conectando site remoto via fibra: vlans da camada 2 ou roteamento da camada 3?

Cumprimenta todos,

Antigamente, quando você tinha dois sites geograficamente separados, os links eram bastante restritos, então colocamos roteadores neles e, bem, 'roteamos' entre sub-redes IP por site. Essa foi a melhor prática na época.

Agora, temos um pacote de fibra entre os dois sites geograficamente separados. É a nossa própria fibra 'proprietária', portanto, um intermediário não é uma preocupação. O teste indica que o pacote pode lidar com tráfego de vários gigabytes sem problemas. Além disso, o anel de fibra incluiu várias redundâncias, incluindo caminhos físicos separados. Tudo bem e bem.

Diante disso, ainda é considerado "prática recomendada" usar roteamento e sub-redes diferentes entre os sites remotos? Ou podemos estender nossa rede 'local' (site principal) para o site remoto junto com as vlans do site principal? Isso ainda é considerado uma prática abaixo do ideal ou até ruim? Mais ao ponto, há alguma razão para não? (Além disso, entendo a questão da "interrupção da retroescavadeira"; espera-se que os caminhos físicos separados lidem com essa contingência).

Outros pensamentos?

obrigado!

Agora, temos um pacote de fibra entre os dois sites geograficamente separados. É a nossa própria fibra 'de propriedade', de modo que um intermediário não é uma preocupação ... Além disso, o anel de fibra inclui várias redundâncias, incluindo caminhos físicos separados. Tudo bem e bem.

Diante disso, ainda é considerado "prática recomendada" usar roteamento e sub-redes diferentes entre os sites remotos? Ou podemos estender nossa rede 'local' (site principal) para o site remoto junto com as vlans do site principal? Isso ainda é considerado uma prática abaixo do ideal ou até ruim? Mais ao ponto, há alguma razão para não? (Além disso, entendo a questão da "interrupção da retroescavadeira"; espera-se que os caminhos físicos separados lidem com essa contingência).

Primeiro, não existe uma prática recomendada nessa situação. Os detalhes gerais do projeto, como as interconexões do site layer2 / layer3, são orientados pelas necessidades da empresa, orçamento, recursos de sua equipe, preferências e conjuntos de recursos do fornecedor.

Mesmo com todo o amor por mover instâncias de VM entre datacenters (o que é muito mais fácil com as interconexões da camada 2 entre datacenters), eu pessoalmente ainda tento conectar edifícios na camada3, porque os links da camada3 geralmente significam:

1. Menor custo operacional e menor tempo para a resolução do problema. A grande maioria dos diagnósticos de solução de problemas de rede é baseada em serviços IP. Por exemplo, o mtr possui apenas visibilidade da camada3. Assim, os saltos da camada 3 são muito mais fáceis de corrigir quando você encontra quedas de pacotes, devido a congestionamentos ou erros nos links. O Layer3 também é mais fácil de diagnosticar quando você está lidando com problemas de caminhos múltiplos (comparado, por exemplo, com caminhos múltiplos que não são da camada 3, como o LACP). Por fim, é muito mais fácil descobrir onde está um servidor ou PC quando você pode rastrear diretamente para o switch de borda.

2. Domínios menores de transmissão / inundação. Se você tiver incompatíveis temporizadores ARP / CAM , estará vulnerável a inundações unicast desconhecidas. A correção para isso é bem conhecida, mas a maioria das redes que eu vejo nunca se incomoda em combinar os temporizadores ARP e CAM corretamente. Resultado final? Mais tráfegos e inundações de tráfego dentro do domínio da camada2 ... e se você estiver inundando os links da camada2 entre edifícios, estará inundando os pontos de congestionamento da rede natural.

3. Mais fácil de implantar firewalls / ACLs / QoS ... todas essas coisas podem funcionar na camada2, mas tendem a funcionar melhor na camada3 (porque os órgãos de fornecedores / padrões passaram pelo menos 15 dos 20 anos anteriores construindo conjuntos de recursos de fornecedores que preferem a camada3) .

4. Menos árvore de abrangência. O MSTP / RSTP tornou a expansão de árvore muito mais tolerável, mas todos os tipos de STP ainda se resumem àquele protocolo desagradável que adora inundar transmite a direção errada quando você solta um BPDU em um link de bloqueio de STP. Quando isso pode acontecer? Congestionamento intenso, transceptores esquisitos, links unidirecionais (por qualquer motivo, incluindo humanos) ou links que estão sendo executados com erros neles.

Isso significa que é ruim implantar a layer2 entre edifícios? Nem um pouco ... realmente depende da sua situação / orçamento / preferências da equipe. No entanto, eu usaria links de camada3, a menos que haja uma razão convincente em contrário. ¹ Esses motivos podem incluir preferências religiosas em sua equipe / mgmt, menor familiaridade com as configurações da camada3, etc.

É meio difícil, pois há vantagens e desvantagens em ambas as abordagens. Na minha vida anterior, onde meus deveres de trabalho envolviam muito mais administração de redes em vez de administração de sistemas, tínhamos talvez duas dúzias de sites em uma área geográfica de 20 km de largura. Cerca da metade desses sites foi configurada como sites separados da Camada 3 que foram roteados de volta para o escritório principal e a outra metade foi configurada como sites da "Camada 2" (ou seja, acabamos de estender a VLAN para esse site).

As vantagens dos sites da "Camada 2" eram que eram muito mais simples de configurar e manter; sem necessidade de roteadores, sem atualização de nossas rotas estáticas, sem retransmissão DHCP, sem configuração de VLAN separada e assim por diante. As principais desvantagens que experimentei foram não técnicas, como é muito mais difícil localizar um servidor DHCP não autorizado quando o domínio de transmissão está em 12 edifícios diferentes, cada um a alguns quilômetros de distância. Muitas tarefas administrativas se tornam mais complicadas quando você não possui a compartimentação de rede de sites diferentes, coisas como regras de firewall diferentes para o Office A e o Office B, mas não o Office C, são difíceis quando todos compartilham a mesma VLAN / sub-rede. Suponho que você também possa ter problemas com transmissões, dependendo de quantos dispositivos você tem, mas com a tecnologia de comutação hoje sendo o que é,

As vantagens dos sites de "Camada 3" são praticamente inversas aos sites de "Camada 2". Você obtém a compartimentação, pode escrever regras de firewall por site e sabe em qual edifício específico está o maldito roteador Linksys. As desvantagens são obviamente o equipamento necessário para fazer o roteamento e a configuração e manutenção necessárias. Protocolos de roteamento dinâmico e coisas como VTP (se você ousar usá-lo!) Podem aliviar a carga de configuração se a sua rede for adequadamente complexa.

Minha resposta sem resposta: não compartimente desnecessariamente (ou seja, resista à tentação de ser excessivamente inteligente), mas não deixe a solução fácil de curto prazo vencer onde faz mais sentido ter VLANs / sub-redes separadas. Como alguém que perseguiu minha parte de servidores DHCP da Linksys Rogue ... er "Roteadores" ... acho que há um argumento forte para uma VLAN / sub-rede por projeto de rede de construção simplesmente para limitar o dano que essas configurações incorretas podem causar. Por outro lado, se você tiver apenas dois sites e eles estiverem ao lado, talvez faça sentido compartilhar o mesmo VLAN / sub-rede.

Como muitos já disseram, existem lados bons e menos bons para a solução L2 e a solução L3. Fui contratado por uma companhia telefônica anteriormente e também tenho ajudado redes menores a começar.

As soluções L2 são mais fáceis de entender e mais baratas se tudo funcionar. A parte do trabalho geralmente é arruinada por alguém reconectando um cabo que eles pensavam ter sido acidentalmente desconectado. A proteção de loop e a Spanning Tree podem ser úteis, mas provavelmente causarão mais danos do que serão úteis.

As soluções L3, na minha experiência, têm sido mais difíceis de entender pelas partes que ajudei. O custo também pode se tornar um problema se o hardware e o software tiverem de ser suportados por um fabricante. O Linux em uma máquina x86 é um roteador econômico e cheio de recursos.

Os benefícios de uma solução L3 é que loops e outras transmissões estão contidos em um domínio muito menor. O melhor exemplo é que, se alguém criar acidentalmente um loop em uma das várias filiais roteadas, somente essa filial desaparecerá enquanto outras poderão continuar trabalhando.

Eu votaria em uma solução roteada L3, principalmente por causa dos domínios de transmissão menores, mas também porque o tráfego pode ser priorizado e protegido com firewall com facilidade. Se alguém precisar de conexões L2, poderá encapsulá-lo na rede roteada e até criptografar o tráfego por conta própria, se desejar.

Eu recomendaria switches layer3 que irão rotear na velocidade da LAN. Se você tiver boa fibra, poderá executar uma rede de gigabit em sua fibra com esses dispositivos e ainda aproveitar as vantagens de uma rede roteada (domínio de transmissão reduzido, listas de acesso, etc.).

Eu acho que o roteamento é a melhor escolha. Toda a sua rede falhará se a fibra for quebrada. E o roteamento com comutadores da camada 3 (comutação da camada 3) é rápido como a comutação da camada 2 se você usar o CEF ou algo assim.