connexion d'un site distant via fibre: vlans de couche 2 ou routage de couche 3?


12

Salue tout,

Dans le passé, lorsque vous aviez deux sites géographiquement séparés, les liens étaient assez restreints, nous avons donc placé des routeurs sur eux et, bien, «routés» entre les sous-réseaux IP par site. C'était la meilleure pratique à l'époque.

Nous avons maintenant un faisceau de fibres entre les deux sites géographiquement séparés. C'est notre propre fibre «détenue», donc un intermédiaire n'est pas un problème. Les tests indiquent que le bundle peut gérer le trafic multi-gigaoctets sans problème. De plus, l'anneau de fibres a inclus plusieurs redondances, y compris des chemins physiques distincts. Très bien.

Compte tenu de cela, est-il toujours considéré comme une «meilleure pratique» pour utiliser le routage et différents sous-réseaux entre les sites distants? Ou pouvons-nous étendre notre réseau «local» (site principal) au site distant avec les réseaux locaux virtuels du site principal? Est-ce toujours considéré comme une pratique sous-optimale ou même mauvaise? Plus précisément, y a-t-il une raison de ne pas le faire? (À part, je comprends le problème de l '«interruption de la rétrocaveuse»; les chemins physiques séparés devraient gérer cette éventualité).

D'autres pensées?

Merci!


Bonnes questions, car les temps ont définitivement changé ... Quelle est la distance entre les sites?
ewwhite

C'est environ 6 miles, mais je ne sais pas quelle est la distance de la fibre.
user52874

Réponses:


10

Nous avons maintenant un faisceau de fibres entre les deux sites géographiquement séparés. C'est notre propre fibre «détenue», donc un intermédiaire n'est pas un problème ... De plus, l'anneau de fibre a inclus plusieurs redondances, y compris des chemins physiques distincts. Très bien.

Compte tenu de cela, est-il toujours considéré comme une «meilleure pratique» pour utiliser le routage et différents sous-réseaux entre les sites distants? Ou pouvons-nous étendre notre réseau «local» (site principal) au site distant avec les réseaux locaux virtuels du site principal? Est-ce toujours considéré comme une pratique sous-optimale ou même mauvaise? Plus précisément, y a-t-il une raison de ne pas le faire? (À part, je comprends le problème de l '«interruption de la rétrocaveuse»; les chemins physiques séparés devraient gérer cette éventualité).

Premièrement, il n'existe pas de meilleure pratique dans cette situation. Les détails de conception globale tels que les interconnexions de site layer2 / layer3 sont déterminés par les besoins de l'entreprise, le budget, les capacités de votre personnel, vos préférences et les fonctionnalités de votre fournisseur.

Même avec tout l'amour pour déplacer des instances de VM entre les centres de données (ce qui est beaucoup plus facile avec les interconnexions Layer2 entre les centres de données), j'essaie toujours personnellement de connecter les bâtiments au niveau de la couche 3, car les liens de la couche 3 signifient généralement:

  1. Opex et temps de résolution des problèmes réduits. La grande majorité des diagnostics de dépannage du réseau sont basés sur des services IP. Par exemple, mtr n'a que la visibilité layer3. Ainsi, les sauts de couche 3 sont beaucoup plus faciles à corriger lorsque vous trouvez des pertes de paquets, soit en raison d'une congestion ou d'erreurs sur les liens. Layer3 est également plus facile à diagnostiquer lorsque vous rencontrez des problèmes de trajets multiples (par exemple avec des trajets multiples non-layer3 tels que LACP). Enfin, il est beaucoup plus facile de trouver où se trouve un serveur ou un PC lorsque vous pouvez traceroute directement vers le commutateur de bord.

  2. Domaines de diffusion / inondation plus petits. Si vos temporisateurs ARP / CAM ne correspondent pas , vous êtes vulnérable aux inondations unicast inconnues. Le correctif est bien connu, mais la plupart des réseaux que je vois ne prennent jamais la peine de faire correspondre correctement les temporisateurs ARP et CAM. Résultat final? Davantage de rafales et d'inondations de trafic dans le domaine layer2 ... et si vous êtes en train de submerger vos liens de couche2 inter-bâtiments, vous inondez les points de congestion du réseau naturel.

  3. Déploiement plus facile des pare-feu / ACL / QoS ... tout cela peut fonctionner au niveau de la couche 2, mais ils ont tendance à mieux fonctionner au niveau de la couche 3 (parce que les fournisseurs / organismes de normalisation ont passé au moins 15 des 20 dernières années à créer des ensembles de fonctionnalités de fournisseur préférant la couche 3) .

  4. Moins spanning-tree. MSTP / RSTP ont rendu Spanning Tree beaucoup plus tolérable, mais toutes les saveurs de STP se résument toujours à ce protocole désagréable qui aime inonder les émissions dans la mauvaise direction lorsque vous déposez un BPDU sur une liaison de blocage STP. Quand cela pourrait-il arriver? Congestion importante, émetteurs-récepteurs feuilletés, liens qui vont unidirectionnels (pour une raison quelconque, y compris humaine), ou liens qui fonctionnent avec des erreurs sur eux.

Est-ce à dire qu'il est mauvais de déployer la couche 2 entre les bâtiments? Pas du tout ... cela dépend vraiment de votre situation / budget / préférences du personnel. Cependant, j'irais avec des liens layer3 à moins qu'il n'y ait une raison impérieuse autrement. 1 Ces raisons peuvent inclure des préférences religieuses au sein de votre personnel / mgmt, une moindre familiarité avec les configurations de couche 3, etc.


1 Pour quiconque se demande comment je gère les interconnexions de centre de données de couche 2 lorsqu'il existe des liens de couche 3 entre les centres de données, je préfère les pseudowires EoMPLS s'il n'y a pas d'équipement Nexus. Théoriquement, OTV semble être un candidat si j'avais Nexus, mais personnellement je n'y suis pas encore allé. En bout de ligne, il existe des solutions pour tunneler la couche 2 à la couche 3 lorsque vous le devez.


En guise de remarque, vxlan résout également le problème d'interconnexion du centre de données Layer2, et les commutateurs virtuels ESXi prennent en charge vxlan
Mike Pennington

8

C'est un peu difficile car il y a des avantages et des inconvénients aux deux approches. Dans ma vie antérieure, où mes tâches impliquaient beaucoup plus d'administration de réseau que d'administration système, nous avions peut-être deux douzaines de sites dans une zone géographique de 12 milles de large. Environ la moitié de ces sites étaient configurés en tant que sites Layer-3 distincts qui ont été redirigés vers le bureau principal et l'autre moitié ont été configurés en tant que sites "Layer-2" (c'est-à-dire que nous venons d'étendre le VLAN à ce site).

Les avantages des sites "Layer-2" étaient qu'ils étaient beaucoup plus simples à configurer et à entretenir; pas de routeurs nécessaires, pas de mise à jour de nos routes statiques, pas de relais DHCP, pas de configuration VLAN séparée et ainsi de suite. Les principaux inconvénients que j'ai rencontrés étaient non techniques, des choses comme il est beaucoup plus difficile de localiser un serveur DHCP non autorisé lorsque votre domaine de diffusion se trouve dans 12 bâtiments différents chacun à quelques kilomètres les uns des autres. De nombreuses tâches administratives deviennent plus délicates lorsque vous n'avez pas la compartimentation réseau de différents sites, des choses comme différentes règles de pare-feu pour Office A et Office B mais pas Office C sont difficiles quand elles partagent toutes le même VLAN / sous-réseau. Je suppose que vous pourriez également rencontrer un problème avec les émissions en fonction du nombre d'appareils que vous avez, mais avec la technologie de commutation aujourd'hui,

Les avantages des sites "Layer-3" sont à peu près inverses des sites "Layer-2". Vous obtenez une compartimentation, vous pouvez écrire des règles de pare-feu par site et vous savez dans quel bâtiment particulier se trouve ce maudit routeur Linksys. Les inconvénients sont évidemment l'équipement requis pour effectuer le routage et la configuration et la maintenance nécessaires. Les protocoles de routage dynamique et des choses comme VTP (si vous osez l'utiliser!) Peuvent alléger la charge de configuration si votre réseau est suffisamment complexe.

Ma réponse sans réponse: ne compartimentez pas inutilement (c'est-à-dire, résistez à la tentation d'être trop intelligent) mais ne laissez pas la solution facile à court terme l'emporter là où il est plus logique d'avoir des VLAN / sous-réseaux séparés. En tant que personne qui a pourchassé ma part de serveurs DHCP Rogue Linksys ... euh "Routeurs" ... Je pense qu'il y a de bonnes raisons pour un VLAN / sous-réseau par conception de réseau de bâtiment simplement pour limiter les dommages que ces erreurs de configuration peuvent faire. D'un autre côté, si vous n'avez que deux sites et qu'ils sont juste à côté, il est peut-être logique qu'ils partagent le même VLAN / sous-réseau.


3

Comme beaucoup l'ont dit, les solutions L2 et L3 présentent de bons et de moins bons côtés. J'ai été employé par une compagnie de téléphone plus tôt et j'ai également aidé des petits réseaux à démarrer.

Les solutions L2 sont plus faciles à comprendre et moins chères si tout fonctionne. La partie travaux est généralement ruinée par quelqu'un qui reconnecte un câble dont il pensait qu'il avait été accidentellement déconnecté. La protection de boucle et Spanning Tree peuvent être utiles, mais causeront très probablement plus de dommages que d'utilité.

D'après mon expérience, les solutions L3 ont été plus difficiles à comprendre par les parties que j'ai aidées. Le coût peut également devenir un problème si le matériel et les logiciels doivent être pris en charge par un fabricant. Linux sur une machine x86 est un routeur très rentable et riche en fonctionnalités.

Les avantages d'une solution L3 sont que les boucles et autres émissions sont contenues dans un domaine beaucoup plus petit. Le meilleur exemple est que si quelqu'un crée accidentellement une boucle dans l'une des succursales routées multiples, seul ce bureau disparaît tandis que d'autres peuvent continuer à travailler.

Je voterais pour une solution routée en L3, principalement en raison des domaines de diffusion plus petits, mais aussi parce que le trafic peut être priorisé et protégé par un pare-feu en toute simplicité. Si quelqu'un a besoin de connexions L2, il peut les tunneler sur le réseau routé et même chiffrer le trafic lui-même s'il le souhaite.


2

Je recommanderais des commutateurs layer3 qui achemineront à vitesse lan. Si vous avez une bonne fibre, vous pouvez exécuter un réseau gigabit sur votre fibre avec de tels appareils et bénéficier tout de même des avantages d'un réseau routé (domaine de diffusion réduit, listes d'accès, etc.).


Il serait en fait plus facile de simplement étendre la couche 2; nous avons des gens qui ont été ici sur le site principal et qui déménagent là-bas. Une simple extension des réseaux locaux virtuels signifierait une reconfiguration minimale à nulle dans leurs machines et les applications (et les schémas de licence) qu'ils utilisent pour ces déplacements. Mais avant d'aller à l'encontre de ce que j'ai appris à penser, je veux être sûr qu'il n'y a pas de problèmes ...
user52874

D'après ce que je vois, le gotcha est exactement ce à quoi vous avez été formé. Il est préférable de réduire la couche 2 entre les deux sites. Mais encore une fois, quelle est votre taille? 10 nœuds? 100 nœuds? 1000 nœuds?
ETL

0

Je pense que le routage est un meilleur choix. Votre réseau entier plantera si la fibre est cassée. Et le routage avec des commutateurs de couche 3 (commutation de couche 3) est rapide comme la commutation de couche 2 si vous utilisez CEF ou quelque chose comme ça.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.