问候大家,
回到过去,当您有两个地理上分开的站点时,链接非常狭窄,因此我们在它们上面放置了路由器,并且在每个站点的 ip 子网之间“路由”。这是当时的最佳做法。
现在我们在两个地理上分开的站点之间有了一个光纤束。这是我们自己的“自有”光纤,因此无需担心中间商。测试表明该捆绑包可以毫无问题地处理数 GB 的流量。此外,光纤环包括多个冗余,包括单独的物理路径。一切都很好。
鉴于此,在远程站点之间使用路由和不同子网是否仍被视为“最佳实践”?或者我们可以将我们的“本地”(主站点)网络与主站点 vlan 一起扩展到远程站点吗?这仍然被认为是次优甚至不好的做法吗?更重要的是,有什么理由不这样做吗?(另外,我理解“反铲中断”问题;预计单独的物理路径可以处理这种意外情况)。
其他想法?
谢谢!
Thi*_*his 10
现在我们在两个地理上分开的站点之间有了一个光纤束。这是我们自己的“自有”光纤,因此无需担心中间人...此外,光纤环包括多个冗余,包括单独的物理路径。一切都很好。
鉴于此,在远程站点之间使用路由和不同子网是否仍被视为“最佳实践”?或者我们可以将我们的“本地”(主站点)网络与主站点 vlan 一起扩展到远程站点吗?这仍然被认为是次优甚至不好的做法吗?更重要的是,有什么理由不这样做吗?(另外,我理解“反铲中断”问题;预计单独的物理路径可以处理这种意外情况)。
首先,在这种情况下没有最佳实践之类的东西。诸如第 2 层/第 3 层站点互连之类的全局设计细节由业务需求、预算、员工能力、偏好和供应商的功能集驱动。
即使非常喜欢在数据中心之间移动 VM 实例(数据中心之间的第 2 层互连更容易),我个人仍然尝试在第 3 层连接建筑物,因为第 3 层链接通常意味着:
降低运营成本并缩短解决问题的时间。绝大多数网络故障诊断都是基于 IP 服务的。例如,mtr只有 layer3 可见性。因此,当您发现丢包时,无论是由于拥塞还是链路错误,都更容易修复第 3 层跃点。当您处理多路径问题时,第 3 层也更容易诊断(例如与非第 3 层多路径(如 LACP)相比)。最后,当您可以跟踪路由直接到边缘交换机时,更容易找到服务器或 PC 的位置。
较小的广播/泛洪域。如果您的ARP/CAM 计时器不匹配,您很容易受到未知单播泛洪的影响。对此的修复是众所周知的,但我看到的大多数网络从不费心正确匹配 ARP 和 CAM 计时器。最终结果?在第 2 层域内出现更多流量突发和泛洪……如果您通过建筑物间的第 2 层链路泛洪,就会泛滥自然网络拥塞点。
更容易部署防火墙/ACL/QoS……所有这些东西都可以在第 2 层工作,但它们往往在第 3 层工作得更好(因为供应商/标准机构在过去 20 年中至少花了 15 年的时间来构建更喜欢第 3 层的供应商功能集) .
更少的生成树。MSTP / RSTP 使生成树更容易被接受,但所有 STP 风格仍然归结为那种讨厌的协议,当您在 STP 阻塞链路上丢弃 BPDU 时,该协议喜欢泛滥广播错误的方向。什么时候会发生?严重拥塞、不稳定的收发器、单向链接(无论出于何种原因,包括人为原因),或运行时出现错误的链接。
这是否意味着在建筑物之间部署 layer2 不好?完全没有...这真的取决于您的情况/预算/员工偏好。但是,除非有令人信服的理由,否则我会使用 layer3 链接。1 这些原因可能包括您的员工/管理人员的宗教偏好、对 layer3 配置的熟悉程度较低等...
小智 8
这是一种艰难的方法,因为这两种方法都有优点和缺点。在我以前的生活中,我的工作职责涉及更多的网络管理而不是系统管理,我们在 12 英里宽的地理区域内可能有两打站点。这些站点中约有一半配置为路由回总部的单独第 3 层站点,另一半配置为“第 2 层”站点(即,我们只是将 VLAN 扩展到该站点)。
“第 2 层”站点的优点是它们的设置和维护要简单得多;不需要路由器,不需要更新我们的静态路由,不需要 DHCP 中继,不需要单独的 VLAN 配置等等。我遇到的主要缺点是非技术性的,比如当您的广播域位于 12 座不同的建筑物中,每座建筑物相距几英里时,就很难找到流氓 DHCP 服务器。当您缺乏不同站点的网络划分时,许多管理任务会变得更加棘手,例如办公室 A 和办公室 B 的不同防火墙规则,而不是办公室 C,当它们共享相同的 VLAN/子网时就变得困难。我想你也可能会遇到广播问题,这取决于你有多少设备,但今天的交换技术就是这样,
“第 3 层”站点的优势与“第 2 层”站点几乎相反。您可以进行分区,您可以编写每个站点的防火墙规则,并且您知道该死的 Linksys 路由器所在的特定建筑物。缺点显然是进行路由所需的设备以及必要的配置和维护。如果您的网络相当复杂,动态路由协议和 VTP 之类的东西(如果您敢使用它!)可以减轻配置负担。
我的答案是:不要进行不必要的划分(即,抵制过于聪明的诱惑),但不要让短期简单的解决方案胜出,因为拥有单独的 VLAN/子网更有意义。作为追逐我的 Linksys 流氓 DHCP 服务器份额的人......呃“路由器”......我认为每个建筑网络设计有一个 VLAN/子网只是为了限制这些错误配置可能造成的损害。另一方面,如果您只有两个站点并且它们就在隔壁,那么它们共享相同的 VLAN/子网可能是有意义的。