通过光纤连接远程站点:第 2 层 VLAN 还是第 3 层路由?

通过光纤连接远程站点:第 2 层 VLAN 还是第 3 层路由?

大家好,

在过去,当你有两个地理上分开的站点时,链接会非常受限,所以我们在它们上面放置路由器,然后在每个站点的 IP 子网之间进行“路由”。这是当时的最佳做法。

现在我们在两个地理上分开的站点之间有一条光纤束。这是我们自己“拥有”的光纤,因此中间商不是问题。测试表明,该束可以毫无问题地处理多 GB 流量。此外,光纤环包括多个冗余,包括单独的物理路径。一切都很好。

鉴于此,在远程站点之间使用路由和不同的子网是否仍被视为“最佳实践”?或者我们可以将“本地”(主站点)网络与主站点 VLAN 一起扩展到远程站点吗?这是否仍被视为次优甚至不好的做法?更重要的是,有什么理由不这样做?(除此之外,我理解“反铲中断”问题;单独的物理路径有望处理这种意外情况)。

其他想法?

谢谢!

答案1

现在我们在两个地理上分开的站点之间有一根光纤束。这是我们自己“拥有”的光纤,所以中间人不是问题……此外,光纤环包括多个冗余,包括单独的物理路径。一切都很好。

鉴于此,在远程站点之间使用路由和不同的子网是否仍被视为“最佳实践”?或者我们可以将“本地”(主站点)网络与主站点 VLAN 一起扩展到远程站点吗?这是否仍被视为次优甚至不好的做法?更重要的是,有什么理由不这样做?(除此之外,我理解“反铲中断”问题;单独的物理路径有望处理这种意外情况)。

首先,在这种情况下,不存在所谓的最佳实践。诸如第 2 层/第 3 层站点互连之类的总体设计细节是由业务需求、预算、员工能力、您的偏好以及您的供应商的功能集决定的。

尽管我热衷于在数据中心之间移动虚拟机实例(使用数据中心之间的第 2 层互连要容易得多),但我个人仍然尝试在第 3 层连接建筑物,因为第 3 层链接通常意味着:

  1. 降低运营成本并缩短问题解决时间。绝大多数网络故障排除诊断都基于 IP 服务。例如,地铁仅具有第 3 层可见性。因此,当您发现数据包丢失时,无论是由于拥塞还是链路错误,第 3 层跳转都更容易修复。当您处理多路径问题时,第 3 层也更容易诊断(例如与非第 3 层多路径(如 LACP)相比)。最后,当您可以直接跟踪路由到边缘交换机时,找到服务器或 PC 的位置要容易得多。

  2. 较小的广播/泛洪域。如果你有ARP/CAM 计时器不匹配,您容易受到未知单播泛洪的攻击。此问题的修复方法是众所周知的,但我看到的大多数网络从不费心正确匹配 ARP 和 CAM 计时器。最终结果?第 2 层域内出现更多流量爆发和泛洪……如果您通过建筑物间第 2 层链路进行泛洪,那么您就会淹没自然网络拥塞点。

  3. 更容易部署防火墙/ACL/QoS……所有这些虽然它们在第 2 层工作,但它们往往在第 3 层工作得更好(因为供应商/标准机构在过去 20 年中至少花了 15 年的时间来构建优先于第 3 层的供应商功能集)。

  4. 更少的生成树。MSTP/RSTP 使生成树更容易被接受,但所有类型的 STP 仍然归结为那种讨厌的协议,当您在 STP 阻塞链路上丢弃 BPDU 时,该协议喜欢向错误的方向泛洪广播。什么时候会发生这种情况?严重拥塞、不稳定的收发器、单向链路(无论出于何种原因,包括人为原因)或正在运行且存在错误的链路。

这是否意味着在建筑物之间部署第 2 层是不好的?完全不是……这实际上取决于您的情况/预算/员工偏好。但是,除非有令人信服的理由,否则我会选择第 3 层链接。1这些 原因可能包括您的员工/管理层的宗教偏好、对第 3 层配置的熟悉程度较低等……


1如果有人想知道当数据中心之间存在第 3 层链路时我如何处理第 2 层数据中心互连,那么如果没有 Nexus 设备,我更喜欢 EoMPLS 伪线。从理论上讲,如果我有 Nexus,OTV 似乎是一个候选方案,但我个人还没有尝试过。总之,当需要时,有一些解决方案可以通过第 3 层隧道传输第 2 层。

答案2

这是一个棘手的问题,因为这两种方法各有利弊。在我以前的工作中,我的工作职责更多地涉及网络管理而不是系统管理,我们在 12 英里宽的地理区域内可能有二十多个站点。其中大约一半的站点配置为单独的第 3 层站点,路由回总部,另一半配置为“第 2 层”站点(即,我们只是将 VLAN 扩展到该站点)。

“第 2 层”站点的优点是设置和维护起来要简单得多;不需要路由器,不需要更新静态路由,不需要 DHCP 中继,不需要单独的 VLAN 配置等等。我遇到的主要缺点是非技术性的,比如当您的广播域位于 12 栋相距几英里的不同建筑物中时,定位恶意 DHCP 服务器就困难得多。当您缺乏不同站点的网络划分时,许多管理任务会变得更加棘手,例如,当办公室 A 和办公室 B 共享相同的 VLAN/子网时,为办公室 C 设置不同的防火墙规则会变得困难。我想您还可能会遇到广播问题,这取决于您拥有多少设备,但以当今的交换技术,您可以在广播域中塞入惊人数量的主机,然后才会真正成为问题。

“第 3 层”站点的优势与“第 2 层”站点的优势完全相反。您可以进行分区,可以编写每个站点的防火墙规则,并且知道该死的 Linksys 路由器位于哪栋特定的建筑物中。缺点显然是进行路由所需的设备以及必要的配置和维护。如果您的网络足够复杂,动态路由协议和 VTP 之类的东西(如果您敢使用它!)可以减轻配置负担。

我的非答案答案是:不要不必要地划分区域(即抵制过于聪明的诱惑),但不要让短期的简单解决方案胜出,因为更有意义的是拥有单独的 VLAN/子网。作为一个追查过 Linksys Rogue DHCP 服务器份额的人……呃“路由器”……我认为,每栋建筑网络设计一个 VLAN/子网是很有道理的,只是为了限制这些错误配置可以。另一方面,如果您只有两个站点,而且它们就在隔壁,那么让它们共享相同的 VLAN/子网也许确实有意义。

答案3

正如许多人所说,L2 和 L3 解决方案都有好的一面和不好的一面。我之前曾在一家电话公司工作过,也一直在帮助小型网络起步。

如果一切正常,L2 解决方案更容易理解且更便宜。工作部分通常被某人重新连接他们认为意外断开的电缆所破坏。环路保护和生成树可能有用,但很可能造成的危害大于用处。

根据我的经验,我帮助过的各方都很难理解 L3 解决方案。如果硬件和软件必须由制造商提供支持,成本也可能成为一个问题。x86 机器上的 Linux 是一款非常经济高效且功能齐全的路由器。

L3 解决方案的好处是,环路和其他广播都包含在一个更小的域中。最好的例子是,如果有人在多个路由分支机构中的一个意外创建了一个环路,那么只有该分支机构会消失,而其他分支机构可以继续工作。

我会投票支持 L3 路由解决方案,主要是因为广播域较小,而且流量可以轻松优先处理和防火墙保护。如果有人需要 L2 连接,他们可以通过路由网络进行隧道传输,甚至可以自行加密流量(如果他们愿意的话)。

答案4

我认为,路由是最佳选择。如果光纤断了,整个网络就会崩溃。如果您使用 CEF 或类似的东西,使用第 3 层交换机(第 3 层交换)的路由速度与第 2 层交换一样快。

相关内容