conectando site remoto via fibra: camada 2 vlans ou camada 3 de roteamento?

Now we have a fiber bundle between the two geographically separated sites. It's our own 'owned' fiber so a middleman isn't a concern... Additionally, the fiber ring has included multiple redundancies including separate physical pathings. All well and good.

Given this, is it still considered 'best practice' to use routing and different subnets between the remote sites? Or can we extend our 'local' (main site) network out to the remote site along with the main site vlans? Is that still considered a suboptimal or even bad practice? More to the point, is there any reason not to? (Aside, I understand the 'backhoe interrupt' issue; the separate physical pathings is expected to handle that contingency).

Primeiro, não existe melhor prática nesta situação. Detalhes de design geral, como interconexões de sites layer2 / layer3, são orientados pelas necessidades de negócios, pelo orçamento, pelas capacidades de sua equipe, por suas preferências e pelos conjuntos de recursos do fornecedor.

Mesmo com todo o amor pela movimentação de instâncias de VMs entre centros de dados (que é muito mais fácil com interconexões de Camada2 entre datacenters), eu pessoalmente ainda tente conectar prédios na camada3, porque os links da camada3 geralmente significam:

1. Reduza o tempo operacional e diminua o tempo até a resolução do problema. A grande maioria dos diagnósticos de solução de problemas de rede é baseada em serviços IP. Por exemplo, mtr só tem visibilidade layer3. Assim, os saltos da camada 3 são muito mais fáceis de consertar quando você está encontrando quedas de pacotes, seja devido a congestionamentos ou erros nos links. O Layer3 também é mais fácil de diagnosticar quando você está lidando com problemas de multipath (comparado, por exemplo, com multipath não-layer3, como o LACP). Por fim, é mais fácil encontrar um servidor ou PC quando você pode tracerar diretamente para o switch de borda.

2. Domínios menores de transmissão / inundação. Se você tiver cronômetros ARP / CAM incompatíveis , você está vulnerável a inundações desconhecidas de unicast. A correção para isso é bem conhecida, mas a maioria das redes que vejo nunca se incomodou em fazer a correspondência dos timers ARP e CAM corretamente. Resultado final? Mais rajadas de tráfego e inundações no domínio da camada 2 ... e se você estiver inundando os links entre camadas da camada 2, estará inundando pontos naturais de congestionamento da rede.

3. Mais fácil de implantar firewalls / ACLs / QoS ... tudo isso pode funcionar na camada 2, mas eles tendem a funcionar melhor na camada 3 (porque os fornecedores / órgãos de normas gastaram pelo menos 15 dos 20 anos anteriores que criaram conjuntos de recursos do fornecedor, preferindo a camada 3).

4. Menos spanning-tree. O MSTP / RSTP tornou a spanning-tree muito mais tolerável, mas todos os tipos de STP ainda se resumem àquele desagradável protocolo que adora transmitir transmissões na direção errada quando você solta um BPDU em um link de bloqueio de STP. Quando isso pode acontecer? Congestionamento intenso, transceptores escamosos, links unidirecionais (por qualquer motivo, incluindo humanos) ou links que estão sendo executados com erros neles.

Isso significa que é ruim implantar a camada 2 entre edifícios? Não é de todo ... realmente depende da sua situação / orçamento / pessoal de preferências. No entanto, eu usaria os links da camada 3, a menos que haja uma razão convincente. ¹ Essas razões podem incluir preferências religiosas em sua equipe / mgmt, menor familiaridade com configurações da camada 3, etc ...

Este é um tipo difícil, pois há vantagens e desvantagens para ambas as abordagens. Na minha vida anterior, onde as minhas funções de trabalho envolviam muito mais administração de redes em vez de administração de sistemas, tínhamos cerca de duas dúzias de sites numa área geográfica de 12 milhas de largura. Cerca de metade desses sites, quando configurados como sites de Camada 3 separados, que foram roteados de volta ao escritório principal e a outra metade, foram configurados como sites "Camada 2" (ou seja, apenas estendemos a VLAN para esse site).

As vantagens dos sites "Layer-2" eram que eles eram muito mais simples de configurar e manter; nenhum roteador necessário, nenhuma atualização de nossas rotas estáticas, nenhum relé DHCP, nenhuma configuração de VLAN separada e assim por diante. As principais desvantagens que eu experimentei foram não-técnicas, coisas como é muito mais difícil de localizar um servidor DHCP desonesto quando o seu domínio de transmissão está em 12 edifícios diferentes, cada um a poucos quilômetros de distância. Muitas tarefas administrativas se tornam mais complicadas quando você não tem a compartimentalização de rede de sites diferentes, coisas como regras de firewall diferentes para o Office A e o Office B, mas não o Office C, são difíceis quando todos compartilham a mesma VLAN / Sub-rede. Suponho que você também poderia enfrentar um problema com transmissões dependendo de quantos dispositivos você tem, mas com a tecnologia de comutação hoje sendo o que é, você pode empinar um número surpreendente de hosts em um domínio de broadcast antes que realmente se torne um problema. p>

As vantagens dos sites "Camada 3" são praticamente inversos aos sites "Camada 2". Você obtém compartimentalização, pode escrever regras de firewall por site e sabe em qual prédio específico esse maldito Roteador Linksys está. As desvantagens são, obviamente, o equipamento necessário para fazer o roteamento e a configuração e manutenção necessárias. Os protocolos de roteamento dinâmico e coisas como o VTP (se você ousar usá-lo!) Podem aliviar o fardo da configuração se sua rede for adequadamente complexa.

Minha resposta sem resposta: Não compartimente desnecessariamente (isto é, resista à tentação de ser excessivamente inteligente), mas não deixe a solução fácil de curto prazo vencer onde faz mais sentido ter VLANs / Sub-redes separadas. Como alguém que tem perseguido minha parcela de servidores DHCP Linksys Rogue ... er "Routers" ... Eu acho que há um strong argumento para uma VLAN / Sub-rede por projeto de rede de edifícios simplesmente para limitar os danos a esses erros de configuração pode fazer. Por outro lado, se você tiver apenas dois sites e eles estiverem ao lado, talvez faça sentido que eles compartilhem a mesma VLAN / Sub-rede.

Como muitos já disseram, há bons e menos bons lados tanto para a L2 quanto para a solução L3. Já fui contratado por uma companhia telefônica e também ajudei redes menores a começar.

As soluções L2 são mais fáceis de entender e mais baratas se tudo funcionar. A parte de trabalho é geralmente arruinada por alguém reconectando um cabo que eles achavam ter sido acidentalmente desconectado. A proteção de loop e a Spanning Tree podem ser úteis, mas provavelmente causarão mais danos do que serem úteis.

As soluções L3, na minha experiência, têm sido mais difíceis de entender pelas partes que ajudei. O custo também pode se tornar um problema se o hardware e o software tiverem que ser suportados por um fabricante. O Linux em uma máquina x86 é um roteador muito econômico e cheio de recursos.

Os benefícios de uma solução L3 são que os loops e outras transmissões estão contidos em um domínio muito menor. O melhor exemplo é que, se alguém cria acidentalmente um loop em uma das várias filiais roteadas, apenas esse escritório desaparece, enquanto outros podem continuar trabalhando.

Eu votaria em uma solução roteada L3, principalmente por causa dos domínios de broadcast menores, mas também porque o tráfego pode ser priorizado e protegido por firewall com facilidade. Se alguém precisar de conexões L2, eles podem encapsulá-los pela rede roteada e até mesmo criptografar o tráfego por conta própria, se quiserem.

Eu recomendaria switches layer3 que serão roteados na velocidade lan. Se você tiver boa fibra, poderá executar uma rede gigabit em sua fibra com esses dispositivos e ainda se beneficiar da vantagem de uma rede roteada (domínio de broadcast reduzido, listas de acesso, etc.).

Eu acho que o roteamento é a melhor escolha. Toda a sua rede irá falhar se a fibra quebrar. E o roteamento com switches da camada 3 (comutação da camada 3) é rápido como comutação da camada 2 se você usar o CEF ou algo assim.