Safety1st Опубликовано 10 апреля, 2015 · Жалоба Но это уже не моя проблема :) Mac На портах есть ? - Далее уж сами-сами. Положено шифрование - покупайте фстэковские решения. Так-то оно верно. Просто не очень понятно, что вы имели ввиду ранее :) А спд для клиентов по L2, это проще чем они будут городить у себя ipsec Не понимаю связи: данные в L2-туннеле не защищены. Как такой проброс снимает необходимость в шифровании, если клиенту оно требуется? Ммм, 2 почти противоположных мнения: l2 - это воткнул-работает.Проще, надёжнее, удобнее. в 99% случаев требование предоставить L2 ничем ... кроме как некомпетентностью персонала, не подтверждается Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergeylo Опубликовано 10 апреля, 2015 · Жалоба если захочется зарезервировать подключение, то в случае л2 это будет боль В случае l2 это будет то же самое, что по l3, только на собственных адресах. в 99% случаев требование предоставить L2 ничем ... кроме как некомпетентностью персонала, не подтверждается Зазорно искать лёгкие пути? Чем, собственно, l3 лучше, кроме условной дешевизны? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Safety1st Опубликовано 10 апреля, 2015 (изменено) · Жалоба Sergeylo, меня лично только широковещательный трафик, летающий по L2-туннелям, смущает. Изменено 10 апреля, 2015 пользователем Safety1st Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 10 апреля, 2015 (изменено) · Жалоба Чем, собственно, l3 лучше, кроме условной дешевизны? траблшутить этот костыль при транзите через n L3 хостов - удовольствие то еще. Попробуйте при потерях в канале определить проблемное плечо без развала всего L2 VPN, а линк боевой, и абонент на резерв с него слезать не хочет наотрез, по энному количеству причин. Изменено 10 апреля, 2015 пользователем DRiVen Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 12 апреля, 2015 · Жалоба Попробуйте при потерях в канале определить проблемное плечо без развала всего L2 VPN, а линк боевой, и абонент на резерв с него слезать не хочет наотрез, по энному количеству причин. Проблемы на L2 у нас даже ремонтники умеют решать. В спорных вопросах о скорости - два бука и iperf. Да и включиться в клиентский влан для админа не проблема. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 12 апреля, 2015 · Жалоба Если абоненту нужно прокинуть ПД другого оператора (т.е. мы даем арендованный канал) +1, мы для одного из операторов Б3 так трафик прокидываем по своей сети между их базовыми станциями. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 12 апреля, 2015 · Жалоба Проблемы на L2 у нас даже ремонтники умеют решать. В спорных вопросах о скорости - два бука и iperf. Да и включиться в клиентский влан для админа не проблема. М-да. Нагруженный канал, на ПМ и по L2-сети до опорного роутера проблем нет, далее транзитных L3 косой десяток в зонах ответственности по меньшей мере 3-х разных подразделений, концы туннеля территориально разнесены на ~600 км. Будьте так любезны, расскажите, как без развала конструкции определить проблемное плечо с потерями. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 12 апреля, 2015 · Жалоба Проблемы на L2 у нас даже ремонтники умеют решать. В спорных вопросах о скорости - два бука и iperf. Да и включиться в клиентский влан для админа не проблема. М-да. Нагруженный канал, на ПМ и по L2-сети до опорного роутера проблем нет, далее транзитных L3 косой десяток в зонах ответственности по меньшей мере 3-х разных подразделений, концы туннеля территориально разнесены на ~600 км. Будьте так любезны, расскажите, как без развала конструкции определить проблемное плечо с потерями. Если абонент не включен напрямую в точку терминирования, а между ним и PE есть хотя бы один свитч, то тестовые устройства подключаются к промежуточным L2-устройствам и выявляется проблемный участок. Если между абонентом и PE нет ни одного свитча, то, да, его придётся поставить ради диагностики. Главное однозначно определить в чьей ЗО находится проблема, а там уж будет относительно просто разобраться. Но вот если на сети используется CsC и различные AS в разных ЗО, то тут конечно будет очень весёлый траблшутинг, врагу не пожелаешь Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 12 апреля, 2015 · Жалоба Зазорно искать лёгкие пути? Чем, собственно, l3 лучше, кроме условной дешевизны? Тем, что всегда можно удаленно найти проблему, т.к. на обоих сторонах установлены маршрутизаторы, которые можно пропинговать, зайти на них, проверить скорость, и проверить отдельно оборудование за ними. Если кто-то берет в удаленный офис L2 канал, то нельзя определить где проблема - в канале оператора, или в L2 сегменте сети удаленного офиса. А вообще, имея микротик, можно любые вопросы решать, не прибегая к iperf, который очень часто глючит, если его с винды запускают. А спд для клиентов по L2, это проще чем они будут городить у себя ipsec на кривом оборудовании. Вообще слово "ipsec" в большинстве случаев говорит о том, что админ ничего не умеет, либо руководства админа очень крутое. Эта технология давно устарела и вообще к туннелям никакого отношения не имеет, а занимается только шифрованием трафика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 13 апреля, 2015 · Жалоба Вообще слово "ipsec" в большинстве случаев говорит о том, что админ ничего не умеет, либо руководства админа очень крутое. Эта технология давно устарела и вообще к туннелям никакого отношения не имеет, а занимается только шифрованием трафика. Это самый дешевый способ построить шифрованный канал для коммерсантов, но это уже не l2. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 13 апреля, 2015 · Жалоба Вообще слово "ipsec" в большинстве случаев говорит о том, что админ ничего не умеет, либо руководства админа очень крутое. Эта технология давно устарела и вообще к туннелям никакого отношения не имеет, а занимается только шифрованием трафика. Ничем не подтвержденная и незамутненная ересь. ipsec это самый удобный и малозатратный (в плане усилий) шифрованый канал. При соединениях типа site-to-site вообще мало чем заменим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergeylo Опубликовано 13 апреля, 2015 · Жалоба всегда можно удаленно найти проблему, т.к. на обоих сторонах установлены маршрутизаторы Если мне дадут l2-канал, я тоже захочу завести его на роутеры (да я вообще всегда так и делаю!) В диагностике нет никаких проблем, если не лишать себя средств для осуществления оной. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 13 апреля, 2015 · Жалоба Развели-то срач. Мне кажется, что причин всего две: 1. Потому, что хочется только так. 2. Потому, что можется только так. Мы, например, вроде, относительно крупные, а не имеем услуги L3-VPN, даём только L2. Кому нужен L3 - строят поверх нашего L2 свой L3. Клиент, если хочет, может гонять там OSPF, мультикаст, да и, вообще, всё что угодно. И нам не важно что он там гоняет. Все довольны. Хотя, при этом мы не можем дать клиенту два параллельных независимых канала с резервированием в такой схеме. Совсем недавно обратился клиент с требованиями предоставить услугу MPLS L3-VPN. Созвонился, предложил дать им L2 чтобы они сами собрали себе L3. Они минут 10 тупили, не могли понять почему они просят именно L3, но так "НАДО" и "У нас везде так". Объясняю, что даже если мы и сделаем L3 то по сети будет L2, а терминация всех сетей будет на одном PE. В итоге ничего не решили. Похоже, что так и придётся сделать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 13 апреля, 2015 · Жалоба Мы, например, вроде, относительно крупные, а не имеем услуги L3-VPN, даём только L2. т.е вы вланчик клиента тянете от точки до точки? я начинаю немного паниковать когда вы говорите что нужно несколько точек подключения клиента стянуть по всей транспортной сети.. а отказоустойчивость как? у вас в ядре *stp? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 13 апреля, 2015 · Жалоба Мы, например, вроде, относительно крупные, а не имеем услуги L3-VPN, даём только L2. т.е вы вланчик клиента тянете от точки до точки? я начинаю немного паниковать когда вы говорите что нужно несколько точек подключения клиента стянуть по всей транспортной сети.. а отказоустойчивость как? у вас в ядре *stp? В масштабах города - да, тянем вланчик :) Именно в ядре резервирование через MLAG. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 апреля, 2015 · Жалоба т.е вы вланчик клиента тянете от точки до точки? я начинаю немного паниковать когда вы говорите что нужно несколько точек подключения клиента стянуть по всей транспортной сети.. а отказоустойчивость как? у вас в ядре *stp? У нас микротик перед абонентами, если кому-то нужен L2 канал, то на этих микротиках поднимается EoIP туннель по нашей сети, соответственно там же автоматом и резервирование, если какой-то сегмент сети отключится. Никакие вланы никуда не пробрасываем, это уже устаревшая технология. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 13 апреля, 2015 · Жалоба У нас микротик перед абонентами, если кому-то нужен L2 канал, то на этих микротиках поднимается EoIP туннель по нашей сети, соответственно там же автоматом и резервирование, если какой-то сегмент сети отключится. Никакие вланы никуда не пробрасываем, это уже устаревшая технология. Ага, т.е. что такое л2 резервирование мы не знаем? И про STP (прости господи) тоже не знаем? А ещё лучше ERPS, или LACP. Я боюсь себе представить такой зоопарк на 1к+ микротиков, с нетипичными настройками... Уже чувствую как седина появляется на жопе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 13 апреля, 2015 · Жалоба А ещё лучше ERPS, или LACP Про LACP саабу не говорите. Если он узнает что на микротике LACP глючит нещадно, он тут же объявит это устаревшей технологией, ну либо что его все настраивают неправильно и только он знает дзен =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 13 апреля, 2015 · Жалоба Про LACP саабу не говорите Спасибо, запомню. Уважаемый сааб05 забудтье о том, что я упоминал LACP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 14 апреля, 2015 · Жалоба Ага, т.е. что такое л2 резервирование мы не знаем? Такое резервирование уже устарело, все нормальные операторы уже не тянут все кабели, волокна и вланы в центр, а терминируют на промежуточных узлах. И про STP (прости господи) тоже не знаем? Устаревшая технология. Знаете сколько с ней глюков? Не проще ли две стороны не замыкать в кольцо, а подключить к двум независимым серверам, которые могут принимать запросы сразу по обоим веткам, тогда и двойное увеличение пропускной способности будет. А ещё лучше ERPS, или LACP. Эти технологии еще более устаревшие. Я боюсь себе представить такой зоопарк на 1к+ микротиков, с нетипичными настройками... Уже чувствую как седина появляется на жопе. С какими еще не типичными? Все настройки везде одинаковые, вливаемые по типовому конфигу. Короче если мышление коммутаторское, а есть роутерское. Часто мыслят по коммутаторски, т.к. он ничего толком не умеет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 14 апреля, 2015 · Жалоба Эти технологии еще более устаревшие. Сааб решил всему форуму продлить жизнь. Кто тут заикался что он "Иногда дает дельные советы"? =)))))))))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 14 апреля, 2015 · Жалоба С какими еще не типичными? Все настройки везде одинаковые, вливаемые по типовому конфигу. Вы же пробрасываете EoIP тунели, они везде одинаковые? Типичная ага, если столько расскаызвать про то что вы выдали такую кучу еоип тунелей, мне страшно просто, от того что там на этих микротиках, и не дай бог сдохнет 10-20 штук (гроза удачная) - как восстанавливать "нетипичные" еоип тунели? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 14 апреля, 2015 · Жалоба LACP.Эти технологии еще более устаревшие. Мдааа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 15 апреля, 2015 · Жалоба Мдааа. А чему вы удивляетесь? Все, на чем микротик глючит, является устаревшей технологией Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 15 апреля, 2015 · Жалоба Вы же пробрасываете EoIP тунели, они везде одинаковые? Типичная ага, если столько расскаызвать про то что вы выдали такую кучу еоип тунелей, мне страшно просто, от того что там на этих микротиках, и не дай бог сдохнет 10-20 штук (гроза удачная) - как восстанавливать "нетипичные" еоип тунели? Сеть на базе L3, на микротиках только настройки OSPF, где надо L2TP туннели для связности через интернет на центральную железку. Поэтому один роутер от другого отличается только настройками IP адресов. А EoIP туннели нужны для предоставления L2 каналов, которых не много. Тем более есть вся документация и восстановить никаких проблем нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...