kết nối trang web từ xa thông qua sợi: lớp 2 vlans hoặc định tuyến lớp 3?

Tất cả

Quay lại thời xưa, khi bạn có hai trang web được phân tách theo địa lý, các liên kết khá hạn chế, vì vậy chúng tôi đặt các bộ định tuyến trên chúng và, 'định tuyến' giữa các mạng con ip trên mỗi trang web. Đó là thực hành tốt nhất tại thời điểm đó.

Bây giờ chúng tôi có một bó sợi giữa hai vị trí địa lý tách biệt. Đó là sợi 'thuộc sở hữu' của chúng ta nên một người trung gian không phải là mối quan tâm. Thử nghiệm chỉ ra rằng gói có thể xử lý lưu lượng nhiều gigabyte mà không gặp vấn đề gì. Ngoài ra, vòng sợi đã bao gồm nhiều dự phòng bao gồm các đường dẫn vật lý riêng biệt. Tất cả đều tốt và tốt.

Vì điều này, nó vẫn được coi là 'thực tiễn tốt nhất' để sử dụng định tuyến và các mạng con khác nhau giữa các trang web từ xa? Hoặc chúng tôi có thể mở rộng mạng 'địa phương' (trang chính) của mình ra trang web từ xa cùng với vlans của trang web chính không? Điều đó vẫn được coi là một thực hành dưới mức tối ưu hoặc thậm chí xấu? Hơn nữa, có lý do gì để không? (Ngoài ra, tôi hiểu vấn đề 'gián đoạn backhoe'; các đường dẫn vật lý riêng biệt dự kiến ​​sẽ xử lý tình huống đó).

Những suy nghĩ khác?

cảm ơn!

Bây giờ chúng tôi có một bó sợi giữa hai vị trí địa lý tách biệt. Đó là sợi 'thuộc sở hữu' của chúng ta nên một người trung gian không phải là mối quan tâm ... Ngoài ra, vòng sợi đã bao gồm nhiều dự phòng bao gồm cả các đường dẫn vật lý riêng biệt. Tất cả đều tốt và tốt.

Vì điều này, nó vẫn được coi là 'thực tiễn tốt nhất' để sử dụng định tuyến và các mạng con khác nhau giữa các trang web từ xa? Hoặc chúng tôi có thể mở rộng mạng 'địa phương' (trang chính) của mình ra trang web từ xa cùng với vlans của trang web chính không? Điều đó vẫn được coi là một thực hành dưới mức tối ưu hoặc thậm chí xấu? Hơn nữa, có lý do gì để không? (Ngoài ra, tôi hiểu vấn đề 'gián đoạn backhoe'; các đường dẫn vật lý riêng biệt dự kiến ​​sẽ xử lý tình huống đó).

Đầu tiên, không có thứ gọi là thực hành tốt nhất trong tình huống này. Các chi tiết thiết kế hình ảnh lớn như kết nối trang web layer2 / layer3 được điều khiển bởi nhu cầu kinh doanh, ngân sách, khả năng của nhân viên, sở thích của bạn và bộ tính năng của nhà cung cấp.

Ngay cả với tất cả sự yêu thích đối với việc di chuyển các cá thể VM giữa các trung tâm dữ liệu (dễ dàng hơn nhiều với các kết nối lớp 2 giữa các trung tâm dữ liệu), cá nhân tôi vẫn thử kết nối các tòa nhà ở lớp 3, vì các liên kết lớp 3 thường có nghĩa là:

1. Opex thấp hơn và thời gian thấp hơn để giải quyết vấn đề. Phần lớn các chẩn đoán xử lý sự cố mạng dựa trên các dịch vụ IP. Ví dụ, mtr chỉ có khả năng hiển thị layer3. Do đó, bước nhảy lớp 3 dễ khắc phục hơn khi bạn tìm thấy gói bị rơi, do tắc nghẽn hoặc lỗi trên các liên kết. Layer3 cũng dễ chẩn đoán hơn khi bạn xử lý các vấn đề đa đường (ví dụ so với đa đường không phải lớp 3 như LACP). Cuối cùng, cách dễ dàng hơn để tìm vị trí của máy chủ hoặc PC khi bạn có thể truy tìm thẳng đến công tắc cạnh.

2. Miền phát sóng / lũ nhỏ hơn. Nếu bạn có bộ định thời ARP / CAM không khớp , bạn dễ bị ngập lụt không xác định. Bản sửa lỗi này rất nổi tiếng, nhưng hầu hết các mạng tôi thấy không bao giờ bận tâm khớp chính xác bộ định thời ARP và CAM. Kết quả cuối cùng? Nhiều vụ nổ giao thông và lũ lụt trong miền 2 ... và nếu bạn đang tràn qua các liên kết lớp 2 liên tòa nhà, bạn sẽ làm ngập các điểm tắc nghẽn mạng tự nhiên.

3. Dễ dàng triển khai tường lửa / ACL / QoS hơn ... tất cả những thứ này có thể hoạt động ở lớp 2, nhưng chúng có xu hướng hoạt động tốt hơn ở lớp 3 (vì các nhà cung cấp / cơ quan tiêu chuẩn đã dành ít nhất 15 trong số 20 bộ tính năng của nhà cung cấp tòa nhà trước đó thích lớp 3) .

4. Cây kéo dài ít hơn. MSTP / RSTP đã làm cho cây bao trùm dễ chịu hơn nhiều, nhưng tất cả các hương vị của STP vẫn sôi sục với giao thức khó chịu đó, thích tràn ngập phát sai hướng khi bạn thả BPDU vào liên kết chặn STP. Khi điều đó có thể xảy ra? Sự tắc nghẽn nặng nề, bộ thu phát dễ vỡ, các liên kết không theo hướng (vì bất kỳ lý do gì, kể cả con người) hoặc các liên kết đang chạy có lỗi trên chúng.

Điều này có nghĩa là xấu khi triển khai layer2 giữa các tòa nhà? Hoàn toàn không ... nó thực sự phụ thuộc vào sở thích / ngân sách / nhân viên của bạn. Tuy nhiên, tôi sẽ đi với các liên kết layer3 trừ khi có lý do thuyết phục khác. ¹ Những lý do đó có thể bao gồm các ưu tiên tôn giáo trong đội ngũ nhân viên / mgmt của bạn, mức độ quen thuộc thấp hơn với cấu hình layer3, v.v ...

Đây là một trong những khó khăn vì có những lợi thế và bất lợi cho cả hai phương pháp. Ở kiếp trước, nơi nhiệm vụ công việc của tôi liên quan đến quản trị mạng nhiều hơn thay vì quản trị hệ thống, chúng tôi có thể có hai chục trang web trong một khu vực địa lý rộng 12 dặm. Khoảng một nửa trong số các trang web này được định cấu hình là các trang web Lớp 3 riêng biệt được chuyển trở lại văn phòng chính và nửa còn lại được định cấu hình là các trang web "Lớp 2" (nghĩa là chúng tôi chỉ mở rộng Vlan cho trang web đó).

Ưu điểm của các trang web "Lớp 2" là chúng đơn giản hơn nhiều để thiết lập và bảo trì; không cần bộ định tuyến, không cập nhật các tuyến tĩnh của chúng tôi, không chuyển tiếp DHCP, không có cấu hình Vlan riêng biệt, v.v. Những khó khăn chính tôi có kinh nghiệm là phi kỹ thuật, mọi thứ như nó là khó khăn hơn nhiều để xác định vị trí một máy chủ DHCP giả mạo khi tên miền phát sóng của bạn là trong 12 tòa nhà khác nhau mỗi một vài dặm. Rất nhiều tác vụ quản trị trở nên phức tạp hơn khi bạn thiếu sự ngăn cách mạng của các trang web khác nhau, những thứ như các quy tắc tường lửa khác nhau cho Office A và Office B nhưng không phải Office C đều khó khăn khi tất cả đều chia sẻ cùng một Vlan / Subnet. Tôi cho rằng bạn cũng có thể gặp phải sự cố với các chương trình phát sóng tùy thuộc vào số lượng thiết bị bạn có nhưng với công nghệ chuyển đổi ngày nay là gì,

Ưu điểm của các trang web "Lớp 3" là khá nhiều nghịch đảo của các trang web "Lớp 2". Bạn nhận được sự ngăn xếp, bạn có thể viết các quy tắc tường lửa trên mỗi trang web và bạn biết tòa nhà cụ thể mà Bộ định tuyến Linksys đang ở. Những nhược điểm rõ ràng là thiết bị cần thiết để thực hiện định tuyến và cấu hình và bảo trì cần thiết. Các giao thức định tuyến động và những thứ như VTP (nếu bạn dám sử dụng nó!) Có thể giảm bớt gánh nặng cấu hình nếu mạng của bạn phức tạp phù hợp.

Câu trả lời không trả lời của tôi: Đừng ngăn chặn một cách không cần thiết (nghĩa là chống lại sự cám dỗ quá thông minh) nhưng đừng để giải pháp dễ dàng ngắn hạn giành chiến thắng khi có các Vlan / Subnet riêng biệt hơn. Là một người đã theo đuổi phần chia sẻ của tôi về Máy chủ DHCP Linksys Rogue ... er "Bộ định tuyến" ... Tôi nghĩ rằng có một trường hợp mạnh đối với một Vlan / Subnet trên mỗi thiết kế mạng tòa nhà chỉ đơn giản là để hạn chế thiệt hại mà các cấu hình sai này có thể gây ra. Mặt khác, nếu bạn chỉ có hai trang web và chúng ở ngay bên cạnh thì có thể chúng sẽ chia sẻ cùng một Vlan / Subnet.

Như nhiều người đã nói, có cả hai mặt tốt và kém tốt cho cả giải pháp L2 và L3. Tôi đã được một công ty điện thoại làm việc trước đó và tôi cũng đã giúp các mạng nhỏ hơn bắt đầu.

Các giải pháp L2 dễ hiểu và rẻ hơn nếu mọi thứ hoạt động. Phần công trình thường bị hủy hoại bởi ai đó đang kết nối lại một dây cáp mà họ cho rằng đã vô tình bị ngắt kết nối. Bảo vệ vòng lặp và Cây Spanning có thể được sử dụng nhưng rất có thể sẽ gây hại nhiều hơn là sử dụng.

Các giải pháp L3, theo kinh nghiệm của tôi, đã khó hiểu hơn bởi các bên mà tôi đã giúp đỡ. Chi phí cũng có thể trở thành một vấn đề nếu phần cứng và phần mềm phải được nhà sản xuất hỗ trợ. Linux trên máy x86 là một bộ định tuyến đầy tính năng và hiệu quả về chi phí.

Lợi ích của giải pháp L3 là các vòng lặp và các chương trình phát sóng khác được chứa trong một miền nhỏ hơn nhiều. Ví dụ tốt nhất là nếu ai đó vô tình tạo một vòng lặp ở một trong nhiều văn phòng chi nhánh được định tuyến, chỉ có văn phòng đó biến mất trong khi những người khác có thể tiếp tục làm việc.

Tôi muốn bình chọn cho giải pháp định tuyến L3, chủ yếu là do các miền quảng bá nhỏ hơn nhưng cũng vì lưu lượng truy cập có thể được ưu tiên và tường lửa dễ dàng. Nếu ai đó cần kết nối L2, họ có thể tạo đường hầm cho họ qua mạng được định tuyến và thậm chí tự mã hóa lưu lượng nếu họ muốn.

Tôi muốn giới thiệu các thiết bị chuyển mạch layer3 sẽ định tuyến ở tốc độ lan. Nếu bạn có chất xơ tốt, bạn có thể chạy mạng gigabit qua cáp quang của mình bằng các thiết bị như vậy và vẫn được hưởng lợi từ lợi thế của mạng được định tuyến (tên miền quảng bá giảm, danh sách truy cập, v.v.).

Tôi nghĩ rằng, định tuyến là một lựa chọn tốt nhất. Toàn bộ mạng của bạn sẽ sụp đổ nếu sợi bị hỏng. Và định tuyến với các công tắc lớp 3 (chuyển đổi lớp 3) nhanh như chuyển đổi lớp 2 nếu bạn sử dụng CEF hoặc một cái gì đó như thế này.