Задать вопрос
@JDima
сети

Juniper NSRP поверх L2VPN?

Вопрос к опытным жунипероводам, ибо я с этим железом отродясь не работал.


Есть у нас пара файрволов младшей серии (сейчас уже не вспомню модель, вроде SRX100). Для меня это — блэк боксы, я не имею к ним абсолютно никакого доступа. Известно, что они кластеризуются, синхронизация идет по двум линкам. Вероятно, задействован NSRP в конфигурации active/standby. В документации говорится, что они должны быть соединены напрямую проводками не длиннее нескольких метров. Но я простых путей не ищу, потому планируется разнести их по разным ЦОДам (двухсторонняя задержка между ними в пределах 1мс, потерь нет), а порты подключить в каталисты, которые завернут трафик в MPLS псевдовайр и выплюнут пакеты с другой стороны, где их будет принимать другой жунипер кластера.


Вопросы — ибо документация по NSRP отвратительна:

1) Нет ли каких препятствий тому, чтобы предложенная мной схема работала? Может, там вообще не ethernet фреймы, или задержки требуются не миллисекундные, а микросекундные…

2) Какого максимального размера могут быть пересылаемые пакеты? Если это настраивается — просьба указать дефолтное значение.

3) На какие подводные грабли можно наступить, реализуя такую схему? (считаем, что транспорт между жуниперами будет безотказным)


И да, спросить владельцев железки — самый сложный вариант из всех, так уж вышло…
  • Вопрос задан
  • 3078 просмотров
Комментировать
Подписаться 3 Оценить Комментировать
Решения вопроса 1
router
@router
NSRP не SRX. NSRP — это NetScreen.

В SRX другой проприетарный протокол кластеризации.

Если SRX, то опрокинуть попробовать можно. Сам не делал, но можно погуглить, там что-то попадалось: тыц.

SRX100 у меня помнится сходили как-то с ума разок. А так ничего, работают у клиентов в офисах, держат IPSec. Но смотря, для чего их использовать. Как firewall они слабенькие, syn flood не держат больше 5 мбит.

Вопрос конечно в надежности и в цене, которую есть возможность заплатить за эту надежность. Если надежность важнее, я бы не стал кластеризовать, а сделал бы все же какой-нибудь VRRP. Или какой-нибудь динамик раутинг, OSPF тот же. Или два IPSec VPN, если они для этого.
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Контент-маркетолог
Хекслет
от 60 000 до 100 000 ₽
Преподаватель по нейросетям
CODDY
от 40 000 ₽
Младший аналитик
Сбер Москва
от 130 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Необходимо поменять пароль в WINDOWS
24 нояб. 2024, в 03:11
500 руб./за проект
Требуется консультация по UX-дизайну казино
24 нояб. 2024, в 01:35
5000 руб./за проект
Расширение для браузера
24 нояб. 2024, в 01:24
500 руб./за проект
Ещё заказы