Juniper NSRP поверх L2VPN?

Вопрос к опытным жунипероводам, ибо я с этим железом отродясь не работал.


Есть у нас пара файрволов младшей серии (сейчас уже не вспомню модель, вроде SRX100). Для меня это — блэк боксы, я не имею к ним абсолютно никакого доступа. Известно, что они кластеризуются, синхронизация идет по двум линкам. Вероятно, задействован NSRP в конфигурации active/standby. В документации говорится, что они должны быть соединены напрямую проводками не длиннее нескольких метров. Но я простых путей не ищу, потому планируется разнести их по разным ЦОДам (двухсторонняя задержка между ними в пределах 1мс, потерь нет), а порты подключить в каталисты, которые завернут трафик в MPLS псевдовайр и выплюнут пакеты с другой стороны, где их будет принимать другой жунипер кластера.


Вопросы — ибо документация по NSRP отвратительна:

1) Нет ли каких препятствий тому, чтобы предложенная мной схема работала? Может, там вообще не ethernet фреймы, или задержки требуются не миллисекундные, а микросекундные…

2) Какого максимального размера могут быть пересылаемые пакеты? Если это настраивается — просьба указать дефолтное значение.

3) На какие подводные грабли можно наступить, реализуя такую схему? (считаем, что транспорт между жуниперами будет безотказным)


И да, спросить владельцев железки — самый сложный вариант из всех, так уж вышло…
  • Вопрос задан
  • 3075 просмотров
Решения вопроса 1
router
@router
NSRP не SRX. NSRP — это NetScreen.

В SRX другой проприетарный протокол кластеризации.

Если SRX, то опрокинуть попробовать можно. Сам не делал, но можно погуглить, там что-то попадалось: тыц.

SRX100 у меня помнится сходили как-то с ума разок. А так ничего, работают у клиентов в офисах, держат IPSec. Но смотря, для чего их использовать. Как firewall они слабенькие, syn flood не держат больше 5 мбит.

Вопрос конечно в надежности и в цене, которую есть возможность заплатить за эту надежность. Если надежность важнее, я бы не стал кластеризовать, а сделал бы все же какой-нибудь VRRP. Или какой-нибудь динамик раутинг, OSPF тот же. Или два IPSec VPN, если они для этого.
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы