А можешь рассказать подробнее про MPLS.
Я читал про MPLS в Яндексе когда они в каждый гипервизор затаскивали MPLS и каждая виртуалка была в своей сети.

У нас в конторе проблема с разделением прода и теста, думаю что MPLS может помочь в этом. Но никак не могу убедить сетевиков.

MPLS по простому, это прохождение трафика по меткам. Как пример. Есть несколько маршрутов. Стоимость у каждого разная. Что бы не МАРШРУТИЗИРОВАТЬ трафик по L3 (это затратно по ресурсам) в пакет внедряют метку (как метка VLAN) и основываясь на этих метках трафик просто КОММУТИРУЮТ на L2 ... Так же на этих метках можно делать балансировку трафика. Задача MPLS убрать МАРШРУТИЗАЦИЮ и заменить ее КОММУТАЦИЕЙ ... Уменьшается нагрузка на аппаратную часть и повышается скорость прохождения трафика за счет меток. Не надо смотреть в таблицы маршрутизации и обрабатывать каждый пакет, достаточно видеть метку что бы направить куда надо. Так же MPLS в основном применяют когда предоставляют магистраль для транзитного трафика между AS или делают VPN на L2\L3 ...

а в чем проблема с разделением прода от теста?

Там одна железка обрабатывает правила для прода и теста.
Правил много

Железка тупит?

ну и ? в чем проблема то? ...

сделай несколько сетей... прод в одну сеть тест в другую.. и рули как тебе надо

Проблема в том что там куча проектов, у каждого своего проекта свои правила для прода и теста.
Хотелось бы каждому проекту давать свой mpls-метку и пусть работают внутри не затрагивая остальные проекты

Мне кажеться.. что у вас просто не оптимизирован firewall .. достаточно часто встречаю когда много правил и пакеты бегают по всем правилам и в конце дропаются..

Если файрволл то MPLS и не поможет ИМХО

Ну вот и хочется чтобы такого не было.
Но это надо объяснить сетевикам

да это и на VLAN можно построить ... мне кажеть что у вас просто проблема с оптимизацией firewall

однозначно ... на L2 делать что т оfirewall`ом .. это то еще развлечение.. на L2 очень и очень тяжко строить защиту

Вообщем хотелось бы сделать как в Амазоне pvc.
Чтобы каждый проект мог запрашивать свою сеть изолированную.
Желательно через веб-интерфейс.
на эту сеть бы прокрадывались бы Nat внешние адреса.
Тогда внутри проекта могли сделать свои 192.168.0.1 как им в проекте удобно.
И фаервол был бы в каждом проекте.

Сейчас сеть уже расписана и нужно всегда все по сети согласовывать.

Есть такой проект VyOS к нему есть API

Можете в его сторону посмотреть

Ну и делайте...
Как пример. На железке один порт принимает все (скажем это будет WAN)
в зависимости он FQDN можно по портам с VLAN раскидывать.. а там уже можно каскадный firewall настроить ... и будет вам счастье

Спасибо почитаю.
Может подучится связаться с текущим зоопарком Cisco, juniper

Как вот это все связано с работой и аналитикой?

и мое ИМХО. Веб на сетевых железяках это ЗЛО