E-VPN of IP-VPN?

Dat hangt natuurlijk helemaal af van de exacte situatie, eisen, etc... Beide oplossingen hebben zowel voor als nadelen dus het is onmogelijk om hier zonder context een algemene uitspraak over te doen.

Volgens de vuistregel dat routeren de voorkeur heeft boven bridgen, IP-VPN. Maar als je toevallig echt een Ethernet-VPN nodig hebt, dan dus dat. Dus zorg dat je weet of je 't nodig hebt of niet. Als je het moet vragen: Mischien eens tijd om de kennis in te huren en je bedrijfsnetwerkje onder handen te laten nemen.

Als je een laag 2 koppeling kiest (E-VPN) heb je een laag 2 koppeling tussen locaties en heb je dus in theorie meer mogelijkheden dan met enkel een laag 3 koppeling. Immers je kan dan direct laag 2 verkeer doen tussen locaties (heb je dat bijvoorbeeld ergens voor nodig?) maar je kan ook dan alsnog zelf op elke locatie een router plaatsen en zo alsnog laag 3 doen maar dan in een variant waarbij de je routering dus helemaal zelf in beheer hebt. Dat laatste is ook meteen een nadeel als je weinig netwerkkennis in huis hebt. Je wilt namelijk geen 10 locaties in een groot plat laag 2 netwerk gooien...

Nogmaals het hangt dus helemaal van de situatie af, dus heb je ergens pure laag 2 connectiviteit voor nodig, hoeveel kennis heb je zelf in huis, hoe vaak heb je wijzigingen / nieuwe subnets nodig etc. Technisch is de ene techniek niet per definitie beter / hipper / betrouwbaarder dan de andere.

magic_nl schreef op dinsdag 13 november 2018 @ 22:24:
[...]
Hier heb je een belangrijk punt denk ik.
Dat je geen 10 locaties plat aan elkaar knoopt snap ik.

Hangt compleet van de situatie af. Ik kan me voorstellen dat als je bijvoorbeeld heel kleine locaties hebt het op zijn minst geen kwaad kan, ik kan me ook voorstellen dat je voor bepaalde situaties juist een L2 verbinding *wil*.

Je verteld relatief weinig over de exacte situatie, dus is het lastig te beoordelen wat de voorkeur heeft. Dan nog is het vaak een kwestie van smaak en is er niet altijd een goed of slecht, maar ook van persoonlijke voorkeur.

Momenteel is elke locatie voorzien van een firewall die de routeringen verzorgen.

Simpel gesteld houd ik met een e-VPN meer mogelijkheden voor de toekomst als ik het goed begrijp.

Ik zou ook kijken naar de throughput. Kan me voorstellen dat een E-VPN iets minder overhead heeft en hogere doorvoersnelheden dan IP-VPN.

Wij doen een beetje een mix en match. 3 lokaties, waarvan 2 datacenters en 1 kantoor. De datacenters zij met een L1 verbinding gekoppeld (DWDM), kantoor en datacenter 1 is met een L2 verbinding gekoppeld, kantoor en datacenter 2 is met een IP VPN gekoppeld, de 2 DC's zelf zijn ook weer met een IP VPN gekoppeld als fallback mocht de DWDM koppeling onderuit gaan.

De primaire onderliggende verbindingen zijn dus allemaal L1 of L2. Alleen, daar bovenop routeren we. Alle lokaties hebben hun eigen IP range en we routeren onderling.

Is dat ideaal? Nee. Ik kan bijvoorbeeld geen vm moven van DC1 naar DC2 zonder zijn IP te wijzigen. Daarvoor zou een L2 verbinding juist ideaal zijn. (Zijn ook weer oplossingen voor zoals L2 tunnelen in L3 verkeer, maar vooralsnog doen we dat niet. De behoefte is niet groot genoeg.)

Kortom, wat is beter? Is niets over te zeggen, zelfs niet bij benadering zonder de exacte situatie te kennen.

magic_nl schreef op dinsdag 13 november 2018 @ 20:57:
We werken nu met een e-VPN met afgeschermd vlan en zijn aan het kijken naar nieuwe verbindingen.

Dus je verscheept ethernet frames, maar die tunnel is een apart VLAN dus had je net zo goed alleen de IP-pakketten kunnen versturen en de ethernet-overhead thuis kunnen laten.

Klinkt een beetje als je rijdt containers naar een transshipping station, daar worden de containers op een ander vrachtautotje gezet en dat geheel gaat op een trein. Aan de andere kant rij je de vrachtautos van de trein, en vervolgens zet je de containers toch weer op een ander vrachtautotje. Wat koop je daarvoor?

unezra schreef op woensdag 14 november 2018 @ 07:31:
Ik zou ook kijken naar de throughput. Kan me voorstellen dat een E-VPN iets minder overhead heeft en hogere doorvoersnelheden dan IP-VPN.

Hoe had je dat gedacht? Een E-VPN moet meer data versturen, de ethernet header moet ook mee. En er moeten meer frames over de lijn, want je broadcast-verkeer moet ook mee.

Of je moet het over "metro ethernet" hebben, dan voegt de provider een VLAN tag toe op de aangeboden frames (dus Q of Q-in-Q) en dat was het dan, dat scheelt de IP-encapsulatie van {E,IP}-VPN. Maar dat is geen "VPN" in mijn boek, want dat is een tunnel-over-IP met pakketten (of frames) er in.

magic_nl schreef op dinsdag 13 november 2018 @ 20:31:
Mijn vraag
Als ik de keuze heb tussen E-VPN en IP-VPN om het netwerk van verschillende locaties van een bedrijf aan elkaar te koppelen, wat heeft dan de voorkeur?
En waarom?

Wellicht is het handig om naar SD-WAN te kijken als modern alternatief voor een IP-VPN. Dat geeft meer mogelijkheden voor redundantie en flexibiliteit.

Laat het spammen s.v.p. achterwege.

[ Voor 8% gewijzigd door MisteRMeesteR op 11-09-2020 11:09 ]

markvw schreef op vrijdag 11 september 2020 @ 10:17:
[...]


Wellicht is het handig om naar SD-WAN te kijken als modern alternatief voor een IP-VPN. Dat geeft meer mogelijkheden voor redundantie en flexibiliteit.

Als hij na 2 jaar nog geen keuze heeft kunnen maken.. En SD-WAN staat hier trouwens los van, heeft niets te maken met de VPN technologie om sites te koppelen. SD-WAN is gewoon het sausje erbovenop.

[ Voor 18% gewijzigd door MisteRMeesteR op 11-09-2020 11:09 . Reden: quote aangepast ]

Als hij na 2 jaar nog geen keuze heeft kunnen maken.. En SD-WAN staat hier trouwens los van, heeft niets te maken met de VPN technologie om sites te koppelen. SD-WAN is gewoon het sausje erbovenop.
[/quote]

SD-WAN is de manier om sites te koppelen met een overlay en dus niet slechts een sausje. Als je SD-WAN uit een SD-WAN netwerk zou halen, dan hou je namelijk geen VPN meer over.

markvw schreef op zondag 13 september 2020 @ 09:57:
SD-WAN is de manier om sites te koppelen met een overlay en dus niet slechts een sausje. Als je SD-WAN uit een SD-WAN netwerk zou halen, dan hou je namelijk geen VPN meer over.

En hoe koppel je de sites technisch dan? Juist ja, onderliggend is het nog steeds een VPN hoor.. Alleen met een SD-WAN sausje over die gebruik maakt van leuke zaken.

SD-WAN solutions help to simplify this process by either automatically establishing secure tunnels amongst sites or reducing the number of steps required to do so.

't is niet omdat je het niet ziet, dat het er niet is..

Tha Render_2 schreef op zondag 13 september 2020 @ 10:40:
[...]


En hoe koppel je de sites technisch dan? Juist ja, onderliggend is het nog steeds een VPN hoor.. Alleen met een SD-WAN sausje over die gebruik maakt van leuke zaken.


[...]


't is niet omdat je het niet ziet, dat het er niet is..

Onderliggend (de underlay) mag gewoon internet zijn.

markvw schreef op zondag 13 september 2020 @ 10:49:
[...]


Onderliggend (de underlay) mag gewoon internet zijn.

Tuurlijk, en daarover bouwt sd-wan één of meerdere tunnels Of ga je unencrypted verkeer tussen kantoren versturen? SD-WAN is geen encryptie technologie.

SD-WAN implementations offer a way to encrypt your branch-to-branch corporate traffic using IPsec, which protects the data in transit.

Dus, nogmaals, onderliggend bouwt die gewoon één of meerdere (IPSEC VPN of andere encryptie technologie) tunnels.

[ Voor 43% gewijzigd door Tha Render_2 op 13-09-2020 11:04 ]

Wat zijn de limitaties van evpn t.o.v. IP vpn? Is dat het aantal mac-adressen bijv?
Je kunt nl in een evpn prima 10 FW's neerzetten (plat gezegd 10 mac-adressen)
maar dat geldt ook voor IP vpn, echter heb ik het idee dat de routeerfunctie dan bij de aanbieder ligt. oftewel 10 ip adressen van de aanbieder. (moet je zelf je ip plan ombouwen)
Ik zou eerst de limitaties goed bekijken en begrijpen.
mijn inschatting zou zijn evpn vanwege bovenstaande. En waarom dan eigenlijk zoeken naar zo'n oplossing?
Je kunt die 10 locaties toch middels eigen beheerde VPN's aan elkaar knopen?
Hoe knoop je ze eigenlijk? Als een mesh?

Zullen we deze oude koe maar in de sloot laten liggen?