da 'yerel' (ana site) ağımızı ana site vlanslarıyla birlikte uzak siteye genişletebilir miyiz? Bu hala yetersiz ve hatta kötü bir uygulama olarak mı görülüyor? Daha da önemlisi, yapmamak için herhangi bir neden var mı? (Bir kenara 'beko kesintisi' sorununu anlıyorum; ayrı fiziksel yolların bu olasılıkla başa çıkması bekleniyor).

Diğer düşünceler?

Teşekkürler!

Şimdi coğrafi olarak ayrılmış iki bölge arasında bir elyaf demeti var. Bu bizim kendi 'sahip olduğumuz' lif, bu yüzden bir aracı endişe değil ... Ayrıca, fiber halka ayrı fiziksel yollar da dahil olmak üzere birden fazla fazlalık içermiştir. Her şey yolunda ve güzel.

Bu göz önüne alındığında, uzak siteler arasında yönlendirme ve farklı alt ağlar kullanmak hala 'en iyi uygulama' olarak kabul ediliyor mu? Ya da 'yerel' (ana site) ağımızı ana site vlanslarıyla birlikte uzak siteye genişletebilir miyiz? Bu hala yetersiz ve hatta kötü bir uygulama olarak mı görülüyor? Daha da önemlisi, yapmamak için herhangi bir neden var mı? (Bir kenara 'beko kesintisi' sorununu anlıyorum; ayrı fiziksel yolların bu olasılıkla başa çıkması bekleniyor).

Birincisi, bu durumda en iyi uygulama diye bir şey yoktur. Layer2 / layer3 site ara bağlantıları gibi büyük resim tasarım detayları iş ihtiyaçları, bütçe, personelinizin yetenekleri, tercihleriniz ve satıcınızın özellik kümeleri tarafından yönlendirilir.

VM örneklerini veri merkezleri arasında taşıma sevgisiyle bile (veri merkezleri arasındaki Katman2 ara bağlantıları ile çok daha kolay), katman3 bağlantıları genellikle şu anlama gelir:

1. Sorun gidermek için daha düşük opex ve daha düşük zaman. Ağ sorun giderme tanılama işlemlerinin büyük çoğunluğu IP hizmetlerini temel alır. Örneğin, mtr yalnızca layer3 görünürlüğüne sahiptir. Böylece, tıkanıklık veya bağlantılardaki hatalar nedeniyle paket damlaları bulduğunuzda layer3 atlamalarının düzeltilmesi çok daha kolaydır. Katman 3'ü çok yollu sorunlarla uğraşırken de teşhis etmek daha kolaydır (örneğin, LACP gibi layer3 olmayan çok yollularla karşılaştırıldığında). Son olarak, doğrudan kenar anahtarına yönlendirebileceğiniz bir sunucunun veya bilgisayarın nerede olduğunu bulmak çok daha kolaydır.

2. Daha küçük yayın / sel alanları. Eğer varsa ARP / CAM zamanlayıcılar uyumsuz , bilinmeyen tek noktaya sel karşı savunmasız. Bunun düzeltmesi iyi bilinir, ancak gördüğüm çoğu ağ ARP ve CAM zamanlayıcılarını doğru şekilde eşleştirmekten asla rahatsız olmaz. Sonuç? Katman2 etki alanında daha fazla trafik patlaması ve sel var ... ve bina içi katman2 bağlantılarınızı dolduruyorsanız, doğal ağ tıkanıklık noktalarını dolduruyorsunuz.

3. Daha kolay için dağıtmak güvenlik duvarları / ACL / QoS ... bütün bunlar olabilir Layer2 de çalışır, ancak (satıcılar / standart kuruluşları layer3 tercih satıcı özellik setleri inşa önceki 20 yılda en az 15 geçirdim çünkü) onlar layer3 daha iyi çalışması eğilimi .

4. Daha az yayılan ağaç. MSTP / RSTP, yayılan ağacı çok daha tolere edilebilir hale getirdi, ancak STP'nin tüm lezzetleri hala bir STP engelleme bağlantısına bir BPDU düşürdüğünüzde sel yayınını seven kötü protokole kadar kaynar. Bu ne zaman olabilir? Ağır tıkanıklık, pul pul alıcı-vericiler, tek yönlü (insan da dahil olmak üzere herhangi bir nedenle) giden bağlantılar veya üzerlerinde hatalarla çalışan bağlantılar.

Bu katman2'yi binalar arasında konuşlandırmanın kötü olduğu anlamına mı geliyor? Hiç değil ... gerçekten durumunuza / bütçenize / personel tercihlerinize bağlıdır. Ancak, aksi takdirde zorlayıcı bir neden olmadığı sürece layer3 bağlantıları ile giderdim. ¹ Bu nedenler, personelinizdeki / mgmt'nizdeki dini tercihleri, layer3 yapılandırmalarına daha az aşinalığı vb. İçerebilir.

---

¹ Veri merkezleri arasında layer3 bağlantıları olduğunda layer2 veri merkezi bağlantılarını nasıl ele aldığımı merak eden herkes için, Nexus donanımı yoksa EoMPLS pseudowires'ı tercih ederim. Teorik olarak, Nexus'um varsa OTV bir aday gibi görünüyor, ama kişisel olarak henüz orada bulunmadım. Sonuç olarak, gerektiğinde Katman2'den Katman3'e tünel oluşturmak için çözümler var.

Her iki yaklaşımın da avantajları ve dezavantajları olduğu için bu biraz zor bir iştir. Görevlerimin sistem yönetimi yerine çok daha fazla ağ yönetimi içerdiği önceki hayatımda, 12 mil genişliğinde bir coğrafi alanda iki düzine sitemiz vardı. Bu ofislerin yaklaşık yarısı, ana ofise yönlendirilen ayrı Katman-3 siteleri olarak yapılandırıldı ve diğer yarısı "Katman-2" siteleri olarak yapılandırıldı (yani, VLAN'ı o siteye genişlettik).

"Katman-2" sitelerinin avantajları, kurulumu ve bakımı çok daha basit olmalarıydı; yönlendiriciye gerek yok, statik rotalarımızı güncelleme yok, DHCP rölesi yok, ayrı VLAN yapılandırması yok vb. Yaşadığım ana dezavantajlar teknik değildi, yayın alanınız her biri birkaç kilometre arayla 12 farklı binadayken sahte bir DHCP sunucusunu bulmak çok daha zor. Farklı sitelerin ağ bölümlendirmesi olmadığında, Office A ve Office B için farklı güvenlik duvarı kuralları gibi, ancak Office C değil, aynı VLAN / Alt Ağı paylaştıklarında zor olan birçok yönetim görevi daha da zorlaşır. Sanırım kaç cihaza sahip olduğunuza bağlı olarak yayınlarla ilgili bir sorunla karşılaşabilirsiniz, ancak günümüzde anahtarlama teknolojisi olduğu gibi,

"Layer-3" sitelerinin avantajları "Layer-2" sitelerinin oldukça tersidir. Bölümlendirme elde edersiniz, site başına güvenlik duvarı kuralları yazabilirsiniz ve Linksys Router'ın hangi binada olduğunu bilirsiniz. Dezavantajlar, yönlendirme ve gerekli yapılandırma ve bakım için gerekli ekipmanlardır. Dinamik yönlendirme protokolleri ve VTP gibi şeyler (kullanmaya cesaret ediyorsanız!), Ağınız uygun şekilde karmaşıksa yapılandırma yükünü hafifletebilir.

Cevapsız cevabım: Gereksiz yere bölümlere ayırmayın (yani, aşırı zekice davranma eğilimine karşı koyun), ancak kısa vadeli kolay çözümün ayrı VLAN / Alt Ağlara sahip olmanın daha anlamlı olduğu yerlerde kazanmasına izin vermeyin. Linksys Rogue DHCP Sunucuları payımı kovaladı biri ... er "Yönlendiriciler" ... Ben sadece bu yanlış yapılandırmaların yapabileceği zarar sınırlamak için bina ağ tasarımı başına bir VLAN / Subnet için güçlü bir durum olduğunu düşünüyorum . Öte yandan, sadece iki siteniz varsa ve hemen yan taraftadırlarsa, belki de aynı VLAN / Subnet'i paylaşmaları mantıklıdır.

Birçoğunun söylediği gibi, hem L2 hem de L3-çözeltisinin iyi ve daha az iyi tarafları vardır. Daha önce bir telefon şirketi tarafından çalışıyordum ve daha küçük ağların başlatılmasına da yardımcı oldum.

L2 çözümlerinin anlaşılması daha kolaydır ve her şey işe yararsa daha ucuzdur. İş bölümü genellikle yanlışlıkla koptuğunu düşündüğü bir kabloyu yeniden bağlayan biri tarafından mahvedilir. Döngü koruması ve Yayılan Ağaç kullanımda olabilir, ancak büyük olasılıkla kullanımdan daha fazla zarara neden olacaktır.

Deneyimlerime göre L3 çözümlerini yardım ettiğim taraflarca anlamak daha zor oldu. Donanım ve yazılımın bir üretici tarafından desteklenmesi gerekiyorsa, maliyet de bir sorun haline gelebilir. Bir x86 makinesinde Linux çok uygun maliyetli ve özellik dolu bir yönlendiricidir.

L3 çözümünün faydaları, döngülerin ve diğer yayınların çok daha küçük bir alanda yer almasıdır. Bunun en iyi örneği, birisi yanlışlıkla birden çok yönlendirilmiş şube ofisinden birinde bir döngü oluşturuyorsa, diğer ofis çalışmaya devam ederken yalnızca bu ofis kaybolur.

Çoğunlukla daha küçük yayın alanları nedeniyle olduğu kadar trafiğe de öncelik verilebildiğinden ve güvenlik duvarından kolayca yararlanabildiğinden L3 yönlendirmeli bir çözüme oy verirdim. Birinin L2 bağlantılarına ihtiyacı varsa, yönlendirilmiş ağ üzerinden tünel açabilir ve hatta isterse trafiği kendi başına şifreleyebilir.

Lan hızında yönlendirecek layer3 anahtarları tavsiye ederim. İyi bir lifiniz varsa, bu tür cihazlarla fiber üzerinden bir gigabit ağı çalıştırabilir ve yine de yönlendirilmiş bir ağın avantajından yararlanabilirsiniz (azaltılmış yayın alanı, erişim listeleri vb.).

Bence, yönlendirme en iyi seçimdir. Fiber kırılırsa tüm ağınız çökecektir. Ve katman 3 anahtarları (katman 3 anahtarlaması) ile yönlendirme, CEF veya benzeri bir şey kullanırsanız katman 2 anahtarlaması kadar hızlıdır.