L2 TunnelVPN

VPN site-to-site vs L2 tunnel: cosa cambia in DR

Una VPN site-to-site routa pacchetti fra subnet diverse. Un L2 tunnel estende la stessa subnet. La differenza emerge solo quando va male qualcosa.

2 min di lettura

TL;DR

Una VPN site-to-site routa pacchetti fra subnet diverse. Un L2 tunnel estende la stessa subnet. Risultato: con la VPN il client locale "vede" un IP cloud diverso; con l'L2 vede lo stesso IP. La differenza emerge nella riconfigurazione di emergenza.

Le due tecnologie in 30 secondi

VPN site-to-site (Layer 3)

Tunnel cifrato fra due gateway. Routa pacchetti fra subnet diverse:

  • LAN cliente: 192.168.10.0/24
  • Cloud DR: 10.99.0.0/24
  • Connessione via VPN che fa NAT.

I client locali devono "puntare" al nuovo IP cloud per parlare con la VM ricoverata.

L2 tunnel

Estende il broadcast domain. Le due reti diventano la stessa subnet:

  • LAN cliente: 192.168.10.0/24
  • Cloud DR: 192.168.10.0/24 (estensione, non duplicazione)
  • Connessione via Connector che incapsula frame ethernet.

I client locali parlano direttamente con la VM ricoverata, senza nemmeno sapere che è in cloud.

Il problema operativo della VPN in DR

Nello scenario DR reale con VPN classica:

  1. al disastro, il client deve ri-risolvere "ERP-server" → nuovo IP;
  2. il DNS interno deve essere aggiornato;
  3. eventuali IP cablati nelle app falliscono;
  4. firewall e routing del cliente devono accettare il nuovo IP.

Tempo aggiuntivo: 30-90 minuti reali.

Il vantaggio L2

Con L2 tunnel:

  • IP della VM ricoverata = stesso IP del primario;
  • nessuna modifica DNS;
  • nessuna modifica firewall;
  • app legacy funzionano "magicamente".

Tempo aggiuntivo: 0 minuti.

Quando la VPN basta

Casi in cui Layer 3 è OK:

  • workload cloud-nativi senza legacy;
  • failover di servizi web pubblici (gestiti via DNS dinamico);
  • ambienti molto semplici.

Per il resto, L2 vince.

Costi a confronto

VPN site-to-site: spesso "gratis" (incluso nel firewall del cliente). Costo nascosto: il tempo del giorno X.

L2 tunnel (Sefthy): costo del Connector (incluso nel canone) + canone DRaaS. Costo netto: 50-100 €/mese in più di una VPN classica, ma RTO 5× più basso.

FAQ

L2 tunnel sostituisce la VPN aziendale?

No. La VPN per accesso utenti remoti resta. L'L2 tunnel è specifico per DR e replicazione dati.

Posso usare entrambi contemporaneamente?

Sì, sono indipendenti.

L'L2 tunnel funziona dietro CGNAT?

Sì, è outbound. Le VPN classiche spesso no.

Per il pillar L2, L2 tunnel per il DR. Per layer 2 vs layer 3, Layer 2 vs Layer 3.

Vuoi vedere Sefthy in azione?

Stesso IP, stessa subnet, RTO in minuti. Provalo gratis per 7 giorni o parla con un nostro specialista.

Vedi i piani Richiedi una demo