Задать вопрос

Juniper NSRP поверх L2VPN?

Вопрос к опытным жунипероводам, ибо я с этим железом отродясь не работал.


Есть у нас пара файрволов младшей серии (сейчас уже не вспомню модель, вроде SRX100). Для меня это — блэк боксы, я не имею к ним абсолютно никакого доступа. Известно, что они кластеризуются, синхронизация идет по двум линкам. Вероятно, задействован NSRP в конфигурации active/standby. В документации говорится, что они должны быть соединены напрямую проводками не длиннее нескольких метров. Но я простых путей не ищу, потому планируется разнести их по разным ЦОДам (двухсторонняя задержка между ними в пределах 1мс, потерь нет), а порты подключить в каталисты, которые завернут трафик в MPLS псевдовайр и выплюнут пакеты с другой стороны, где их будет принимать другой жунипер кластера.


Вопросы — ибо документация по NSRP отвратительна:

1) Нет ли каких препятствий тому, чтобы предложенная мной схема работала? Может, там вообще не ethernet фреймы, или задержки требуются не миллисекундные, а микросекундные…

2) Какого максимального размера могут быть пересылаемые пакеты? Если это настраивается — просьба указать дефолтное значение.

3) На какие подводные грабли можно наступить, реализуя такую схему? (считаем, что транспорт между жуниперами будет безотказным)


И да, спросить владельцев железки — самый сложный вариант из всех, так уж вышло…
  • Вопрос задан
  • 3078 просмотров
Подписаться 3 Оценить Комментировать
Решения вопроса 1
router
@router
NSRP не SRX. NSRP — это NetScreen.

В SRX другой проприетарный протокол кластеризации.

Если SRX, то опрокинуть попробовать можно. Сам не делал, но можно погуглить, там что-то попадалось: тыц.

SRX100 у меня помнится сходили как-то с ума разок. А так ничего, работают у клиентов в офисах, держат IPSec. Но смотря, для чего их использовать. Как firewall они слабенькие, syn flood не держат больше 5 мбит.

Вопрос конечно в надежности и в цене, которую есть возможность заплатить за эту надежность. Если надежность важнее, я бы не стал кластеризовать, а сделал бы все же какой-нибудь VRRP. Или какой-нибудь динамик раутинг, OSPF тот же. Или два IPSec VPN, если они для этого.
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы