Remote-Standort über Glasfaser verbinden: Layer 2 LAN oder Layer 3 Routing?

12

Grüße an alle,

Früher, als es zwei geografisch getrennte Standorte gab, waren die Verbindungen ziemlich eng, so dass wir Router auf sie setzen und zwischen IP-Subnetzen pro Standort "routen". Das war damals Best Practice.

Jetzt haben wir ein Faserbündel zwischen den beiden geografisch getrennten Standorten. Es ist unsere eigene Faser, also ist ein Mittelsmann kein Problem. Die Tests haben ergeben, dass das Bundle problemlos Multi-Gigabyte-Datenverkehr verarbeiten kann. Zusätzlich hat der Faserring mehrere Redundanzen einschließlich separater physikalischer Pfade enthalten. Alles schön und gut.

Wird die Verwendung von Routing und unterschiedlichen Subnetzen zwischen den Remotestandorten immer noch als bewährte Methode angesehen? Oder können wir unser 'lokales' (Hauptstandort-) Netzwerk zusammen mit dem Hauptstandort-VLAN auf den entfernten Standort ausdehnen? Wird das immer noch als suboptimal oder sogar als schlechte Praxis angesehen? Mehr auf den Punkt, gibt es einen Grund, dies nicht zu tun? (Abgesehen davon verstehe ich das Problem des Baggerlader-Interrupts. Es wird erwartet, dass die getrennten physischen Pfade diese Kontingenz bewältigen.)

Andere Gedanken?

Vielen Dank!

user52874
quelle
Gute Fragen, da sich die Zeiten definitiv geändert haben ... Wie weit sind die Standorte voneinander entfernt?
Ewwhite
Es sind ungefähr 6 Meilen, obwohl ich die Faserentfernung nicht kenne.
user52874

Antworten:

10

Jetzt haben wir ein Faserbündel zwischen den beiden geografisch getrennten Standorten. Es handelt sich um unsere eigene Glasfaser, sodass ein Zwischenhändler kein Problem darstellt. Darüber hinaus wurden im Glasfaserring mehrere Redundanzen, einschließlich separater physischer Pfade, vorgenommen. Alles schön und gut.

Wird die Verwendung von Routing und unterschiedlichen Subnetzen zwischen den Remotestandorten immer noch als bewährte Methode angesehen? Oder können wir unser 'lokales' (Hauptstandort-) Netzwerk zusammen mit dem Hauptstandort-VLAN auf den entfernten Standort ausdehnen? Wird das immer noch als suboptimal oder sogar als schlechte Praxis angesehen? Mehr auf den Punkt, gibt es einen Grund, dies nicht zu tun? (Abgesehen davon verstehe ich das Problem des Baggerlader-Interrupts. Es wird erwartet, dass die getrennten physischen Pfade diese Kontingenz bewältigen.)

Erstens gibt es in dieser Situation keine Best Practice. Details des Gesamtdesigns wie Layer2- / Layer3-Standortverbindungen hängen von den Geschäftsanforderungen, dem Budget, den Fähigkeiten Ihrer Mitarbeiter, Ihren Vorlieben und den Funktionssätzen Ihres Anbieters ab.

Trotz der Vorliebe für das Verschieben von VM-Instanzen zwischen Rechenzentren (was mit Layer2-Verbindungen zwischen Rechenzentren viel einfacher ist), versuche ich persönlich immer noch, Gebäude auf Layer3 zu verbinden, da Layer3-Verknüpfungen im Allgemeinen Folgendes bedeuten:

  1. Geringerer Opex und kürzere Zeit bis zur Problemlösung. Die meisten Diagnosen zur Fehlerbehebung im Netzwerk basieren auf IP-Diensten. Zum Beispiel hat mtr nur Sichtbarkeit auf Ebene 3. Auf diese Weise lassen sich Layer3-Sprünge aufgrund von Überlastungen oder Fehlern auf den Verbindungen viel einfacher beheben, wenn Sie Paketverluste feststellen. Layer3 ist auch einfacher zu diagnostizieren, wenn Sie mit Multipath-Problemen zu tun haben (im Vergleich zu Nicht-Layer3-Multipath-Problemen wie LACP). Schließlich ist es viel einfacher zu finden, wo sich ein Server oder PC befindet, wenn Sie die Route direkt zum Edge-Switch verfolgen können.

  2. Kleinere Broadcast- / Flooding-Domains. Wenn Sie nicht übereinstimmende ARP / CAM-Timer haben , sind Sie anfällig für unbekannte Unicast-Flutungen. Die Fehlerbehebung hierfür ist bekannt, aber die meisten Netzwerke stören sich meines Erachtens nie daran, die ARP- und CAM-Timer richtig abzugleichen. Endresultat? In der Layer2-Domäne kommt es zu mehr Datenverkehr und Überschwemmungen. Wenn Sie die Layer2-Verbindungen zwischen den Gebäuden überfluten, werden die natürlichen Netzwerküberlastungspunkte überflutet.

  3. Einfachere Bereitstellung von Firewalls / ACLs / QoS ... all diese Dinge können auf Layer2 funktionieren, aber sie funktionieren tendenziell besser auf Layer3 (da Anbieter / Normungsorganisationen in den letzten 20 Jahren mindestens 15 Jahre damit verbracht haben, Feature-Sets von Anbietern zu erstellen, die Layer3 bevorzugen). .

  4. Weniger Spanning-Tree. MSTP / RSTP haben Spanning-Tree viel erträglicher gemacht, aber alle Varianten von STP laufen immer noch auf das böse Protokoll hinaus, das es liebt, Broadcasts in die falsche Richtung zu fluten, wenn Sie eine BPDU auf eine STP-blockierende Verbindung setzen. Wann könnte das passieren? Starke Überlastung, flockige Transceiver, Verbindungen, die unidirektional sind (aus welchen Gründen auch immer, einschließlich menschlicher), oder Verbindungen, die fehlerhaft ausgeführt werden.

Bedeutet dies, dass es schlecht ist, Layer2 zwischen Gebäuden bereitzustellen? Überhaupt nicht ... es hängt wirklich von Ihrer Situation, Ihrem Budget und den Vorlieben Ihres Personals ab. Ich würde jedoch Layer3-Links verwenden, es sei denn, es gibt einen zwingenden Grund dafür. 1 Diese Gründe könnten religiöse Vorlieben in Ihrem Personal / Ihrer Organisation, geringere Vertrautheit mit Layer3-Konfigurationen usw. sein.


1 Ich bevorzuge EoMPLS-Pseudodrähte, wenn kein Nexus-Gerät vorhanden ist, wenn sich jemand fragt, wie ich mit Layer2-Datencenter-Verbindungen verfahren soll, wenn Layer3-Verbindungen zwischen den Datencentern bestehen. Theoretisch scheint OTV ein Kandidat zu sein, wenn ich Nexus hätte, aber ich persönlich war noch nicht dort. Unterm Strich gibt es Lösungen für das Tunneln von Layer2 durch Layer3, wenn Sie müssen.

Mike Pennington
quelle
Als Randnotiz löst vxlan auch das Layer2-Datencenter-Verbindungsproblem, und virtuelle ESXi-Switches unterstützen vxlan
Mike Pennington,
8

Dies ist eine schwierige Frage, da beide Ansätze Vor- und Nachteile haben. In meinem früheren Leben, in dem meine beruflichen Aufgaben viel mehr Netzwerkadministration als Systemadministration betrafen, hatten wir vielleicht zwei Dutzend Standorte innerhalb eines 20 Kilometer breiten geografischen Gebiets. Etwa die Hälfte dieser Standorte wurde als separate Layer-3-Standorte konfiguriert, die an das Hauptbüro zurückgeleitet wurden, und die andere Hälfte wurde als Layer-2-Standorte konfiguriert (dh, wir haben das VLAN nur auf diesen Standort erweitert).

Die Vorteile der "Layer-2" -Standorte bestanden darin, dass sie viel einfacher einzurichten und zu warten waren. Keine Router erforderlich, keine Aktualisierung unserer statischen Routen, kein DHCP-Relay, keine separate VLAN-Konfiguration und so weiter. Die Hauptnachteile, die ich hatte, waren nicht-technische Probleme. Es ist beispielsweise viel schwieriger, einen falschen DHCP-Server zu finden, wenn sich Ihre Broadcast-Domain in 12 verschiedenen Gebäuden befindet, die jeweils einige Meilen voneinander entfernt sind. Viele administrative Aufgaben werden schwieriger, wenn die Netzwerkkompartimentierung verschiedener Standorte fehlt. Verschiedene Firewallregeln für Office A und Office B, nicht jedoch für Office C, sind schwierig, wenn alle dasselbe VLAN / Subnetz verwenden. Ich nehme an, Sie könnten auch auf ein Problem mit Broadcasts stoßen, je nachdem, wie viele Geräte Sie haben, aber die Switching-Technologie ist heute das, was sie ist.

Die Vorteile der "Layer-3" -Standorte sind im Vergleich zu "Layer-2" -Standorten ziemlich umgekehrt. Sie erhalten eine Unterteilung, können Firewall-Regeln für einzelne Standorte erstellen und wissen, in welchem ​​Gebäude sich der verdammte Linksys Router befindet. Die Nachteile liegen offensichtlich in der Ausrüstung, die für das Routing erforderlich ist, sowie in der erforderlichen Konfiguration und Wartung. Dynamische Routing-Protokolle und Dinge wie VTP (wenn Sie es wagen, es zu verwenden!) Können den Konfigurationsaufwand verringern, wenn Ihr Netzwerk entsprechend komplex ist.

Meine Antwort ohne Antwort: Unterteilen Sie nicht unnötig (d. H. Widerstehen Sie der Versuchung, übermäßig clever zu sein), sondern lassen Sie die kurzfristig einfache Lösung nicht zu, wenn es sinnvoller ist, separate VLANs / Subnetze zu haben. Als jemand, der meinen Anteil an Linksys Rogue DHCP-Servern verjagt hat ... ähm "Router" ... denke ich, dass es ein starkes Argument für ein einziges VLAN / Subnetz pro Gebäude-Netzwerkdesign gibt, nur um den Schaden zu begrenzen, den diese Fehlkonfigurationen anrichten können. Wenn Sie jedoch nur zwei Standorte haben und diese direkt nebenan sind, ist es möglicherweise sinnvoll, dass sie dasselbe VLAN / Subnetz verwenden.


quelle
3

Wie viele gesagt haben, hat sowohl die L2- als auch die L3-Lösung gute und weniger gute Seiten. Ich war früher bei einer Telefongesellschaft angestellt und habe auch kleineren Netzwerken beim Start geholfen.

L2-Lösungen sind verständlicher und günstiger, wenn alles funktioniert. Der Werksteil wird normalerweise ruiniert, wenn jemand ein Kabel wieder anschließt, von dem er vermutet, dass es versehentlich abgezogen wurde. Schleifenschutz und Spanning Tree sind möglicherweise von Nutzen, verursachen jedoch höchstwahrscheinlich mehr Schaden als Nutzen.

Nach meiner Erfahrung waren L3-Lösungen für die Parteien, denen ich geholfen habe, schwieriger zu verstehen. Kosten können auch zu einem Problem werden, wenn Hardware und Software von einem Hersteller unterstützt werden müssen. Linux auf einem x86-Rechner ist ein sehr kostengünstiger und funktionsreicher Router.

Der Vorteil einer L3-Lösung besteht darin, dass Loops und andere Broadcasts in einer viel kleineren Domäne enthalten sind. Das beste Beispiel ist, dass, wenn jemand versehentlich eine Schleife in einer von mehreren gerouteten Zweigstellen erstellt, nur diese Stelle verschwindet, während andere weiterarbeiten können.

Ich würde für eine L3-Routing-Lösung stimmen, hauptsächlich wegen der kleineren Broadcast-Domänen, aber auch, weil der Datenverkehr mit Leichtigkeit priorisiert und durch eine Firewall geschützt werden kann. Wenn jemand L2-Verbindungen benötigt, kann er diese über das geroutete Netzwerk tunneln und auf Wunsch sogar den Datenverkehr selbst verschlüsseln.

mingalsuo
quelle
2

Ich würde Layer3-Switches empfehlen, die mit LAN-Geschwindigkeit routen. Wenn Sie über eine gute Glasfaser verfügen, können Sie mit solchen Geräten ein Gigabit-Netzwerk über Ihre Glasfaser betreiben und dennoch den Vorteil eines gerouteten Netzwerks (reduzierte Broadcast-Domäne, Zugriffslisten usw.) nutzen.

ETL
quelle
Es wäre tatsächlich einfacher, die Ebene 2 herauszuziehen. Wir haben ein paar Leute, die hier auf der Hauptseite waren und da rausziehen. Das einfache Erweitern der vlans würde bedeuten, dass die Computer und die Anwendungen (und Lizenzierungsschemata), die sie für diese Verschiebungen verwenden, nur minimal oder gar nicht neu konfiguriert werden müssen. Aber bevor ich mich dem widersetze, was ich gelernt habe, möchte ich sichergehen, dass es keine Fallstricke gibt ...
user52874
Nach dem, was ich sehe, ist der Gotcha genau das, womit du trainiert wurdest zu denken. Es ist besser, den Layer2 zwischen den beiden Standorten zu reduzieren. Aber wie groß sind Sie? 10 Knoten? 100 Knoten? 1000 Knoten?
ETL
0

Ich denke, Routing ist die beste Wahl. Ihr gesamtes Netzwerk stürzt ab, wenn die Glasfaser defekt ist. Routing mit Layer-3-Switches (Layer-3-Switching) ist genauso schnell wie Layer-2-Switching, wenn Sie CEF oder ähnliches verwenden.

Ilya 'Elcamlost' Rassadin
quelle