Полагаю, под контролем как раз подразумевались политики per-tunnel QoS, ACLы и т.д.
В итоге, они просто сделали VTI IPSec с хабом и всё бегает через него.
Года полтора назад на, скажем, собеседовании мне был задан вопрос: «У нас сеть с более 50 филиалов. Как ты думаешь, почему мы отказались от использования DMVPN».
Поскольку ни тогда (ни сейчас) с технологией я близко знаком не был, ответа, конечно, не дал. Но поинтересовался правильным ответом.
«Потому что с DMVPN я никак не могу контролировать/ограничивать трафик между споками.»
Во-первых, эта статья была про High Level Design сетей кампуса, а не о построении ЦОД, Это уже другая ветка и Вы предлагаете мне вместо автора написать Вам ответ на эти вопросы?
А было бы очень интересно почитать, честное слово. Больше статей по сетям, хороших и разных!
… они не думали о том, что нужно объяснить Вам разницу решений Cisco, Juniper & HP. Не думаю, что это было бы корректно в статье любого вендора вообще.
А можно ли где-нибудь найти подобное сравнение? Или единственный способ — самому штудировать вендорские проспекты? Так там ведь сплошной маркетинг и bullshit bingo, фиг разберёт, кто лучше и чем.
/offtop: Ответьте, пожалуйста, на личное сообщение. :)
Причина уровня агрегации у звезды проста: на уровне агрегации цена за порт гораздо ниже, чем на уровне ядра у звезды,, а также для более гибкого применения различных политик.
Мне всегда казалось, что причина — разные задачи двух уровней. На аггрегации у нас применение политик, QoS, фильтрация. В ядре — никаких политик, просто высокоскоростная молотилка трафика (перегрузка недопустима).
Не ясно, чем кольцо тут лучше. Тем, что всё сразу в ядро втыкается? А оно выдержит? Да и в звезде тогда можно так же точно воткнуть.
Про сходимость выше JDima уже написал.
Если у вас L2 в доступе, то мне ещё интересно, как броадкасты со всех VLANов у вас по всему кольцу туда-сюда бегают, и какую долю в трафике (фактически, отъём полосы пропускания) они составляют.
Но у железных дорог Франции просто не было выбора после того как TR «умер».
Отличный аргумент. Поставили «костыль», чтобы использовать уже имеющуюся инфраструктуру, и теперь это преподносится как best practices.
а работать по топологии кольца на коммутаторах с распределением виртуальных сетей по всему кампусу без использования сложных и дорогостоящих технологий типа MPLS/VPLS могут только ограниченное число производителей – HP, Huawei, Extreme.
Это за счёт поддержки каких технологий, подскажите. Что не умеют C/J?
А почему не может быть в разных зонах роутеров с одинаковыми router-id?
Если зоны не смежные, то, мне кажется, проблем не будет. Главное — чтобы никто не получал одновременно LSA с обоих.
Операция «Буря в пустыне» 1991 года показала всему миру, как мгновенно через активизацию закладок перестали работать все без исключения средства ПВО Ирака, только что закупленные во Франции.
А что это даст? Где гарантия, что маршрут к клиенту во 2 случае будет лучше через ISP2, чем через ISP1?
Самый простой вариант — 2 ip-адреса на сервере. Один интерфейс шлюза (к ISP1) натит на первый адрес веб-сервера, а второй интерфейс (к ISP2) — на второй адрес. И policy-based routing направляет траффик с source 2 адресом веб-сервера на интерфейс к ISP2.
Про full view и его необходимость (вернее, как раз отсутствие необходимости) отлично расписано тут
Не понял, а как обратный пакет от веб-сервера будет отправлен в интерфейс ISP2? На основании чего?
Шлюзу прилетает пакет от веб-сервера. Веб-сервер находится в дефолтном VRF. Почему он вдруг отправит его в другой VRF?
А эта система не поддерживает множественные таблицы маршрутизации?
Что вам мешает поднять на роутере провайдера в 4 схеме несколько VRF и пусть разные клиенты используют одинаковые адреса сколько им будет угодно? Фактически реализуется та же схема 5, но с меньшим количеством оборудования.
Хмм.
Правильно ли я понял, что «отказоустойчивость» внешнего интерфейса определяется тем, что он активен только у мастера, и в случае выхода мастера из строя поднимается на слейве (который перехватывает управление)?
Интересно, как реализована балансировка на VRRP. Я всегда думал, что из трёх основных протоколов доступности первого хопа (HSRP, VRRP, GLBP) балансировку поддерживает только последний.
Принцип его в том, что маршрутизаторы имеют приоритет: Master и Slave и через некоторый интервал времени проверяют доступность друг друга.
Если мне не изменяет память, не совсем так. Мастер шпарит своими Hello-пакетами, а слейв пассивен. Мастер о нём ничего не знает и знать не хочет. Слейв становится активен только если мастер перестаёт слать свои пакеты.
Offtop: не рассматривали операционку Vyatta для решения этой задачи?
Фигуры в шахматах имеют «цену», характеризующую общую полезность фигуры. Пешка 1, конь и слон 3, ладья 5, ферзь 9.
То есть в сферической партии в вакууме отдать коня за 2 пешек — проигрыш материала, а за 4 — выйгрыш.
Мне кажется, применять такие математические методы «в лоб» очень опасно, поскольку слишком много зависит от психологии конкретных участников.
Например, читал про такое исследование:
Вы — мэр города, в котором началась эпидемия. Все люди заражены. Есть 2 вакцины, А и В. Обе дадут эффект через некоторое время, так что выбрать вакцину для массовых прививок надо сейчас. Вакцина А гарантированно спасёт 1/3 населения, остальные 2/3 погибнут. Вакцина В с вероятностью 1/3 спасёт всех, с вероятностью 2/3 — никого. Какую выбрать?
С математической точки зрения, выбор равный. С человеческой — нет.
Во-первых, люди более склонны бояться потерять, чем стремиться выйграть (поэтому заключённый наверняка выберет «сдать подельника», ведь «надёжнее» получить лишние полтора года, чем рискнуть аж десяткой).
Во-вторых, ответ сильно зависит даже от того, как задать вопрос. В том же исследовании, при вопросе «спасёте ли вы гарантированно 1/3 города» и «возьмёте ли вы на себя верную смерть 2/3 города», ответы были, как правило, противоположные. А ведь предлагалось одно и то же (вакцина А).
В итоге, они просто сделали VTI IPSec с хабом и всё бегает через него.
Поскольку ни тогда (ни сейчас) с технологией я близко знаком не был, ответа, конечно, не дал. Но поинтересовался правильным ответом.
«Потому что с DMVPN я никак не могу контролировать/ограничивать трафик между споками.»
Прокомментируйте, пожалуйста.
А было бы очень интересно почитать, честное слово. Больше статей по сетям, хороших и разных!
А можно ли где-нибудь найти подобное сравнение? Или единственный способ — самому штудировать вендорские проспекты? Так там ведь сплошной маркетинг и bullshit bingo, фиг разберёт, кто лучше и чем.
/offtop: Ответьте, пожалуйста, на личное сообщение. :)
Мне всегда казалось, что причина — разные задачи двух уровней. На аггрегации у нас применение политик, QoS, фильтрация. В ядре — никаких политик, просто высокоскоростная молотилка трафика (перегрузка недопустима).
Не ясно, чем кольцо тут лучше. Тем, что всё сразу в ядро втыкается? А оно выдержит? Да и в звезде тогда можно так же точно воткнуть.
Про сходимость выше JDima уже написал.
Если у вас L2 в доступе, то мне ещё интересно, как броадкасты со всех VLANов у вас по всему кольцу туда-сюда бегают, и какую долю в трафике (фактически, отъём полосы пропускания) они составляют.
Отличный аргумент. Поставили «костыль», чтобы использовать уже имеющуюся инфраструктуру, и теперь это преподносится как best practices.
Это за счёт поддержки каких технологий, подскажите. Что не умеют C/J?
beaglenetworks.net/post/42879624799/ipv6-version
Если зоны не смежные, то, мне кажется, проблем не будет. Главное — чтобы никто не получал одновременно LSA с обоих.
Вы всё ещё думаете, что опасность надумана?
Самый простой вариант — 2 ip-адреса на сервере. Один интерфейс шлюза (к ISP1) натит на первый адрес веб-сервера, а второй интерфейс (к ISP2) — на второй адрес. И policy-based routing направляет траффик с source 2 адресом веб-сервера на интерфейс к ISP2.
Про full view и его необходимость (вернее, как раз отсутствие необходимости) отлично расписано тут
Шлюзу прилетает пакет от веб-сервера. Веб-сервер находится в дефолтном VRF. Почему он вдруг отправит его в другой VRF?
Скажите, а если бы мы настраивали не firewall, а роутер, что бы изменилось в настройке?
Что вам мешает поднять на роутере провайдера в 4 схеме несколько VRF и пусть разные клиенты используют одинаковые адреса сколько им будет угодно? Фактически реализуется та же схема 5, но с меньшим количеством оборудования.
Я бы точно его выбрал.
Правильно ли я понял, что «отказоустойчивость» внешнего интерфейса определяется тем, что он активен только у мастера, и в случае выхода мастера из строя поднимается на слейве (который перехватывает управление)?
Интересно, как реализована балансировка на VRRP. Я всегда думал, что из трёх основных протоколов доступности первого хопа (HSRP, VRRP, GLBP) балансировку поддерживает только последний.
Если мне не изменяет память, не совсем так. Мастер шпарит своими Hello-пакетами, а слейв пассивен. Мастер о нём ничего не знает и знать не хочет. Слейв становится активен только если мастер перестаёт слать свои пакеты.
Offtop: не рассматривали операционку Vyatta для решения этой задачи?
То есть в сферической партии в вакууме отдать коня за 2 пешек — проигрыш материала, а за 4 — выйгрыш.
Например, читал про такое исследование:
Вы — мэр города, в котором началась эпидемия. Все люди заражены. Есть 2 вакцины, А и В. Обе дадут эффект через некоторое время, так что выбрать вакцину для массовых прививок надо сейчас. Вакцина А гарантированно спасёт 1/3 населения, остальные 2/3 погибнут. Вакцина В с вероятностью 1/3 спасёт всех, с вероятностью 2/3 — никого. Какую выбрать?
С математической точки зрения, выбор равный. С человеческой — нет.
Во-первых, люди более склонны бояться потерять, чем стремиться выйграть (поэтому заключённый наверняка выберет «сдать подельника», ведь «надёжнее» получить лишние полтора года, чем рискнуть аж десяткой).
Во-вторых, ответ сильно зависит даже от того, как задать вопрос. В том же исследовании, при вопросе «спасёте ли вы гарантированно 1/3 города» и «возьмёте ли вы на себя верную смерть 2/3 города», ответы были, как правило, противоположные. А ведь предлагалось одно и то же (вакцина А).