4
MPLS Layer 3, MPLS Layer 2, Carrier-Ehternet - Erfahrungen in weit verteilten Netzen (WAN)
Hallo,
ich habe folgendes Konstrukt (s.u.), wo ich Meinungen suche was die beste Herangehensweise ist.
Es existieren ca. 60 Standorte einer Organisation, die mit einer historische gewachsenen IP-Infrastruktur über WAN-Verbindungen angebunden sind. Einige der Anbindungen sind breitbandig 100 MBit/s und mehr. Einige andere sind schmalbandig 10 MBit/s und weniger. Alle IP-Adressen die im Netz unterwegs sind, sind leider (noch) nicht bekannt. Die am Netz hängende Infrastruktur ist teilweise sensibel und kann nicht so einfach geändert werden. Sprich der IP-Adressbestand muss noch einige Monate/Jahre mitgeschleppt werden. Dies nenne ich die "interne" Sicht auf dass Netz.
Zusätzlich gibt es ca. 20 externe Sichten auf dass Netz, die bei Bedarf gern Daten durch dies Netz leiden möchten um selber redundante Anbindungen zu erhalten. Diese ca. 20 externen Sichten haben intern eine ähnliche Sicht auf Ihr Netz, wie ich auf "mein internes". Sprich auch diese 20 externen "Kunden" haben Netze, die intern teilweise wiederum alle möglichen IP-Adressbereiche, evtl. auch mehrfache die gleichen verwendet haben.
Aufsetzend auf den breitbandigen Anbindungen, soll ein neues IP-Netz aufgespannt werden, dass alle Standorte mit einer einheitlichen IP-Adressinfrastruktur und redundanten Anbindung über einen Zweitweg versorgt. Dies soll intern für uns selber möglich sein und wenn angefragt auch für die externen Kunden zur Verfügung gestellt werden. Für diesen Fall ist aktuell IP MPLS auf Layer 2 und IP MPLS Layer 3 im Fokus. Im Hinterkopf spukt bei mir mehr und mehr der Gedanke daran Carier-Ethernet zu verwenden um eine klare Struktur zu schaffen. Schließlich kann ich wenn es hart auf hart geht weder unsere internen IP-Bestandsadressen anpassen, noch weniger die IP-Bestandadressen der externen Kunden
.
Ich beschäftige mich mit der Fragestellung ob es überhaupt sinnvoll ist, über MPLS Layer 2 und/oder MPLS Layer 3 verschiedene Routing-Domains aufzubauen, die teilweise identische IP-Adressbereiche beinhalten und dann bei bestimmten Fällen auch noch untereinander (bestimmte Adressen) dieser Adressbereich die doppelt vorhanden sein können, einem anderen Netz zur Verfügung stellen müssen.
Oder, ob es nicht gleich sinnvoller ist von oben nach unten ein Carrier-Ethernet aufzuspannen und alles transparent und ohne Sonderfälle zu routen?
Ich freue mich über jede Idee & Überlegung zum Thema (aber bitte nicht versuchen die Rahmenbedingung zu verändern).
ich habe folgendes Konstrukt (s.u.), wo ich Meinungen suche was die beste Herangehensweise ist.
Es existieren ca. 60 Standorte einer Organisation, die mit einer historische gewachsenen IP-Infrastruktur über WAN-Verbindungen angebunden sind. Einige der Anbindungen sind breitbandig 100 MBit/s und mehr. Einige andere sind schmalbandig 10 MBit/s und weniger. Alle IP-Adressen die im Netz unterwegs sind, sind leider (noch) nicht bekannt. Die am Netz hängende Infrastruktur ist teilweise sensibel und kann nicht so einfach geändert werden. Sprich der IP-Adressbestand muss noch einige Monate/Jahre mitgeschleppt werden. Dies nenne ich die "interne" Sicht auf dass Netz.
Zusätzlich gibt es ca. 20 externe Sichten auf dass Netz, die bei Bedarf gern Daten durch dies Netz leiden möchten um selber redundante Anbindungen zu erhalten. Diese ca. 20 externen Sichten haben intern eine ähnliche Sicht auf Ihr Netz, wie ich auf "mein internes". Sprich auch diese 20 externen "Kunden" haben Netze, die intern teilweise wiederum alle möglichen IP-Adressbereiche, evtl. auch mehrfache die gleichen verwendet haben.
Aufsetzend auf den breitbandigen Anbindungen, soll ein neues IP-Netz aufgespannt werden, dass alle Standorte mit einer einheitlichen IP-Adressinfrastruktur und redundanten Anbindung über einen Zweitweg versorgt. Dies soll intern für uns selber möglich sein und wenn angefragt auch für die externen Kunden zur Verfügung gestellt werden. Für diesen Fall ist aktuell IP MPLS auf Layer 2 und IP MPLS Layer 3 im Fokus. Im Hinterkopf spukt bei mir mehr und mehr der Gedanke daran Carier-Ethernet zu verwenden um eine klare Struktur zu schaffen. Schließlich kann ich wenn es hart auf hart geht weder unsere internen IP-Bestandsadressen anpassen, noch weniger die IP-Bestandadressen der externen Kunden
.Ich beschäftige mich mit der Fragestellung ob es überhaupt sinnvoll ist, über MPLS Layer 2 und/oder MPLS Layer 3 verschiedene Routing-Domains aufzubauen, die teilweise identische IP-Adressbereiche beinhalten und dann bei bestimmten Fällen auch noch untereinander (bestimmte Adressen) dieser Adressbereich die doppelt vorhanden sein können, einem anderen Netz zur Verfügung stellen müssen.
Oder, ob es nicht gleich sinnvoller ist von oben nach unten ein Carrier-Ethernet aufzuspannen und alles transparent und ohne Sonderfälle zu routen?
Ich freue mich über jede Idee & Überlegung zum Thema (aber bitte nicht versuchen die Rahmenbedingung zu verändern
).
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 282209
Url: https://administrator.de/contentid/282209
Ausgedruckt am: 23.11.2024 um 05:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
auch der ISP vor Ort Euch anbieten sonst wird das alles nichts!
oder 60 x 100 Mitarbeiter?
wenn der dann das Netz mitbenutzen soll!
Was sind denn dort überall für Router oder Firewalls im Einsatz?
Haben die dann auch zugriff auf alles oder nur einiges in der DMZ
oder geht es wirklich nur um das durch leiten der Daten?
ist wohl eher nicht so der Bringer.
die Größe der Belegschaft bzw. Mitarbeiteranzahl, dann könnte man auch schon einmal an ein
BGP Netzwerk denken. Redundante BGP oder VRRP/OSPF Router oder Firewalls und redundante
Switche die das auch beherrschen sollten ja heute kein Problem mehr darstellen.
Nur für 180 Mitarbeiter in 60 Filialen würde ich das nicht aufziehen wollen, oder aber das
Geld ist vorhanden.
Gruß
Dobby
Ich freue mich über jede Idee & Überlegung zum Thema (aber bitte nicht versuchen die
Rahmenbedingung zu verändern ).
MLPPP (MPLS) muss aber nicht nur Dein Router bzw. Deine Firewall unterstützen sondernRahmenbedingung zu verändern ).
auch der ISP vor Ort Euch anbieten sonst wird das alles nichts!
Es existieren ca. 60 Standorte einer Organisation, die mit einer historische gewachsenen
IP-Infrastruktur über WAN-Verbindungen angebunden sind. Einige der Anbindungen sind
breitbandig 100 MBit/s und mehr. Einige andere sind schmalbandig 10 MBit/s und weniger.
Kannst Du uns einmal etwas zu der Stärke sagen? Also sind dort 60 x 4 Mitarbeiter beschäftigtIP-Infrastruktur über WAN-Verbindungen angebunden sind. Einige der Anbindungen sind
breitbandig 100 MBit/s und mehr. Einige andere sind schmalbandig 10 MBit/s und weniger.
oder 60 x 100 Mitarbeiter?
Alle IP-Adressen die im Netz unterwegs sind, sind leider (noch) nicht bekannt.
60 Standorte und keine Dokumentation des Netzwerkes?Die am Netz hängende Infrastruktur ist teilweise sensibel und kann nicht so einfach geändert werden.
Wenn Dein Partner/Kunde ein 192.168.1.0/24 Netz hat und Du auch wird es da aber Probleme gebenwenn der dann das Netz mitbenutzen soll!
Sprich der IP-Adressbestand muss noch einige Monate/Jahre mitgeschleppt werden.
Dies nenne ich die "interne" Sicht auf dass Netz.
Nicht nur Du das ist eben alles Netz intern Euer LAN oder Eure LAN Seite.Dies nenne ich die "interne" Sicht auf dass Netz.
Was sind denn dort überall für Router oder Firewalls im Einsatz?
Sprich auch diese 20 externen "Kunden" haben Netze, die intern teilweise wiederum
alle möglichen IP-Adressbereiche, evtl. auch mehrfache die gleichen verwendet haben.
Also die Kunden leiten ihre Daten durch Euer Netzwerk, richtig?alle möglichen IP-Adressbereiche, evtl. auch mehrfache die gleichen verwendet haben.
Haben die dann auch zugriff auf alles oder nur einiges in der DMZ
oder geht es wirklich nur um das durch leiten der Daten?
Ich beschäftige mich mit der Fragestellung ob es überhaupt sinnvoll ist, über MPLS Layer 2
und/oder MPLS Layer 3 verschiedene Routing-Domains aufzubauen, die teilweise identische
IP-Adressbereiche beinhalten und...
Wenn das vor Ort Euer ISP auch anbietet oder die Router und Firewalls das auch beherrschen, ok.und/oder MPLS Layer 3 verschiedene Routing-Domains aufzubauen, die teilweise identische
IP-Adressbereiche beinhalten und...
...dann bei bestimmten Fällen auch noch untereinander (bestimmte Adressen) dieser
Adressbereich die doppelt vorhanden sein können, einem anderen Netz zur Verfügung stellen müssen.
Doppelte bzw. gleiche IP Adressbereiche und dann auch noch Kunden mit dem selben IP AdressbereichAdressbereich die doppelt vorhanden sein können, einem anderen Netz zur Verfügung stellen müssen.
ist wohl eher nicht so der Bringer.
Oder, ob es nicht gleich sinnvoller ist von oben nach unten ein Carrier-Ethernet aufzuspannen
und alles transparent und ohne Sonderfälle zu routen?
Kommt eben ganz auf die Größe und die Struktur des Netzwerkes an und vor allen Dingen aufund alles transparent und ohne Sonderfälle zu routen?
die Größe der Belegschaft bzw. Mitarbeiteranzahl, dann könnte man auch schon einmal an ein
BGP Netzwerk denken. Redundante BGP oder VRRP/OSPF Router oder Firewalls und redundante
Switche die das auch beherrschen sollten ja heute kein Problem mehr darstellen.
Nur für 180 Mitarbeiter in 60 Filialen würde ich das nicht aufziehen wollen, oder aber das
Geld ist vorhanden.
Gruß
Dobby
MLPPP (MPLS) muss aber nicht nur Dein Router bzw. Deine Firewall unterstützen sondern
auch der ISP vor Ort Euch anbieten sonst wird das alles nichts!
auch der ISP vor Ort Euch anbieten sonst wird das alles nichts!
Es gibt keinen ISP. Ist ein intern geschlossenes Netz.
Wenn Dein Partner/Kunde ein 192.168.1.0/24 Netz hat und Du auch wird es da aber Probleme geben
wenn der dann das Netz mitbenutzen soll!
wenn der dann das Netz mitbenutzen soll!
Ja und nein. Wenn ich den Verkehr nur durchleiten muss, dann ist dass recht einfach. Dass geht mit MPLS-VPN, Carrier-Ethernet, etc. . Spannend wird es erst, wenn ich aus diesen Netzen teile herausschneiden muss, die mit unserem Netz kommunizieren wollen. Dabei tut mir dann ein 192'er Netz noch am wenigsten weh. Viel schmerzhafter sind die ganzen verschiedenen Betrachtungsweisen zu den 172.16'ern und noch schlimmer zu den 10'ern. Da immer mit NAT- und oder ähnlich arbeiten halte ich im Backbone-Bereich für nahezu unmöglich.
Nicht nur Du das ist eben alles Netz intern Euer LAN oder Eure LAN Seite.
Was sind denn dort überall für Router oder Firewalls im Einsatz?
Was sind denn dort überall für Router oder Firewalls im Einsatz?
Dass was es so gibt. Cisco besonders gern gesehen, ab und zu etwas HP, 3Com, AlliedTelesys, etc. Alles was man halt so kennt. Von daher soll der Altbestand ja "nur" mitgeschleppt und auf gar keinem Fall komplett angefasst werden
.Also die Kunden leiten ihre Daten durch Euer Netzwerk, richtig?
Haben die dann auch zugriff auf alles oder nur einiges in der DMZ
oder geht es wirklich nur um das durch leiten der Daten?
Haben die dann auch zugriff auf alles oder nur einiges in der DMZ
oder geht es wirklich nur um das durch leiten der Daten?
Betrachten wir erst mal nur den Durchleitungsfall. Der ist am einfachsten.
Wenn das vor Ort Euer ISP auch anbietet oder die Router und Firewalls das auch beherrschen, ok.
Wie gesagt, kein ISP. Ist ein geschlossenes Netz.Doppelte bzw. gleiche IP Adressbereiche und dann auch noch Kunden mit dem selben IP Adressbereich
ist wohl eher nicht so der Bringer.
ist wohl eher nicht so der Bringer.
Genau, ist unangenehm, aber ich kann die Realität leider nur so nehmen wie sie ist.
dann könnte man auch schon einmal an ein
BGP Netzwerk denken. Redundante BGP oder VRRP/OSPF Router oder Firewalls und redundante
Switche die das auch beherrschen sollten ja heute kein Problem mehr darstellen.
BGP Netzwerk denken. Redundante BGP oder VRRP/OSPF Router oder Firewalls und redundante
Switche die das auch beherrschen sollten ja heute kein Problem mehr darstellen.
Geh davon aus, dass Geld weniger dass Problem ist. Erst mal ist dass Konzept entscheidend, dass man nicht homogene IP-Adressräume, die noch dazu doppelt oder mehrfach in Nutzung sein können an andere Stellen zu transportieren hat. Ungefähr so wie es ein großer Carrier macht (sind wir aber nicht), der einen fest reservierten IP-Adressspace hat & darin verschiedene nicht miteinander abgestimmte Kunden mit kollidierenden eigenen Adressräumen hat.
Gibt's da überhaupt was anderes sinnvolles als Carrier-Ethernet?
Es gibt keinen ISP. Ist ein intern geschlossenes Netz.
Wie sehen denn dann die Verbindungen untereinander aus? Oder ist das ein MAN?Oder seit Ihr selber ein Tier3 Carrier, Datacenter oder RZ?
Viel schmerzhafter sind die ganzen verschiedenen Betrachtungsweisen zu den 172.16'ern
und noch schlimmer zu den 10'ern. Da immer mit NAT- und oder ähnlich arbeiten halte ich
im Backbone-Bereich für nahezu unmöglich.
Kann man denn nicht einfach ein Transfernetz dazwischen bzw. davor schalten?und noch schlimmer zu den 10'ern. Da immer mit NAT- und oder ähnlich arbeiten halte ich
im Backbone-Bereich für nahezu unmöglich.
Gruß
Dobby
Wie sehen denn dann die Verbindungen untereinander aus? Oder ist das ein MAN?
Ist mehr dass klassiche WAN, Entfernungen bis ca. 200km.In ca. 50% der Fällen Monomode-Glasfaser in ca. 50% Kupferkabel.
Im Fokus steht erst mal die optimierte Nutzung vom Glasfaser.
Kann man denn nicht einfach ein Transfernetz dazwischen bzw. davor schalten?
Kann man, dass ändert aber nichts daran dass man ja von einem Netz ins andere und auch zurück kommen muss.Ich sehe da nach wie vor nur bidirektionales NAT und da hab ich ehrlich gesagt keinen Spass dran
.Gruß
Marvin
1
