通过光纤连接远程站点：第2层VLAN或第3层路由？

欢迎大家，

过去，当您有两个地理位置分散的站点时，链接非常狭窄，因此我们在它们上放置了路由器，并且在每个站点的ip子网之间进行了“路由”。那是当时的最佳做法。

现在，我们在两个地理位置分开的站点之间有了光纤束。这是我们自己的“自有”光纤，因此无需担心中间商。测试表明该捆绑包可以毫无问题地处理数千兆字节的流量。另外，光纤环具有多个冗余，包括单独的物理路径。一切都很好。

鉴于此，在远程站点之间使用路由和不同的子网是否仍被视为“最佳实践”？还是我们可以将“本地”（主站点）网络与主站点VLAN一起扩展到远程站点？这仍然被认为是次优甚至不好的做法吗？更重要的是，有什么理由不这样做吗？（此外，我了解“反铲中断”问题；预计单独的物理路径可以处理这种情况）。

其他想法？

谢谢！

现在，我们在两个地理位置分开的站点之间有了光纤束。它是我们自己的“自有”光纤，因此无需担心中间人……此外，光纤环还包括多个冗余，包括单独的物理路径。一切都很好。

鉴于此，在远程站点之间使用路由和不同的子网是否仍被视为“最佳实践”？还是我们可以将“本地”（主站点）网络与主站点VLAN一起扩展到远程站点？这仍然被认为是次优甚至不好的做法吗？更重要的是，有什么理由不这样做吗？（此外，我了解“反铲中断”问题；预计单独的物理路径可以处理这种情况）。

首先，在这种情况下没有最佳实践。大的设计细节（例如，第2层/第3层站点互连）取决于业务需求，预算，员工的能力，您的偏好和供应商的功能集。

即使热爱在数据中心之间移动VM实例（使用数据中心之间的Layer2互连要容易得多），我个人仍然尝试在Layer3上连接建筑物，因为Layer3链接通常意味着：

1. 降低运营支出，缩短问题解决时间。绝大多数网络故障排除诊断均基于IP服务。例如，mtr仅具有layer3可见性。因此，当您发现由于链路拥塞或错误而导致丢包时，layer3跃点更容易修复。在处理多路径问题时，Layer3也更容易诊断（例如，与非Layer3多路径（例如LACP）相比）。最后，当您可以直接路由到边缘交换机时，更容易找到服务器或PC的位置。

2. 较小的广播/泛洪域。如果您的ARP / CAM计时器不匹配，则很容易遭受未知的单播洪泛。解决方法是众所周知的，但是我看到的大多数网络都永远不会打扰正确匹配ARP和CAM计时器。最终结果？第2层域内的流量激增和洪水泛滥...如果您通过建筑物间的第2层链路进行泛洪，则将泛滥自然网络拥塞点。

3. 部署防火墙/ ACL / QoS更容易...所有这些东西都可以在第2层工作，但它们在第3层工作得更好（因为供应商/标准机构在过去20年中至少花费了15年的时间来构建供应商功能集，而首选第3层） 。

4. 较少的生成树。MSTP / RSTP使生成树的容忍度大大提高，但是所有STP风格都归结为那种讨厌的协议，当您在STP阻塞链路上丢弃BPDU时，它喜欢泛滥广播错误的方向。什么时候会发生？严重的拥塞，易碎的收发器，单向链接（无论出于何种原因，包括人为原因），或者正在运行但有错误的链接。

这是否意味着在建筑物之间部署第2层很不好？完全没有……这实际上取决于您的情况/预算/员工偏好。但是，除非另有理由，否则我将使用layer3链接。¹ 这些原因可能包括您的员工/ mgmt中的宗教偏好，对layer3配置的较低了解等。

这是一个艰难的过程，因为两种方法都有优点和缺点。在我以前的工作中，我的工作职责涉及更多的网络管理而不是系统管理，我们在12英里宽的地理区域内可能有两个站点。这些站点中大约有一半配置为单独的第3层站点，这些站点路由回总公司，另一半则配置为“第2层”站点（即，我们只是将VLAN扩展到了该站点）。

“第2层”站点的优势在于它们的设置和维护更加简单；无需路由器，无需更新静态路由，无需DHCP中继，无需单独的VLAN配置等等。我遇到的主要缺点是非技术性的，例如，当广播域位于相距数英里的12个不​​同建筑物中时，定位流氓DHCP服务器要困难得多。当您缺少不同站点的网络分隔时，许多管理任务会变得棘手，当它们共享相同的VLAN /子网时，诸如Office A和Office B而不是Office C的不同防火墙规则之类的事情就很难了。我想您还可能会遇到广播问题，具体取决于您拥有多少设备，而今天的交换技术是什么，

“第3层”站点的优势与“第2层”站点的优势几乎相反。您可以进行分区，可以编写每个站点的防火墙规则，并且知道该死的Linksys Router位于哪个特定建筑物中。缺点显然是进行路由所需的设备以及必要的配置和维护。如果您的网络相当复杂，则动态路由协议和VTP之类的东西（如果您敢使用它的话）可以减轻配置负担。

我的无答案的答案：不要不必要地进行分隔（即，抵制过于聪明的诱惑），但不要让短期轻松的解决方案胜出，因为在单独的VLAN /子网更有意义的地方。作为追逐了我的Linksys Rogue DHCP服务器……“路由器”……份额的人，我认为每个建筑网络设计一个VLAN /子网的强烈理由仅仅是为了限制这些错误配置可能造成的损害。另一方面，如果您只有两个站点并且它们就在隔壁，那么对于它们来说，共享相同的VLAN /子网确实很有意义。

正如许多人所说，L2和L3解决方案都有好的和坏的一面。较早之前，我曾在一家电话公司工作过，我还一直在帮助小型网络入门。

如果一切正常，那么L2解决方案将更易于理解且价格更低廉。工程部分通常由于有人重新连接他们认为意外断开的电缆而损坏。可能使用了环路保护和生成树，但最有可能造成的危害大于使用。

以我的经验，我所帮助的各方对L3解决方案的理解更加困难。如果硬件和软件必须由制造商支持，则成本也可能成为问题。x86机器上的Linux是非常经济高效且功能丰富的路由器。

L3解决方案的好处是循环和其他广播都包含在一个较小的域中。最好的例子是，如果某人在多个路由分支机构之一中意外创建了一个环路，则只有那个办公室消失而其他人可以继续工作。

我之所以投票支持L3路由解决方案，主要是因为广播域较小，而且还因为可以轻松确定流量的优先级和防火墙。如果某人需要L2连接，则他们可以通过路由网络建立隧道，甚至可以根据需要自己加密流量。

我建议第3层交换机以lan速度路由。如果您拥有良好的光纤，则可以使用此类设备在光纤上运行千兆位网络，并且仍然可以受益于路由网络的优势（减少的广播域，访问列表等）。

我认为，路由是最佳选择。如果光纤断开，您的整个网络将崩溃。如果使用CEF或类似方法，则使用第3层交换机（第3层交换）的路由与第2层交换一样快。