|
|
Страница 1 из 1
|
[ Сообщений: 8 ] |
|
Связать филиалы через L2 провайдера. Стоит ли?
Автор |
Сообщение |
vadim
Зарегистрирован: 10 июн 2021, 20:04 Сообщения: 9
|
Добрый день! Имеется около 10 филиалов. Каждая площадка подключена к Интернет через 2-ух провайдеров. Крупный провайдер предлагает связать все наши офисы через L2. Вопрос резервирования последней мили также предлагает решить, договорившись с 2-умя местными провайдерами, арендовав у них уже имеющиеся оптические линии. Плюсы решения вижу следующие: 1. Связь офисов через L2 позволит защититься от DDoS-атак, в частности от перелива канала. 2. Шифрованием трафика будет заниматься провайдер - экономия средств на криптографическом оборудовании. 3. Экономия на организации сложной структуры DMVPN. 4. Упрощение взаимодействия с поставщиком связи, так как он остается один.
Стоит ли полагаться только на одного провайдера? Какие есть минусы данного решения? Есть ли какие best practices? Отсутствие связи критично для технологических процессов. L2 рассматриваем прежде всего из-за желания защититься от DDoS-атак. Лучшей альтернативой мне видится схема DMVPN, когда каждый spoke одним линком подключен к L2 и получает "чистый" трафик, а второй линк зарезервирован через обычный public Интернет. Схема во вложении. Спасибо!
Вложения:
dia.jpg [ 97.64 КБ | Просмотров: 2174 ]
|
23 дек 2022, 10:23 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
А какой выигрыш от L2 в вашем конкретном случае? Какой-то гипотетический "перелив" трафика? Кстати, что это? Я бы не полагался на одного оператора. DMVPN - не сложно. Я бы не отдавал шифрование провайдеру.
|
28 дек 2022, 02:09 |
|
|
vadim
Зарегистрирован: 10 июн 2021, 20:04 Сообщения: 9
|
Black Fox писал(а): А какой выигрыш от L2 в вашем конкретном случае? Какой-то гипотетический "перелив" трафика? Кстати, что это? Я бы не полагался на одного оператора. DMVPN - не сложно. Я бы не отдавал шифрование провайдеру. Black Fox, добрый день! Спасибо за ответ! "Перелив" канала - имеется ввиду атаки, направленные на превышение пропускной способности канала (тарифного ограничения) паразитным трафиком.
|
28 дек 2022, 14:14 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
Так этот "перелив" может же быть как на L2 каналах, так и на L3.
|
29 дек 2022, 11:28 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
Black Fox писал(а): Так этот "перелив" может же быть как на L2 каналах, так и на L3. Очевидно, что речь про L2 VPN. VPLS какой-нибудь или просто выделенный VLAN на свитчах. На нем DDoS канала невозможен, т.к. сеть закрытая. To TS: А что за контора такая, которой пофигу на шифрование? При 10 филиалах то. Госы какие-нибудь? DMVPN можно оставить как резерв через public Internet. А на L2 канале включить MACsec и MKA, он умеет в point-to-multipoint. (Или не включать, если шифрование не критично.) И сделать обычный роутинг через backbone сегмент, не заморачиваясь с point-to-point линками. MACsec and MKA Configuration Guide, Cisco IOS XE 17 https://www.cisco.com/c/en/us/td/docs/i ... -book.html
_________________ Knowledge is Power
|
30 дек 2022, 02:30 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
Так и на L3 сеть же может быть закрытая? Провайдеру никто не мешаем сделать у себя L3VPN over MPLS и продавать клиентам L3 связность.
|
05 янв 2023, 01:38 |
|
|
vadim
Зарегистрирован: 10 июн 2021, 20:04 Сообщения: 9
|
Silent_D писал(а): Black Fox писал(а): Так этот "перелив" может же быть как на L2 каналах, так и на L3. Очевидно, что речь про L2 VPN. VPLS какой-нибудь или просто выделенный VLAN на свитчах. На нем DDoS канала невозможен, т.к. сеть закрытая. To TS: А что за контора такая, которой пофигу на шифрование? При 10 филиалах то. Госы какие-нибудь? DMVPN можно оставить как резерв через public Internet. А на L2 канале включить MACsec и MKA, он умеет в point-to-multipoint. (Или не включать, если шифрование не критично.) И сделать обычный роутинг через backbone сегмент, не заморачиваясь с point-to-point линками. MACsec and MKA Configuration Guide, Cisco IOS XE 17 https://www.cisco.com/c/en/us/td/docs/i ... -book.htmlДобрый день! "MACsec и MKA" -спасибо, не встречался с этой технологией. Поизучаю. "И сделать обычный роутинг через backbone сегмент, не заморачиваясь с point-to-point линками." А можно по подробнее? Имеете ввиду слать трафик между филиалами через центральный офис? И еще правильно ли я понимаю, что в данной схеме в случае "поломки" L2VPN-канала в одном из филиалов, переключиться на dmvpn должна будет вся структура? То есть, невозможно чтобы в части филиалов была задействована связность L2VPN, а в части DMVPN?
|
18 янв 2023, 15:10 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
vadim писал(а): И еще правильно ли я понимаю, что в данной схеме в случае "поломки" L2VPN-канала в одном из филиалов, переключиться на dmvpn должна будет вся структура? То есть, невозможно чтобы в части филиалов была задействована связность L2VPN, а в части DMVPN? Тут уже всё зависит от того, как Вы роутинг сделаете. Да, вполне может быть, что кто-то к кому-то ходит через DMVPN, хотя остальные пользуются L2VPN...
|
18 янв 2023, 15:15 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 8 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 22 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|