เชื่อมต่อไซต์ระยะไกลผ่านทางไฟเบอร์: เลเยอร์ 2 vlans หรือการกำหนดเส้นทางเลเยอร์ 3 หรือไม่

ทักทายทุกคน

ย้อนกลับไปในสมัยก่อนเมื่อคุณมีไซต์ที่แยกจากกันทางภูมิศาสตร์สองแห่งการเชื่อมโยงนั้นค่อนข้าง จำกัด ดังนั้นเราจึงวางเราเตอร์ไว้บนนั้นและ 'กำหนดเส้นทาง' ระหว่าง ip subnets ต่อไซต์ นั่นเป็นวิธีปฏิบัติที่ดีที่สุดในเวลานั้น

ตอนนี้เรามีมัดเส้นใยระหว่างสองไซต์ที่แยกกันตามภูมิศาสตร์ มันเป็นเส้นใยของเรา 'เป็นเจ้าของ' ดังนั้นคนกลางไม่กังวล การทดสอบบ่งชี้ว่าบันเดิลสามารถจัดการทราฟฟิกหลายกิกะไบต์ได้โดยไม่มีปัญหา นอกจากนี้วงแหวนไฟเบอร์ยังรวมถึงการสำรองหลาย ๆ ครั้งรวมถึงการแยกทางกายภาพ ทุกอย่างดีและดี

ได้รับสิ่งนี้มันยังถือว่าเป็น 'แนวปฏิบัติที่ดีที่สุด' ในการใช้การกำหนดเส้นทางและเครือข่ายย่อยต่าง ๆ ระหว่างไซต์ระยะไกลหรือไม่? หรือเราสามารถขยายเครือข่าย 'ท้องถิ่น' (ไซต์หลัก) ของเราออกไปยังไซต์ระยะไกลพร้อมกับไซต์หลัก vlans ได้หรือไม่ นั่นยังถือว่าเป็นสิ่งที่ไม่ดีหรือไม่ดี มากกว่าประเด็นมีเหตุผลที่จะไม่? (นอกจากนี้ฉันเข้าใจถึงปัญหา 'แบ็คโฮของอินเตอร์รัปต์' คาดว่าจะแยกทางกายภาพที่แยกออกมาเพื่อรองรับสถานการณ์ฉุกเฉินนั้น)

ความคิดอื่น ๆ?

ขอบคุณ!

ตอนนี้เรามีมัดเส้นใยระหว่างสองไซต์ที่แยกกันตามภูมิศาสตร์ มันเป็นเส้นใยที่ 'เป็นเจ้าของ' ของเราเองดังนั้นคนกลางจึงไม่เป็นห่วง ... นอกจากนี้วงแหวนไฟเบอร์ยังรวมถึงความซ้ำซ้อนหลายอย่างรวมถึงเส้นทางแยกทางกายภาพ ทุกอย่างดีและดี

ได้รับสิ่งนี้มันยังถือว่าเป็น 'แนวปฏิบัติที่ดีที่สุด' ในการใช้การกำหนดเส้นทางและเครือข่ายย่อยต่าง ๆ ระหว่างไซต์ระยะไกลหรือไม่? หรือเราสามารถขยายเครือข่าย 'ท้องถิ่น' (ไซต์หลัก) ของเราออกไปยังไซต์ระยะไกลพร้อมกับไซต์หลัก vlans ได้หรือไม่ นั่นยังถือว่าเป็นสิ่งที่ไม่ดีหรือไม่ดี มากกว่าประเด็นมีเหตุผลที่จะไม่? (นอกจากนี้ฉันเข้าใจถึงปัญหา 'แบ็คโฮของอินเตอร์รัปต์' คาดว่าจะแยกทางกายภาพที่แยกออกมาเพื่อรองรับสถานการณ์ฉุกเฉินนั้น)

ครั้งแรกไม่มีสิ่งดังกล่าวเป็นการปฏิบัติที่ดีที่สุดในสถานการณ์นี้ รายละเอียดการออกแบบภาพใหญ่เช่นการเชื่อมต่อระหว่างไซต์เลเยอร์ 2 / เลเยอร์ 3 นั้นขับเคลื่อนด้วยความต้องการทางธุรกิจ, งบประมาณ, ความสามารถของพนักงานของคุณ, การตั้งค่าของคุณและชุดคุณลักษณะของผู้ขายของคุณ

แม้ว่าจะมีความรักในการเคลื่อนย้ายอินสแตนซ์ VM ระหว่างศูนย์ข้อมูล (ซึ่งง่ายกว่าเมื่อเชื่อมต่อระหว่างชั้นที่ 2 ของศูนย์ข้อมูล) ฉันยังคงลองเชื่อมต่อสิ่งปลูกสร้างที่เลเยอร์ 3 เนื่องจากลิงก์เลเยอร์ 3 โดยทั่วไปหมายถึง:

1. ลด opex และลดเวลาในการแก้ไขปัญหา การวินิจฉัยการแก้ไขปัญหาเครือข่ายส่วนใหญ่ขึ้นอยู่กับบริการ IP ตัวอย่างเช่นmtrมีการแสดง layer3 เท่านั้น ดังนั้น layer3 hops จะง่ายต่อการแก้ไขมากขึ้นเมื่อคุณพบแพ็กเก็ตดร็อปเนื่องจากความแออัดหรือข้อผิดพลาดบนลิงก์ Layer3 นั้นยังง่ายต่อการวินิจฉัยเมื่อคุณจัดการกับปัญหา multipath (เปรียบเทียบกับอินสแตนซ์ที่ไม่ใช่เลเยอร์ 3 เช่น LACP) ในที่สุดวิธีที่ง่ายกว่าในการค้นหาเซิร์ฟเวอร์หรือพีซีคือเมื่อคุณสามารถติดตามผ่านสวิตช์ขอบได้โดยตรง

2. โดเมนออกอากาศ / น้ำท่วมน้อย หากคุณมีตัวจับเวลา ARP / CAM ที่ไม่ตรงกันคุณจะเสี่ยงต่อการเกิด unicast ที่ไม่รู้จัก การแก้ไขสำหรับเรื่องนี้เป็นที่รู้จักกันดี แต่เครือข่ายส่วนใหญ่ที่ฉันเห็นไม่เคยรบกวนตัวจับเวลา ARP และ CAM อย่างถูกต้อง ผลลัพธ์สุดท้ายคืออะไร ปริมาณการใช้ข้อมูลเพิ่มขึ้นและการเกิดน้ำท่วมภายในโดเมน layer2 ... และหากคุณเกิดอุทกภัยผ่านลิงก์เลเยอร์ 2 ระหว่างอาคารของคุณแสดงว่าคุณมีปัญหาความแออัดของเครือข่ายตามธรรมชาติ

3. ง่ายต่อการปรับใช้ไฟร์วอลล์ / ACLs / QoS ... สิ่งเหล่านี้ทั้งหมดสามารถทำงานได้ที่ layer2 แต่พวกเขามักจะทำงานได้ดีขึ้นที่ layer3 (เนื่องจากผู้ขาย / หน่วยมาตรฐานได้ใช้เวลาอย่างน้อย 15 จาก 20 ปีก่อนหน้านี้ .

4. ต้นไม้ที่ทอดลงมาน้อยลง MSTP / RSTP ทำให้ Spanning-Tree มีความทนทานมากขึ้น แต่ STP ทุกรสชาติยังคงต้มลงไปที่โปรโตคอลที่น่ารังเกียจซึ่งชอบที่จะแพร่กระจายไปในทิศทางที่ผิดเมื่อคุณวาง BPDU ลงในลิงค์ STP-Block เมื่อใดที่อาจเกิดขึ้น ความแออัดอย่างมากตัวรับส่งสัญญาณที่ไม่สม่ำเสมอการเชื่อมโยงที่ไปในทิศทางเดียว

นี่หมายความว่าเป็นการดีที่จะปรับใช้เลเยอร์ 2 ระหว่างสิ่งปลูกสร้างหรือไม่ ไม่เลย ... มันขึ้นอยู่กับสถานการณ์ / งบประมาณ / ความชอบของพนักงานของคุณ อย่างไรก็ตามฉันจะไปกับลิงค์เลเยอร์ 3 เว้นแต่จะมีเหตุผลที่น่าสนใจเป็นอย่างอื่น ¹ เหตุผลเหล่านั้นอาจรวมถึงความพึงพอใจในศาสนาของคุณ / มก. มม. ความคุ้นเคยที่ต่ำกว่ากับเลเยอร์ 3 การกำหนดค่า ฯลฯ

---

¹สำหรับทุกคนที่สงสัยว่าฉันจัดการการเชื่อมต่อของศูนย์ข้อมูลเลเยอร์ 2 อย่างไรเมื่อมีการเชื่อมโยงเลเยอร์ 3 ระหว่างศูนย์ข้อมูลฉันชอบ EoMPLS pseudowires หากไม่มี Nexus Gear ในทางทฤษฎี OTV ดูเหมือนว่าจะเป็นผู้สมัครถ้าฉันมี Nexus แต่โดยส่วนตัวฉันยังไม่เคยไปที่นั่น บรรทัดล่างมีวิธีแก้ปัญหาสำหรับการขุดอุโมงค์ Layer2 ถึง Layer3 เมื่อคุณต้อง

นี่เป็นสิ่งที่ยากเนื่องจากมีข้อดีและข้อเสียของทั้งสองวิธี ในชีวิตก่อนหน้าของฉันที่หน้าที่งานของฉันเกี่ยวข้องกับการบริหารเครือข่ายมากกว่าการบริหารระบบเราอาจมีไซต์สองโหลภายในพื้นที่ทางภูมิศาสตร์กว้าง 12 ไมล์ ประมาณครึ่งหนึ่งของไซต์เหล่านี้ที่มีการกำหนดค่าเป็นไซต์ Layer-3 ที่แยกต่างหากซึ่งถูกส่งกลับไปยังสำนักงานใหญ่และอีกครึ่งหนึ่งถูกกำหนดค่าเป็นไซต์ "Layer-2" (เช่นเราเพิ่งขยาย VLAN ไปยังไซต์นั้น)

ข้อดีของไซต์ "เลเยอร์ 2" คือการติดตั้งและบำรุงรักษาทำได้ง่ายกว่ามาก ไม่จำเป็นต้องใช้เราเตอร์ไม่มีการปรับปรุงเส้นทางแบบคงที่ของเราไม่มีการถ่ายทอด DHCP ไม่มีการกำหนดค่า VLAN แยกต่างหากและอื่น ๆ ข้อเสียเปรียบหลักที่ฉันพบคือไม่ใช่ด้านเทคนิคสิ่งต่าง ๆ เช่นมันยากกว่ามากในการค้นหาเซิร์ฟเวอร์ DHCP อันธพาลเมื่อโดเมนออกอากาศของคุณอยู่ใน 12 อาคารที่แตกต่างกันห่างกันไม่กี่ไมล์ งานการดูแลระบบจำนวนมากกลายเป็นเรื่องยุ่งยากเมื่อคุณขาดการจัดแบ่งเครือข่ายของไซต์ต่าง ๆ สิ่งต่าง ๆ เช่นกฎไฟร์วอลล์ที่แตกต่างกันสำหรับ Office A และ Office B แต่ Office C ไม่ใช่เรื่องยากเมื่อพวกเขาแบ่งปัน VLAN / Subnet เดียวกันทั้งหมด ฉันคิดว่าคุณอาจมีปัญหากับการออกอากาศขึ้นอยู่กับว่าคุณมีอุปกรณ์กี่เครื่อง แต่ด้วยเทคโนโลยีการสลับในวันนี้คือสิ่งที่มันเป็น

ข้อดีของไซต์ "Layer-3" นั้นค่อนข้างตรงกันข้ามกับไซต์ "Layer-2" คุณจะได้รับการแยกประเภทคุณสามารถเขียนกฎไฟร์วอลล์ต่อไซต์และคุณรู้ว่ามีอาคารใดที่ Linksys Router อยู่ในนั้นข้อเสียคืออุปกรณ์ที่จำเป็นในการกำหนดเส้นทางและการกำหนดค่าและการบำรุงรักษาที่จำเป็น โปรโตคอลการกำหนดเส้นทางแบบไดนามิกและสิ่งต่าง ๆ เช่น VTP (ถ้าคุณกล้าใช้!) สามารถลดภาระการกำหนดค่าหากเครือข่ายของคุณมีความซับซ้อนเหมาะสม

คำตอบที่ไม่ใช่คำตอบของฉัน: อย่าแยกโดยไม่จำเป็น (นั่นคือต้านทานสิ่งล่อใจให้ฉลาดมากเกินไป) แต่อย่าปล่อยให้ทางออกที่ง่ายในระยะสั้นชนะได้โดยที่มันแยกแยะความแตกต่างระหว่าง VLANs / Subnets เป็นคนที่มีไล่ลงในส่วนของฉันของเซิร์ฟเวอร์ Linksys Rogue DHCP ... เอ้อ "เราเตอร์" ... ฉันคิดว่ามีกรณีที่แข็งแกร่งสำหรับหนึ่ง VLAN / ซับเน็ตต่อการสร้างการออกแบบเครือข่ายเพียงเพื่อจํากัดความเสียหายเหล่านี้กำหนดค่าที่ผิดสามารถทำได้ ในทางตรงกันข้ามถ้าคุณมีเพียงสองไซต์และพวกเขาอยู่ติดกันบางทีมันอาจสมเหตุสมผลสำหรับพวกเขาที่จะแบ่งปัน VLAN / Subnet เดียวกัน

ดังที่หลายคนกล่าวว่ามีทั้งดีและน้อยทั้ง L2 และ L3-solution ก่อนหน้านี้ฉันเคยทำงานกับ บริษัท โทรศัพท์และฉันก็ได้ช่วยเหลือเครือข่ายเล็ก ๆ ด้วยเช่นกัน

โซลูชั่น L2 นั้นง่ายต่อการเข้าใจและราคาถูกกว่าถ้าทุกอย่างทำงานได้ ส่วนงานมักจะถูกทำลายโดยมีคนเชื่อมต่อสายเคเบิลที่พวกเขาคิดว่าถูกตัดการเชื่อมต่อโดยไม่ตั้งใจ การป้องกันแบบวนซ้ำและ Spanning Tree อาจใช้งาน แต่ส่วนใหญ่จะก่อให้เกิดอันตรายมากกว่าการใช้งาน

จากประสบการณ์ของฉันโซลูชั่น L3 ยากที่จะเข้าใจโดยฝ่ายที่ฉันได้ช่วย ค่าใช้จ่ายอาจกลายเป็นปัญหาหากผู้ผลิตต้องได้รับการสนับสนุนด้านฮาร์ดแวร์และซอฟต์แวร์ ลีนุกซ์บนเครื่อง x86 นั้นคุ้มค่าและมีคุณสมบัติเต็มเราเตอร์

ประโยชน์ของโซลูชัน L3 คือลูปและบรอดคาสต์อื่น ๆ อยู่ในโดเมนที่เล็กกว่ามาก ตัวอย่างที่ดีที่สุดคือถ้ามีใครบางคนบังเอิญสร้างลูปในสำนักงานสาขาที่กำหนดเส้นทางหลายแห่งเฉพาะสำนักงานนั้นจะหายไปในขณะที่คนอื่นสามารถทำงานต่อได้

ฉันลงคะแนนให้กับโซลูชันที่กำหนดเส้นทาง L3 ซึ่งส่วนใหญ่เป็นเพราะโดเมนออกอากาศที่เล็กกว่า แต่เพราะการรับส่งข้อมูลสามารถจัดลำดับความสำคัญและไฟร์วอลล์ได้อย่างง่ายดาย หากใครบางคนต้องการการเชื่อมต่อ L2 พวกเขาสามารถเจาะผ่านเครือข่ายที่กำหนดเส้นทางและแม้แต่เข้ารหัสการรับส่งข้อมูลด้วยตนเองหากพวกเขาต้องการ

ฉันจะแนะนำสวิตช์ layer3 ซึ่งจะกำหนดเส้นทางที่ความเร็ว lan หากคุณมีไฟเบอร์ที่ดีคุณสามารถใช้เครือข่ายกิกะบิตบนไฟเบอร์ของคุณด้วยอุปกรณ์ดังกล่าวและยังคงได้รับประโยชน์จากเครือข่ายที่กำหนดเส้นทาง (โดเมนออกอากาศที่ลดลงรายการเข้าถึง ฯลฯ )

ฉันคิดว่าการกำหนดเส้นทางเป็นตัวเลือกที่ดีที่สุด เครือข่ายทั้งหมดของคุณจะล้มเหลวหากไฟเบอร์ขาด และการกำหนดเส้นทางด้วยสวิตช์เลเยอร์ 3 (การสลับเลเยอร์ 3) นั้นรวดเร็วเหมือนการสลับเลเยอร์ 2 หากคุณใช้ CEF หรืออะไรทำนองนี้