marvin42
Goto Top

MPLS Layer 3, MPLS Layer 2, Carrier-Ehternet - Erfahrungen in weit verteilten Netzen (WAN)

Hallo,

ich habe folgendes Konstrukt (s.u.), wo ich Meinungen suche was die beste Herangehensweise ist.

Es existieren ca. 60 Standorte einer Organisation, die mit einer historische gewachsenen IP-Infrastruktur über WAN-Verbindungen angebunden sind. Einige der Anbindungen sind breitbandig 100 MBit/s und mehr. Einige andere sind schmalbandig 10 MBit/s und weniger. Alle IP-Adressen die im Netz unterwegs sind, sind leider (noch) nicht bekannt. Die am Netz hängende Infrastruktur ist teilweise sensibel und kann nicht so einfach geändert werden. Sprich der IP-Adressbestand muss noch einige Monate/Jahre mitgeschleppt werden. Dies nenne ich die "interne" Sicht auf dass Netz.

Zusätzlich gibt es ca. 20 externe Sichten auf dass Netz, die bei Bedarf gern Daten durch dies Netz leiden möchten um selber redundante Anbindungen zu erhalten. Diese ca. 20 externen Sichten haben intern eine ähnliche Sicht auf Ihr Netz, wie ich auf "mein internes". Sprich auch diese 20 externen "Kunden" haben Netze, die intern teilweise wiederum alle möglichen IP-Adressbereiche, evtl. auch mehrfache die gleichen verwendet haben.

Aufsetzend auf den breitbandigen Anbindungen, soll ein neues IP-Netz aufgespannt werden, dass alle Standorte mit einer einheitlichen IP-Adressinfrastruktur und redundanten Anbindung über einen Zweitweg versorgt. Dies soll intern für uns selber möglich sein und wenn angefragt auch für die externen Kunden zur Verfügung gestellt werden. Für diesen Fall ist aktuell IP MPLS auf Layer 2 und IP MPLS Layer 3 im Fokus. Im Hinterkopf spukt bei mir mehr und mehr der Gedanke daran Carier-Ethernet zu verwenden um eine klare Struktur zu schaffen. Schließlich kann ich wenn es hart auf hart geht weder unsere internen IP-Bestandsadressen anpassen, noch weniger die IP-Bestandadressen der externen Kunden face-wink.

Ich beschäftige mich mit der Fragestellung ob es überhaupt sinnvoll ist, über MPLS Layer 2 und/oder MPLS Layer 3 verschiedene Routing-Domains aufzubauen, die teilweise identische IP-Adressbereiche beinhalten und dann bei bestimmten Fällen auch noch untereinander (bestimmte Adressen) dieser Adressbereich die doppelt vorhanden sein können, einem anderen Netz zur Verfügung stellen müssen.

Oder, ob es nicht gleich sinnvoller ist von oben nach unten ein Carrier-Ethernet aufzuspannen und alles transparent und ohne Sonderfälle zu routen?

Ich freue mich über jede Idee & Überlegung zum Thema (aber bitte nicht versuchen die Rahmenbedingung zu verändern face-wink).

Content-ID: 282209

Url: https://administrator.de/forum/mpls-layer-3-mpls-layer-2-carrier-ehternet-erfahrungen-in-weit-verteilten-netzen-wan-282209.html

Ausgedruckt am: 23.12.2024 um 17:12 Uhr

108012
108012 07.09.2015 um 15:11:41 Uhr
Goto Top
Hallo,

Ich freue mich über jede Idee & Überlegung zum Thema (aber bitte nicht versuchen die
Rahmenbedingung zu verändern ).
MLPPP (MPLS) muss aber nicht nur Dein Router bzw. Deine Firewall unterstützen sondern
auch der ISP vor Ort Euch anbieten sonst wird das alles nichts!

Es existieren ca. 60 Standorte einer Organisation, die mit einer historische gewachsenen
IP-Infrastruktur über WAN-Verbindungen angebunden sind. Einige der Anbindungen sind
breitbandig 100 MBit/s und mehr. Einige andere sind schmalbandig 10 MBit/s und weniger.
Kannst Du uns einmal etwas zu der Stärke sagen? Also sind dort 60 x 4 Mitarbeiter beschäftigt
oder 60 x 100 Mitarbeiter?

Alle IP-Adressen die im Netz unterwegs sind, sind leider (noch) nicht bekannt.
60 Standorte und keine Dokumentation des Netzwerkes?

Die am Netz hängende Infrastruktur ist teilweise sensibel und kann nicht so einfach geändert werden.
Wenn Dein Partner/Kunde ein 192.168.1.0/24 Netz hat und Du auch wird es da aber Probleme geben
wenn der dann das Netz mitbenutzen soll!

Sprich der IP-Adressbestand muss noch einige Monate/Jahre mitgeschleppt werden.
Dies nenne ich die "interne" Sicht auf dass Netz.
Nicht nur Du das ist eben alles Netz intern Euer LAN oder Eure LAN Seite.
Was sind denn dort überall für Router oder Firewalls im Einsatz?

Sprich auch diese 20 externen "Kunden" haben Netze, die intern teilweise wiederum
alle möglichen IP-Adressbereiche, evtl. auch mehrfache die gleichen verwendet haben.
Also die Kunden leiten ihre Daten durch Euer Netzwerk, richtig?
Haben die dann auch zugriff auf alles oder nur einiges in der DMZ
oder geht es wirklich nur um das durch leiten der Daten?

Ich beschäftige mich mit der Fragestellung ob es überhaupt sinnvoll ist, über MPLS Layer 2
und/oder MPLS Layer 3 verschiedene Routing-Domains aufzubauen, die teilweise identische
IP-Adressbereiche beinhalten und...
Wenn das vor Ort Euer ISP auch anbietet oder die Router und Firewalls das auch beherrschen, ok.

...dann bei bestimmten Fällen auch noch untereinander (bestimmte Adressen) dieser
Adressbereich die doppelt vorhanden sein können, einem anderen Netz zur Verfügung stellen müssen.
Doppelte bzw. gleiche IP Adressbereiche und dann auch noch Kunden mit dem selben IP Adressbereich
ist wohl eher nicht so der Bringer.

Oder, ob es nicht gleich sinnvoller ist von oben nach unten ein Carrier-Ethernet aufzuspannen
und alles transparent und ohne Sonderfälle zu routen?
Kommt eben ganz auf die Größe und die Struktur des Netzwerkes an und vor allen Dingen auf
die Größe der Belegschaft bzw. Mitarbeiteranzahl, dann könnte man auch schon einmal an ein
BGP Netzwerk denken. Redundante BGP oder VRRP/OSPF Router oder Firewalls und redundante
Switche die das auch beherrschen sollten ja heute kein Problem mehr darstellen.

Nur für 180 Mitarbeiter in 60 Filialen würde ich das nicht aufziehen wollen, oder aber das
Geld ist vorhanden.


Gruß
Dobby
marvin42
marvin42 07.09.2015 um 17:38:26 Uhr
Goto Top
MLPPP (MPLS) muss aber nicht nur Dein Router bzw. Deine Firewall unterstützen sondern
auch der ISP vor Ort Euch anbieten sonst wird das alles nichts!

Es gibt keinen ISP. Ist ein intern geschlossenes Netz.

Wenn Dein Partner/Kunde ein 192.168.1.0/24 Netz hat und Du auch wird es da aber Probleme geben
wenn der dann das Netz mitbenutzen soll!

Ja und nein. Wenn ich den Verkehr nur durchleiten muss, dann ist dass recht einfach. Dass geht mit MPLS-VPN, Carrier-Ethernet, etc. . Spannend wird es erst, wenn ich aus diesen Netzen teile herausschneiden muss, die mit unserem Netz kommunizieren wollen. Dabei tut mir dann ein 192'er Netz noch am wenigsten weh. Viel schmerzhafter sind die ganzen verschiedenen Betrachtungsweisen zu den 172.16'ern und noch schlimmer zu den 10'ern. Da immer mit NAT- und oder ähnlich arbeiten halte ich im Backbone-Bereich für nahezu unmöglich.

Nicht nur Du das ist eben alles Netz intern Euer LAN oder Eure LAN Seite.
Was sind denn dort überall für Router oder Firewalls im Einsatz?

Dass was es so gibt. Cisco besonders gern gesehen, ab und zu etwas HP, 3Com, AlliedTelesys, etc. Alles was man halt so kennt. Von daher soll der Altbestand ja "nur" mitgeschleppt und auf gar keinem Fall komplett angefasst werden face-sad.

Also die Kunden leiten ihre Daten durch Euer Netzwerk, richtig?
Haben die dann auch zugriff auf alles oder nur einiges in der DMZ
oder geht es wirklich nur um das durch leiten der Daten?

Betrachten wir erst mal nur den Durchleitungsfall. Der ist am einfachsten.

Wenn das vor Ort Euer ISP auch anbietet oder die Router und Firewalls das auch beherrschen, ok.
Wie gesagt, kein ISP. Ist ein geschlossenes Netz.

Doppelte bzw. gleiche IP Adressbereiche und dann auch noch Kunden mit dem selben IP Adressbereich
ist wohl eher nicht so der Bringer.

Genau, ist unangenehm, aber ich kann die Realität leider nur so nehmen wie sie ist.

dann könnte man auch schon einmal an ein
BGP Netzwerk denken. Redundante BGP oder VRRP/OSPF Router oder Firewalls und redundante
Switche die das auch beherrschen sollten ja heute kein Problem mehr darstellen.

Geh davon aus, dass Geld weniger dass Problem ist. Erst mal ist dass Konzept entscheidend, dass man nicht homogene IP-Adressräume, die noch dazu doppelt oder mehrfach in Nutzung sein können an andere Stellen zu transportieren hat. Ungefähr so wie es ein großer Carrier macht (sind wir aber nicht), der einen fest reservierten IP-Adressspace hat & darin verschiedene nicht miteinander abgestimmte Kunden mit kollidierenden eigenen Adressräumen hat.

Gibt's da überhaupt was anderes sinnvolles als Carrier-Ethernet?
108012
108012 07.09.2015 um 18:17:01 Uhr
Goto Top
Es gibt keinen ISP. Ist ein intern geschlossenes Netz.
Wie sehen denn dann die Verbindungen untereinander aus? Oder ist das ein MAN?
Oder seit Ihr selber ein Tier3 Carrier, Datacenter oder RZ?

Viel schmerzhafter sind die ganzen verschiedenen Betrachtungsweisen zu den 172.16'ern
und noch schlimmer zu den 10'ern. Da immer mit NAT- und oder ähnlich arbeiten halte ich
im Backbone-Bereich für nahezu unmöglich.
Kann man denn nicht einfach ein Transfernetz dazwischen bzw. davor schalten?

Gruß
Dobby
marvin42
marvin42 09.09.2015 um 15:12:41 Uhr
Goto Top
Wie sehen denn dann die Verbindungen untereinander aus? Oder ist das ein MAN?
Ist mehr dass klassiche WAN, Entfernungen bis ca. 200km.
In ca. 50% der Fällen Monomode-Glasfaser in ca. 50% Kupferkabel.
Im Fokus steht erst mal die optimierte Nutzung vom Glasfaser.

Kann man denn nicht einfach ein Transfernetz dazwischen bzw. davor schalten?
Kann man, dass ändert aber nichts daran dass man ja von einem Netz ins andere und auch zurück kommen muss.
Ich sehe da nach wie vor nur bidirektionales NAT und da hab ich ehrlich gesagt keinen Spass dran face-sad.


Gruß
Marvin