menghubungkan situs remote melalui fiber: layer 2 vlan atau routing layer 3?

Salam semuanya,

Kembali di masa lalu, ketika Anda memiliki dua situs yang terpisah secara geografis, tautannya sangat terbatas sehingga kami menempatkan perute di sana dan, yah, 'dialihkan' antara ip subnet-per-situs. Itu praktik terbaik saat itu.

Sekarang kami memiliki bundel serat antara dua situs yang terpisah secara geografis. Ini serat milik kami sendiri sehingga perantara tidak perlu khawatir. Pengujian menunjukkan bahwa bundel dapat menangani lalu lintas multi-gigabyte tanpa masalah. Selain itu, cincin serat telah memasukkan banyak redudansi termasuk jalur fisik yang terpisah. Semua baik dan bagus.

Mengingat hal ini, apakah masih dianggap 'praktik terbaik' untuk menggunakan perutean dan subnet yang berbeda antara situs jarak jauh? Atau bisakah kita memperluas jaringan 'lokal' (situs utama) kami ke situs jarak jauh bersama dengan situs utama vlan? Apakah itu masih dianggap praktik yang suboptimal atau bahkan buruk? Lebih tepatnya, apakah ada alasan untuk tidak melakukannya? (Selain itu, saya memahami masalah 'interupsi backhoe'; jalur fisik yang terpisah diharapkan untuk menangani kemungkinan itu).

Pikiran lain?

Terima kasih!

Sekarang kami memiliki bundel serat antara dua situs yang terpisah secara geografis. Ini adalah serat 'milik' kita sendiri sehingga perantara tidak perlu khawatir ... Selain itu, cincin serat telah memasukkan banyak redudansi termasuk jalur fisik terpisah. Semua baik dan bagus.

Mengingat hal ini, apakah masih dianggap 'praktik terbaik' untuk menggunakan perutean dan subnet yang berbeda antara situs jarak jauh? Atau bisakah kita memperluas jaringan 'lokal' (situs utama) kami ke situs jarak jauh bersama dengan situs utama vlan? Apakah itu masih dianggap praktik yang suboptimal atau bahkan buruk? Lebih tepatnya, apakah ada alasan untuk tidak melakukannya? (Selain itu, saya memahami masalah 'interupsi backhoe'; jalur fisik yang terpisah diharapkan untuk menangani kemungkinan itu).

Pertama, tidak ada yang namanya praktik terbaik dalam situasi ini. Detail desain gambar besar seperti interkoneksi situs layer2 / layer3 didorong oleh kebutuhan bisnis, anggaran, kemampuan staf Anda, preferensi Anda, dan set fitur vendor Anda.

Bahkan dengan semua kecintaan untuk memindahkan instance VM antara pusat data (yang jauh lebih mudah dengan interkoneksi Layer2 antara pusat data), saya pribadi masih mencoba menghubungkan bangunan di layer3, karena tautan layer3 umumnya berarti:

1. Turunkan opex dan waktu yang lebih rendah untuk resolusi masalah Sebagian besar diagnosa pemecahan masalah jaringan didasarkan pada layanan IP. Sebagai contoh, mtr hanya memiliki visibilitas layer3. Dengan demikian, hop layer3 jauh lebih mudah untuk diperbaiki ketika Anda menemukan tetes paket, baik karena kemacetan atau kesalahan pada tautan. Layer3 juga lebih mudah didiagnosis ketika Anda berurusan dengan masalah multipath (dibandingkan misalnya dengan multipath non-layer3 seperti LACP). Akhirnya, lebih mudah untuk menemukan di mana server atau PC berada saat Anda dapat melacak langsung ke sakelar tepi.

2. Domain broadcast / flooding yang lebih kecil. Jika Anda memiliki timer ARP / CAM yang tidak cocok , Anda rentan terhadap banjir unicast yang tidak diketahui. Perbaikan untuk ini sudah diketahui, tetapi sebagian besar jaringan yang saya lihat tidak pernah repot mencocokkan timer ARP dan CAM dengan benar. Hasil akhir? Semakin banyak lalu lintas meledak dan membanjiri domain layer2 ... dan jika Anda membanjiri tautan layer2 antar-bangunan Anda, Anda membanjiri titik-titik kemacetan jaringan alami.

3. Lebih mudah untuk menyebarkan firewall / ACL / QoS ... semua hal ini dapat bekerja di layer2, tetapi mereka cenderung bekerja lebih baik di layer3 (karena vendor / badan standar telah menghabiskan setidaknya 15 dari 20 tahun sebelumnya membangun set fitur vendor lebih memilih layer3) .

4. Pohon spanning kurang. MSTP / RSTP telah membuat spanning-tree jauh lebih dapat ditoleransi, tetapi semua rasa STP masih mendidih pada protokol jahat yang suka membanjiri siaran siaran ke arah yang salah ketika Anda menjatuhkan BPDU pada tautan pemblokiran STP. Kapan itu bisa terjadi? Kemacetan berat, transceiver yang rapuh, tautan yang searah (untuk alasan apa pun, termasuk manusia), atau tautan yang berjalan dengan kesalahan pada mereka.

Apakah ini berarti buruk untuk menggunakan layer2 di antara bangunan? Tidak sama sekali ... itu benar-benar tergantung pada preferensi situasi / anggaran / staf Anda. Namun, saya akan pergi dengan tautan layer3 kecuali ada alasan kuat sebaliknya. ¹ Alasan itu mungkin termasuk preferensi keagamaan dalam staf Anda / mgmt, keakraban yang lebih rendah dengan konfigurasi layer3, dll ...

Ini agak sulit karena ada kelebihan dan kekurangan dari kedua pendekatan tersebut. Dalam kehidupan saya sebelumnya di mana tugas pekerjaan saya melibatkan lebih banyak administrasi jaringan daripada administrasi sistem, kami mungkin memiliki dua lusin situs dalam area geografis seluas 12 mil. Sekitar setengah dari situs-situs ini di mana dikonfigurasi sebagai situs Layer-3 yang terpisah yang dialihkan kembali ke kantor utama dan setengah lainnya dikonfigurasi sebagai situs "Layer-2" (yaitu, kami baru saja memperluas VLAN ke situs itu).

Keuntungan dari situs "Layer-2" adalah bahwa mereka jauh lebih mudah untuk diatur dan dipelihara; tidak diperlukan router, tidak memperbarui rute statis kami, tidak ada DHCP-relay, tidak ada konfigurasi VLAN terpisah dan sebagainya. Kerugian utama yang saya alami adalah non-teknis, hal-hal seperti itu jauh lebih sulit untuk menemukan server DHCP jahat ketika domain siaran Anda berada di 12 bangunan yang berbeda masing-masing terpisah beberapa mil. Banyak tugas administratif menjadi lebih rumit ketika Anda tidak memiliki kompartementalisasi jaringan situs yang berbeda, hal-hal seperti aturan firewall yang berbeda untuk Office A dan Office B tetapi bukan Office C yang sulit ketika mereka semua berbagi VLAN / Subnet yang sama. Saya kira Anda juga bisa mengalami masalah dengan siaran tergantung pada berapa banyak perangkat yang Anda miliki tetapi dengan beralih teknologi saat ini menjadi apa adanya,

Kelebihan dari situs "Layer-3" adalah kebalikan dari situs "Layer-2". Anda mendapatkan kompartementalisasi, Anda dapat menulis aturan firewall per-situs, dan Anda tahu bangunan mana yang menghubungkan Linksys Router. Kelemahannya jelas adalah peralatan yang diperlukan untuk melakukan routing dan konfigurasi serta pemeliharaan yang diperlukan. Protokol routing dinamis dan hal-hal seperti VTP (jika Anda berani menggunakannya!) Dapat meringankan beban konfigurasi jika jaringan Anda cukup kompleks.

Jawaban non-jawaban saya: Jangan memisah-misah secara tidak perlu (yaitu, tahan godaan untuk menjadi terlalu pintar) tetapi jangan biarkan solusi mudah jangka pendek menang di tempat yang lebih masuk akal untuk memiliki VLAN / Subnet yang terpisah. Sebagai seseorang yang mengejar bagian saya dari Server DHCP Linksys Rogue ... eh "Router" ... Saya pikir ada kasus kuat untuk satu VLAN / Subnet per desain jaringan bangunan hanya untuk membatasi kerusakan yang dapat dilakukan konfigurasi yang salah ini. Di sisi lain jika Anda hanya memiliki dua situs dan mereka tepat di sebelah mungkin masuk akal bagi mereka untuk berbagi VLAN / Subnet yang sama.

Seperti yang telah banyak dikatakan, ada sisi baik dan kurang baik untuk solusi L2 dan L3. Saya telah dipekerjakan oleh perusahaan telepon sebelumnya dan saya juga telah membantu jaringan yang lebih kecil untuk memulai.

L2-solusi lebih mudah dipahami dan lebih murah jika semuanya berfungsi. Bagian pekerjaan biasanya rusak oleh seseorang menyambungkan kembali kabel yang mereka pikir telah terputus secara tidak sengaja. Lingkaran perlindungan dan Spanning Tree mungkin berguna tetapi kemungkinan besar akan menyebabkan lebih banyak kerusakan daripada berguna.

Solusi L3, menurut pengalaman saya, lebih sulit dipahami oleh pihak-pihak yang telah saya bantu. Biaya juga dapat menjadi masalah jika perangkat keras dan perangkat lunak harus didukung oleh produsen. Linux pada mesin x86 adalah router yang sangat hemat biaya dan fitur.

Manfaat dari solusi L3 adalah loop dan siaran lainnya terkandung dalam domain yang jauh lebih kecil. Contoh terbaik adalah bahwa jika seseorang secara tidak sengaja membuat loop di salah satu dari beberapa kantor cabang yang dialihkan, hanya kantor itu yang menghilang sementara yang lain dapat terus bekerja.

Saya akan memilih solusi L3-routed, sebagian besar karena domain broadcast yang lebih kecil tetapi juga karena lalu lintas dapat diprioritaskan dan firewall dengan mudah. Jika seseorang membutuhkan koneksi L2, mereka dapat membuat terowongan melalui jaringan yang diarahkan dan bahkan mengenkripsi lalu lintas sendiri jika mereka mau.

Saya akan merekomendasikan switch layer3 yang akan merutekan dengan kecepatan lan. Jika Anda memiliki serat yang baik, Anda dapat menjalankan jaringan gigabit di atas serat Anda dengan perangkat tersebut dan tetap mendapat manfaat dari jaringan yang disalurkan (domain siaran yang dikurangi, daftar akses, dll).

Saya pikir, routing adalah pilihan terbaik. Seluruh jaringan Anda akan macet jika serat menjadi rusak. Dan routing dengan switch layer 3 (switching layer 3) secepat switching layer 2 jika Anda menggunakan CEF atau sesuatu seperti ini.