Добрый день!
Имеется около 10 филиалов. Каждая площадка подключена к Интернет через 2-ух провайдеров.
Крупный провайдер предлагает связать все наши офисы через L2. Вопрос резервирования последней мили также предлагает решить, договорившись с 2-умя местными провайдерами, арендовав у них уже имеющиеся оптические линии.
Плюсы решения вижу следующие:
1. Связь офисов через L2 позволит защититься от DDoS-атак, в частности от перелива канала.
2. Шифрованием трафика будет заниматься провайдер - экономия средств на криптографическом оборудовании.
3. Экономия на организации сложной структуры DMVPN.
4. Упрощение взаимодействия с поставщиком связи, так как он остается один.

Стоит ли полагаться только на одного провайдера? Какие есть минусы данного решения? Есть ли какие best practices?
Отсутствие связи критично для технологических процессов. L2 рассматриваем прежде всего из-за желания защититься от DDoS-атак.
Лучшей альтернативой мне видится схема DMVPN, когда каждый spoke одним линком подключен к L2 и получает "чистый" трафик, а второй линк зарезервирован через обычный public Интернет.
Схема во вложении. Спасибо!

А какой выигрыш от L2 в вашем конкретном случае? Какой-то гипотетический "перелив" трафика? Кстати, что это?
Я бы не полагался на одного оператора. DMVPN - не сложно. Я бы не отдавал шифрование провайдеру.

Black Fox, добрый день! Спасибо за ответ! "Перелив" канала - имеется ввиду атаки, направленные на превышение пропускной способности канала (тарифного ограничения) паразитным трафиком.

Так этот "перелив" может же быть как на L2 каналах, так и на L3.

Очевидно, что речь про L2 VPN. VPLS какой-нибудь или просто выделенный VLAN на свитчах.
На нем DDoS канала невозможен, т.к. сеть закрытая.

To TS:
А что за контора такая, которой пофигу на шифрование? При 10 филиалах то.
Госы какие-нибудь?

DMVPN можно оставить как резерв через public Internet.
А на L2 канале включить MACsec и MKA, он умеет в point-to-multipoint.
(Или не включать, если шифрование не критично.)
И сделать обычный роутинг через backbone сегмент, не заморачиваясь с point-to-point линками.

MACsec and MKA Configuration Guide, Cisco IOS XE 17
https://www.cisco.com/c/en/us/td/docs/i ... -book.html

Так и на L3 сеть же может быть закрытая? Провайдеру никто не мешаем сделать у себя L3VPN over MPLS и продавать клиентам L3 связность.

Добрый день!
"MACsec и MKA" -спасибо, не встречался с этой технологией. Поизучаю.
"И сделать обычный роутинг через backbone сегмент, не заморачиваясь с point-to-point линками."
А можно по подробнее? Имеете ввиду слать трафик между филиалами через центральный офис?
И еще правильно ли я понимаю, что в данной схеме в случае "поломки" L2VPN-канала в одном из филиалов, переключиться на dmvpn должна будет вся структура? То есть, невозможно чтобы в части филиалов была задействована связность L2VPN, а в части DMVPN?

Тут уже всё зависит от того, как Вы роутинг сделаете. Да, вполне может быть, что кто-то к кому-то ходит через DMVPN, хотя остальные пользуются L2VPN...