通过光纤连接远程站点：第 2 层 VLAN 还是第 3 层路由？

Question 1

现在我们在两个地理上分开的站点之间有一根光纤束。这是我们自己“拥有”的光纤，所以中间人不是问题……此外，光纤环包括多个冗余，包括单独的物理路径。一切都很好。

鉴于此，在远程站点之间使用路由和不同的子网是否仍被视为“最佳实践”？或者我们可以将“本地”（主站点）网络与主站点 VLAN 一起扩展到远程站点吗？这是否仍被视为次优甚至不好的做法？更重要的是，有什么理由不这样做？（除此之外，我理解“反铲中断”问题；单独的物理路径有望处理这种意外情况）。

首先，在这种情况下，不存在所谓的最佳实践。诸如第 2 层/第 3 层站点互连之类的总体设计细节是由业务需求、预算、员工能力、您的偏好以及您的供应商的功能集决定的。

尽管我热衷于在数据中心之间移动虚拟机实例（使用数据中心之间的第 2 层互连要容易得多），但我个人仍然尝试在第 3 层连接建筑物，因为第 3 层链接通常意味着：

降低运营成本并缩短问题解决时间。绝大多数网络故障排除诊断都基于 IP 服务。例如，地铁仅具有第 3 层可见性。因此，当您发现数据包丢失时，无论是由于拥塞还是链路错误，第 3 层跳转都更容易修复。当您处理多路径问题时，第 3 层也更容易诊断（例如与非第 3 层多路径（如 LACP）相比）。最后，当您可以直接跟踪路由到边缘交换机时，找到服务器或 PC 的位置要容易得多。
较小的广播/泛洪域。如果你有ARP/CAM 计时器不匹配，您容易受到未知单播泛洪的攻击。此问题的修复方法是众所周知的，但我看到的大多数网络从不费心正确匹配 ARP 和 CAM 计时器。最终结果？第 2 层域内出现更多流量爆发和泛洪……如果您通过建筑物间第 2 层链路进行泛洪，那么您就会淹没自然网络拥塞点。
更容易部署防火墙/ACL/QoS……所有这些能虽然它们在第 2 层工作，但它们往往在第 3 层工作得更好（因为供应商/标准机构在过去 20 年中至少花了 15 年的时间来构建优先于第 3 层的供应商功能集）。
更少的生成树。MSTP/RSTP 使生成树更容易被接受，但所有类型的 STP 仍然归结为那种讨厌的协议，当您在 STP 阻塞链路上丢弃 BPDU 时，该协议喜欢向错误的方向泛洪广播。什么时候会发生这种情况？严重拥塞、不稳定的收发器、单向链路（无论出于何种原因，包括人为原因）或正在运行且存在错误的链路。

这是否意味着在建筑物之间部署第 2 层是不好的？完全不是……这实际上取决于您的情况/预算/员工偏好。但是，除非有令人信服的理由，否则我会选择第 3 层链接。1^这些原因可能包括您的员工/管理层的宗教偏好、对第 3 层配置的熟悉程度较低等……

¹如果有人想知道当数据中心之间存在第 3 层链路时我如何处理第 2 层数据中心互连，那么如果没有 Nexus 设备，我更喜欢 EoMPLS 伪线。从理论上讲，如果我有 Nexus，OTV 似乎是一个候选方案，但我个人还没有尝试过。总之，当需要时，有一些解决方案可以通过第 3 层隧道传输第 2 层。

Answer

现在我们在两个地理上分开的站点之间有一根光纤束。这是我们自己“拥有”的光纤，所以中间人不是问题……此外，光纤环包括多个冗余，包括单独的物理路径。一切都很好。

鉴于此，在远程站点之间使用路由和不同的子网是否仍被视为“最佳实践”？或者我们可以将“本地”（主站点）网络与主站点 VLAN 一起扩展到远程站点吗？这是否仍被视为次优甚至不好的做法？更重要的是，有什么理由不这样做？（除此之外，我理解“反铲中断”问题；单独的物理路径有望处理这种意外情况）。

首先，在这种情况下，不存在所谓的最佳实践。诸如第 2 层/第 3 层站点互连之类的总体设计细节是由业务需求、预算、员工能力、您的偏好以及您的供应商的功能集决定的。

尽管我热衷于在数据中心之间移动虚拟机实例（使用数据中心之间的第 2 层互连要容易得多），但我个人仍然尝试在第 3 层连接建筑物，因为第 3 层链接通常意味着：

降低运营成本并缩短问题解决时间。绝大多数网络故障排除诊断都基于 IP 服务。例如，地铁仅具有第 3 层可见性。因此，当您发现数据包丢失时，无论是由于拥塞还是链路错误，第 3 层跳转都更容易修复。当您处理多路径问题时，第 3 层也更容易诊断（例如与非第 3 层多路径（如 LACP）相比）。最后，当您可以直接跟踪路由到边缘交换机时，找到服务器或 PC 的位置要容易得多。
较小的广播/泛洪域。如果你有ARP/CAM 计时器不匹配，您容易受到未知单播泛洪的攻击。此问题的修复方法是众所周知的，但我看到的大多数网络从不费心正确匹配 ARP 和 CAM 计时器。最终结果？第 2 层域内出现更多流量爆发和泛洪……如果您通过建筑物间第 2 层链路进行泛洪，那么您就会淹没自然网络拥塞点。
更容易部署防火墙/ACL/QoS……所有这些能虽然它们在第 2 层工作，但它们往往在第 3 层工作得更好（因为供应商/标准机构在过去 20 年中至少花了 15 年的时间来构建优先于第 3 层的供应商功能集）。
更少的生成树。MSTP/RSTP 使生成树更容易被接受，但所有类型的 STP 仍然归结为那种讨厌的协议，当您在 STP 阻塞链路上丢弃 BPDU 时，该协议喜欢向错误的方向泛洪广播。什么时候会发生这种情况？严重拥塞、不稳定的收发器、单向链路（无论出于何种原因，包括人为原因）或正在运行且存在错误的链路。

这是否意味着在建筑物之间部署第 2 层是不好的？完全不是……这实际上取决于您的情况/预算/员工偏好。但是，除非有令人信服的理由，否则我会选择第 3 层链接。1^这些原因可能包括您的员工/管理层的宗教偏好、对第 3 层配置的熟悉程度较低等……

¹如果有人想知道当数据中心之间存在第 3 层链路时我如何处理第 2 层数据中心互连，那么如果没有 Nexus 设备，我更喜欢 EoMPLS 伪线。从理论上讲，如果我有 Nexus，OTV 似乎是一个候选方案，但我个人还没有尝试过。总之，当需要时，有一些解决方案可以通过第 3 层隧道传输第 2 层。

Question 2

这是一个棘手的问题，因为这两种方法各有利弊。在我以前的工作中，我的工作职责更多地涉及网络管理而不是系统管理，我们在 12 英里宽的地理区域内可能有二十多个站点。其中大约一半的站点配置为单独的第 3 层站点，路由回总部，另一半配置为“第 2 层”站点（即，我们只是将 VLAN 扩展到该站点）。

“第 2 层”站点的优点是设置和维护起来要简单得多；不需要路由器，不需要更新静态路由，不需要 DHCP 中继，不需要单独的 VLAN 配置等等。我遇到的主要缺点是非技术性的，比如当您的广播域位于 12 栋相距几英里的不同建筑物中时，定位恶意 DHCP 服务器就困难得多。当您缺乏不同站点的网络划分时，许多管理任务会变得更加棘手，例如，当办公室 A 和办公室 B 共享相同的 VLAN/子网时，为办公室 C 设置不同的防火墙规则会变得困难。我想您还可能会遇到广播问题，这取决于您拥有多少设备，但以当今的交换技术，您可以在广播域中塞入惊人数量的主机，然后才会真正成为问题。

“第 3 层”站点的优势与“第 2 层”站点的优势完全相反。您可以进行分区，可以编写每个站点的防火墙规则，并且知道该死的 Linksys 路由器位于哪栋特定的建筑物中。缺点显然是进行路由所需的设备以及必要的配置和维护。如果您的网络足够复杂，动态路由协议和 VTP 之类的东西（如果您敢使用它！）可以减轻配置负担。

我的非答案答案是：不要不必要地划分区域（即抵制过于聪明的诱惑），但不要让短期的简单解决方案胜出，因为更有意义的是拥有单独的 VLAN/子网。作为一个追查过 Linksys Rogue DHCP 服务器份额的人……呃“路由器”……我认为，每栋建筑网络设计一个 VLAN/子网是很有道理的，只是为了限制这些错误配置可以。另一方面，如果您只有两个站点，而且它们就在隔壁，那么让它们共享相同的 VLAN/子网也许确实有意义。

Answer

这是一个棘手的问题，因为这两种方法各有利弊。在我以前的工作中，我的工作职责更多地涉及网络管理而不是系统管理，我们在 12 英里宽的地理区域内可能有二十多个站点。其中大约一半的站点配置为单独的第 3 层站点，路由回总部，另一半配置为“第 2 层”站点（即，我们只是将 VLAN 扩展到该站点）。

“第 2 层”站点的优点是设置和维护起来要简单得多；不需要路由器，不需要更新静态路由，不需要 DHCP 中继，不需要单独的 VLAN 配置等等。我遇到的主要缺点是非技术性的，比如当您的广播域位于 12 栋相距几英里的不同建筑物中时，定位恶意 DHCP 服务器就困难得多。当您缺乏不同站点的网络划分时，许多管理任务会变得更加棘手，例如，当办公室 A 和办公室 B 共享相同的 VLAN/子网时，为办公室 C 设置不同的防火墙规则会变得困难。我想您还可能会遇到广播问题，这取决于您拥有多少设备，但以当今的交换技术，您可以在广播域中塞入惊人数量的主机，然后才会真正成为问题。

“第 3 层”站点的优势与“第 2 层”站点的优势完全相反。您可以进行分区，可以编写每个站点的防火墙规则，并且知道该死的 Linksys 路由器位于哪栋特定的建筑物中。缺点显然是进行路由所需的设备以及必要的配置和维护。如果您的网络足够复杂，动态路由协议和 VTP 之类的东西（如果您敢使用它！）可以减轻配置负担。

我的非答案答案是：不要不必要地划分区域（即抵制过于聪明的诱惑），但不要让短期的简单解决方案胜出，因为更有意义的是拥有单独的 VLAN/子网。作为一个追查过 Linksys Rogue DHCP 服务器份额的人……呃“路由器”……我认为，每栋建筑网络设计一个 VLAN/子网是很有道理的，只是为了限制这些错误配置可以。另一方面，如果您只有两个站点，而且它们就在隔壁，那么让它们共享相同的 VLAN/子网也许确实有意义。

Question 3

正如许多人所说，L2 和 L3 解决方案都有好的一面和不好的一面。我之前曾在一家电话公司工作过，也一直在帮助小型网络起步。

如果一切正常，L2 解决方案更容易理解且更便宜。工作部分通常被某人重新连接他们认为意外断开的电缆所破坏。环路保护和生成树可能有用，但很可能造成的危害大于用处。

根据我的经验，我帮助过的各方都很难理解 L3 解决方案。如果硬件和软件必须由制造商提供支持，成本也可能成为一个问题。x86 机器上的 Linux 是一款非常经济高效且功能齐全的路由器。

L3 解决方案的好处是，环路和其他广播都包含在一个更小的域中。最好的例子是，如果有人在多个路由分支机构中的一个意外创建了一个环路，那么只有该分支机构会消失，而其他分支机构可以继续工作。

我会投票支持 L3 路由解决方案，主要是因为广播域较小，而且流量可以轻松优先处理和防火墙保护。如果有人需要 L2 连接，他们可以通过路由网络进行隧道传输，甚至可以自行加密流量（如果他们愿意的话）。

Answer