¿Cómo conectar un sitio remoto a través de fibra: vlans de capa 2 o enrutamiento de capa 3?

Saluda a todos

En los viejos tiempos, cuando tenías dos sitios separados geográficamente, los enlaces estaban bastante restringidos, por lo que colocamos enrutadores en ellos y, bueno, 'enrutamos' entre subredes ip por sitio. Esa fue la mejor práctica en ese momento.

Ahora tenemos un paquete de fibra entre los dos sitios separados geográficamente. Es nuestra propia fibra 'propia', por lo que un intermediario no es una preocupación. Las pruebas indican que el paquete puede manejar tráfico de varios gigabytes sin ningún problema. Además, el anillo de fibra ha incluido múltiples redundancias, incluidas rutas físicas separadas. Todo bien y bien.

Dado esto, ¿todavía se considera una 'mejor práctica' usar enrutamiento y subredes diferentes entre los sitios remotos? ¿O podemos extender nuestra red 'local' (sitio principal) al sitio remoto junto con los vlans del sitio principal? ¿Todavía se considera una práctica subóptima o incluso mala? Más concretamente, ¿hay alguna razón para no hacerlo? (Aparte, entiendo el problema de 'interrupción de retroexcavadora'; se espera que las rutas físicas separadas manejen esa contingencia).

¿Otros pensamientos?

¡Gracias!

Ahora tenemos un paquete de fibra entre los dos sitios separados geográficamente. Es nuestra propia fibra 'propia', por lo que un intermediario no es una preocupación ... Además, el anillo de fibra ha incluido múltiples redundancias, incluidas rutas físicas separadas. Todo bien y bien.

Dado esto, ¿todavía se considera una 'mejor práctica' usar enrutamiento y subredes diferentes entre los sitios remotos? ¿O podemos extender nuestra red 'local' (sitio principal) al sitio remoto junto con los vlans del sitio principal? ¿Todavía se considera una práctica subóptima o incluso mala? Más concretamente, ¿hay alguna razón para no hacerlo? (Aparte, entiendo el problema de 'interrupción de retroexcavadora'; se espera que las rutas físicas separadas manejen esa contingencia).

Primero, no existe una mejor práctica en esta situación. Los detalles del diseño general, como las interconexiones de sitio de capa 2 / capa 3, dependen de las necesidades comerciales, el presupuesto, las capacidades de su personal, sus preferencias y los conjuntos de características de su proveedor.

Incluso con todo el amor por mover instancias de VM entre centros de datos (lo cual es mucho más fácil con las interconexiones de Capa 2 entre centros de datos), personalmente todavía trato de conectar edificios en la capa 3, porque los enlaces de capa 3 generalmente significan:

1. Menor opex y menor tiempo de resolución de problemas. La gran mayoría de los diagnósticos de solución de problemas de red se basan en servicios IP. Por ejemplo, mtr solo tiene visibilidad de capa 3. Por lo tanto, los saltos de capa 3 son mucho más fáciles de solucionar cuando se encuentran caídas de paquetes, ya sea debido a congestión o errores en los enlaces. Layer3 también es más fácil de diagnosticar cuando se trata de problemas de multitrayectoria (en comparación, por ejemplo, con multirrutas que no son de capa3, como LACP). Finalmente, es mucho más fácil encontrar dónde está un servidor o PC cuando puede trazar una ruta directa al interruptor de borde.

2. Dominios de difusión / inundación más pequeños. Si no ha sincronizado los temporizadores ARP / CAM , es vulnerable a inundaciones de unidifusión desconocidas. La solución para esto es bien conocida, pero la mayoría de las redes que veo nunca se molestan en hacer coincidir los temporizadores ARP y CAM correctamente. ¿Resultado final? Más ráfagas e inundaciones de tráfico dentro del dominio de capa2 ... y si está inundando a través de sus enlaces de capa2 entre edificios, está inundando los puntos de congestión de la red natural.

3. Es más fácil implementar firewalls / ACL / QoS ... todas estas cosas pueden funcionar en la capa 2, pero tienden a funcionar mejor en la capa 3 (porque los proveedores / organismos de estándares han pasado al menos 15 de los 20 años anteriores creando conjuntos de características de proveedores que prefieren la capa 3) .

4. Menos árbol de expansión. MSTP / RSTP han hecho que el árbol de expansión sea mucho más tolerable, pero todos los sabores de STP todavía se reducen a ese protocolo desagradable que adora inundar las transmisiones en la dirección incorrecta cuando se cae un BPDU en un enlace de bloqueo STP. ¿Cuándo podría suceder eso? Congestión intensa, transceptores escamosos, enlaces que se vuelven unidireccionales (por cualquier razón, incluidos los humanos) o enlaces que se ejecutan con errores.

¿Significa esto que es malo implementar la capa 2 entre edificios? Para nada ... realmente depende de su situación / presupuesto / preferencias del personal. Sin embargo, iría con enlaces de capa 3 a menos que haya una razón convincente de lo contrario. ¹ Esas razones pueden incluir preferencias religiosas dentro de su personal / gestión, menor familiaridad con las configuraciones de capa 3, etc.

Esto es un poco difícil ya que hay ventajas y desventajas en ambos enfoques. En mi vida anterior, donde mis deberes laborales implicaban mucha más administración de redes en lugar de administración del sistema, teníamos quizás dos docenas de sitios dentro de un área geográfica de 12 millas de ancho. Aproximadamente la mitad de estos sitios se configuraron como sitios separados de Layer-3 que se enrutaron de regreso a la oficina principal y la otra mitad se configuró como sitios de "Layer-2" (es decir, simplemente extendimos la VLAN a ese sitio).

Las ventajas de los sitios "Layer-2" eran que eran mucho más simples de configurar y mantener; sin necesidad de enrutadores, sin actualizar nuestras rutas estáticas, sin relé DHCP, sin configuración de VLAN por separado, etc. Las principales desventajas que experimenté fueron no técnicas, cosas como que es mucho más difícil localizar un servidor DHCP falso cuando su dominio de transmisión está en 12 edificios diferentes, cada uno a unas pocas millas de distancia. Muchas tareas administrativas se vuelven más difíciles cuando carece de la compartimentación de red de diferentes sitios, cosas como diferentes reglas de firewall para Office A y Office B pero no Office C son difíciles cuando todos comparten la misma VLAN / Subred. Supongo que también podría encontrarse con un problema con las transmisiones dependiendo de cuántos dispositivos tenga, pero con la tecnología de conmutación de hoy en día,

Las ventajas de los sitios "Layer-3" son bastante opuestas a las de los sitios "Layer-2". Obtiene compartimentación, puede escribir reglas de firewall por sitio y sabe en qué edificio particular se encuentra ese maldito router Linksys. Las desventajas son obviamente el equipo requerido para realizar el enrutamiento y la configuración y mantenimiento necesarios. Los protocolos de enrutamiento dinámico y cosas como VTP (¡si se atreve a usarlo!) Pueden aliviar la carga de la configuración si su red es adecuadamente compleja.

Mi respuesta sin respuesta: no compartimentar innecesariamente (es decir, resistir la tentación de ser demasiado inteligente), pero no permita que la solución fácil a corto plazo gane donde tenga más sentido tener VLAN / subredes separadas. Como alguien que ha perseguido mi parte de los servidores DHCP de Rogue de Linksys ... er "Enrutadores" ... Creo que existe un fuerte argumento para una VLAN / Subred por diseño de red del edificio simplemente para limitar el daño que estas configuraciones erróneas pueden hacer. Por otro lado, si solo tiene dos sitios y están justo al lado, tal vez tenga sentido que compartan la misma VLAN / Subred.

Como muchos han dicho, hay lados buenos y menos buenos tanto para L2 como para la solución L3. He sido empleado de una compañía telefónica anteriormente y también he estado ayudando a redes más pequeñas a comenzar.

Las soluciones L2 son más fáciles de entender y más baratas si todo funciona. La parte de las obras generalmente se arruina cuando alguien vuelve a conectar un cable que creía que se había desconectado accidentalmente. La protección de bucle y el árbol de expansión pueden ser útiles, pero lo más probable es que causen más daños que los de uso.

Las soluciones L3, en mi experiencia, han sido más difíciles de entender por las partes a las que he ayudado. El costo también puede convertirse en un problema si el hardware y el software tienen que ser respaldados por un fabricante. Linux en una máquina x86 es un enrutador muy rentable y lleno de funciones.

Los beneficios de una solución L3 es que los bucles y otras transmisiones están contenidos en un dominio mucho más pequeño. El mejor ejemplo es que si alguien crea accidentalmente un bucle en una de las sucursales enrutadas múltiples, solo esa oficina desaparece mientras que otros pueden continuar trabajando.

Yo votaría por una solución enrutada L3, principalmente debido a los dominios de transmisión más pequeños, pero también porque el tráfico puede priorizarse y protegerse con facilidad. Si alguien necesita conexiones L2, puede hacer un túnel a través de la red enrutada e incluso cifrar el tráfico por su cuenta si lo desea.

Recomendaría los interruptores de capa 3 que se enrutarán a la velocidad lan. Si tiene una buena fibra, podría ejecutar una red gigabit a través de su fibra con dichos dispositivos y aún beneficiarse de la ventaja de una red enrutada (dominio de difusión reducido, listas de acceso, etc.).

Creo que el enrutamiento es la mejor opción. Toda su red se bloqueará si la fibra se rompe. Y el enrutamiento con conmutadores de capa 3 (conmutación de capa 3) es rápido como la conmutación de capa 2 si usa CEF o algo así.