[Safety1st]

Но это уже не моя проблема :) Mac На портах есть ? - Далее уж сами-сами. Положено шифрование - покупайте фстэковские решения.

Так-то оно верно. Просто не очень понятно, что вы имели ввиду ранее :)

А спд для клиентов по L2, это проще чем они будут городить у себя ipsec

Не понимаю связи: данные в L2-туннеле не защищены. Как такой проброс снимает необходимость в шифровании, если клиенту оно требуется?

 

 

Ммм, 2 почти противоположных мнения:

l2 - это воткнул-работает.

Проще, надёжнее, удобнее.

в 99% случаев требование предоставить L2 ничем ... кроме как некомпетентностью персонала, не подтверждается

[Sergeylo]

если захочется зарезервировать подключение, то в случае л2 это будет боль

В случае l2 это будет то же самое, что по l3, только на собственных адресах.

в 99% случаев требование предоставить L2 ничем ... кроме как некомпетентностью персонала, не подтверждается

Зазорно искать лёгкие пути? Чем, собственно, l3 лучше, кроме условной дешевизны?

[Safety1st]

Sergeylo, меня лично только широковещательный трафик, летающий по L2-туннелям, смущает.

Изменено 10 апреля, 2015 пользователем Safety1st

[DRiVen]

Чем, собственно, l3 лучше, кроме условной дешевизны?

траблшутить этот костыль при транзите через n L3 хостов - удовольствие то еще.

Попробуйте при потерях в канале определить проблемное плечо без развала всего L2 VPN, а линк боевой, и абонент на резерв с него слезать не хочет наотрез, по энному количеству причин.

Изменено 10 апреля, 2015 пользователем DRiVen

[YuryD]

Попробуйте при потерях в канале определить проблемное плечо без развала всего L2 VPN, а линк боевой, и абонент на резерв с него слезать не хочет наотрез, по энному количеству причин.

 

Проблемы на L2 у нас даже ремонтники умеют решать. В спорных вопросах о скорости - два бука и iperf. Да и включиться в клиентский влан для админа не проблема.

[Andrei]

Если абоненту нужно прокинуть ПД другого оператора (т.е. мы даем арендованный канал)

+1, мы для одного из операторов Б3 так трафик прокидываем по своей сети между их базовыми станциями.

[DRiVen]

Проблемы на L2 у нас даже ремонтники умеют решать. В спорных вопросах о скорости - два бука и iperf. Да и включиться в клиентский влан для админа не проблема.

М-да. Нагруженный канал, на ПМ и по L2-сети до опорного роутера проблем нет, далее транзитных L3 косой десяток в зонах ответственности по меньшей мере 3-х разных подразделений, концы туннеля территориально разнесены на ~600 км. Будьте так любезны, расскажите, как без развала конструкции определить проблемное плечо с потерями.

[s.lobanov]

Проблемы на L2 у нас даже ремонтники умеют решать. В спорных вопросах о скорости - два бука и iperf. Да и включиться в клиентский влан для админа не проблема.

М-да. Нагруженный канал, на ПМ и по L2-сети до опорного роутера проблем нет, далее транзитных L3 косой десяток в зонах ответственности по меньшей мере 3-х разных подразделений, концы туннеля территориально разнесены на ~600 км. Будьте так любезны, расскажите, как без развала конструкции определить проблемное плечо с потерями.

Если абонент не включен напрямую в точку терминирования, а между ним и PE есть хотя бы один свитч, то тестовые устройства подключаются к промежуточным L2-устройствам и выявляется проблемный участок. Если между абонентом и PE нет ни одного свитча, то, да, его придётся поставить ради диагностики. Главное однозначно определить в чьей ЗО находится проблема, а там уж будет относительно просто разобраться. Но вот если на сети используется CsC и различные AS в разных ЗО, то тут конечно будет очень весёлый траблшутинг, врагу не пожелаешь

[Saab95]

Зазорно искать лёгкие пути? Чем, собственно, l3 лучше, кроме условной дешевизны?

 

Тем, что всегда можно удаленно найти проблему, т.к. на обоих сторонах установлены маршрутизаторы, которые можно пропинговать, зайти на них, проверить скорость, и проверить отдельно оборудование за ними. Если кто-то берет в удаленный офис L2 канал, то нельзя определить где проблема - в канале оператора, или в L2 сегменте сети удаленного офиса.

 

А вообще, имея микротик, можно любые вопросы решать, не прибегая к iperf, который очень часто глючит, если его с винды запускают.

 

А спд для клиентов по L2, это проще чем они будут городить у себя ipsec на кривом оборудовании.

 

Вообще слово "ipsec" в большинстве случаев говорит о том, что админ ничего не умеет, либо руководства админа очень крутое. Эта технология давно устарела и вообще к туннелям никакого отношения не имеет, а занимается только шифрованием трафика.

[YuryD]

Вообще слово "ipsec" в большинстве случаев говорит о том, что админ ничего не умеет, либо руководства админа очень крутое. Эта технология давно устарела и вообще к туннелям никакого отношения не имеет, а занимается только шифрованием трафика.

 

Это самый дешевый способ построить шифрованный канал для коммерсантов, но это уже не l2.

[myst]

Вообще слово "ipsec" в большинстве случаев говорит о том, что админ ничего не умеет, либо руководства админа очень крутое. Эта технология давно устарела и вообще к туннелям никакого отношения не имеет, а занимается только шифрованием трафика.

Ничем не подтвержденная и незамутненная ересь.

 

ipsec это самый удобный и малозатратный (в плане усилий) шифрованый канал. При соединениях типа site-to-site вообще мало чем заменим.

[Sergeylo]

всегда можно удаленно найти проблему, т.к. на обоих сторонах установлены маршрутизаторы

Если мне дадут l2-канал, я тоже захочу завести его на роутеры (да я вообще всегда так и делаю!)

В диагностике нет никаких проблем, если не лишать себя средств для осуществления оной.

[g3fox]

Развели-то срач.

Мне кажется, что причин всего две:

1. Потому, что хочется только так.

2. Потому, что можется только так.

 

Мы, например, вроде, относительно крупные, а не имеем услуги L3-VPN, даём только L2.

Кому нужен L3 - строят поверх нашего L2 свой L3. Клиент, если хочет, может гонять там OSPF, мультикаст, да и, вообще, всё что угодно.

И нам не важно что он там гоняет. Все довольны.

Хотя, при этом мы не можем дать клиенту два параллельных независимых канала с резервированием в такой схеме.

 

Совсем недавно обратился клиент с требованиями предоставить услугу MPLS L3-VPN.

Созвонился, предложил дать им L2 чтобы они сами собрали себе L3. Они минут 10 тупили, не могли понять почему они просят именно L3, но так "НАДО" и "У нас везде так".

Объясняю, что даже если мы и сделаем L3 то по сети будет L2, а терминация всех сетей будет на одном PE.

В итоге ничего не решили. Похоже, что так и придётся сделать.

[rdntw]

Мы, например, вроде, относительно крупные, а не имеем услуги L3-VPN, даём только L2.

т.е вы вланчик клиента тянете от точки до точки?

я начинаю немного паниковать когда вы говорите что нужно несколько точек подключения клиента стянуть по всей транспортной сети..

а отказоустойчивость как? у вас в ядре *stp?

[g3fox]

Мы, например, вроде, относительно крупные, а не имеем услуги L3-VPN, даём только L2.

т.е вы вланчик клиента тянете от точки до точки?

я начинаю немного паниковать когда вы говорите что нужно несколько точек подключения клиента стянуть по всей транспортной сети..

а отказоустойчивость как? у вас в ядре *stp?

 

В масштабах города - да, тянем вланчик :) Именно в ядре резервирование через MLAG.

[Saab95]

т.е вы вланчик клиента тянете от точки до точки?

я начинаю немного паниковать когда вы говорите что нужно несколько точек подключения клиента стянуть по всей транспортной сети..

а отказоустойчивость как? у вас в ядре *stp?

 

У нас микротик перед абонентами, если кому-то нужен L2 канал, то на этих микротиках поднимается EoIP туннель по нашей сети, соответственно там же автоматом и резервирование, если какой-то сегмент сети отключится. Никакие вланы никуда не пробрасываем, это уже устаревшая технология.

[GrandPr1de]

У нас микротик перед абонентами, если кому-то нужен L2 канал, то на этих микротиках поднимается EoIP туннель по нашей сети, соответственно там же автоматом и резервирование, если какой-то сегмент сети отключится. Никакие вланы никуда не пробрасываем, это уже устаревшая технология.

Ага, т.е. что такое л2 резервирование мы не знаем? И про STP (прости господи) тоже не знаем? А ещё лучше ERPS, или LACP.

Я боюсь себе представить такой зоопарк на 1к+ микротиков, с нетипичными настройками... Уже чувствую как седина появляется на жопе.

[myst]

А ещё лучше ERPS, или LACP

Про LACP саабу не говорите. Если он узнает что на микротике LACP глючит нещадно, он тут же объявит это устаревшей технологией, ну либо что его все настраивают неправильно и только он знает дзен =)

[GrandPr1de]

Про LACP саабу не говорите

Спасибо, запомню.

 

Уважаемый сааб05 забудтье о том, что я упоминал LACP.

[Saab95]

Ага, т.е. что такое л2 резервирование мы не знаем?

 

Такое резервирование уже устарело, все нормальные операторы уже не тянут все кабели, волокна и вланы в центр, а терминируют на промежуточных узлах.

 

И про STP (прости господи) тоже не знаем?

 

Устаревшая технология. Знаете сколько с ней глюков? Не проще ли две стороны не замыкать в кольцо, а подключить к двум независимым серверам, которые могут принимать запросы сразу по обоим веткам, тогда и двойное увеличение пропускной способности будет.

 

А ещё лучше ERPS, или LACP.

 

Эти технологии еще более устаревшие.

 

Я боюсь себе представить такой зоопарк на 1к+ микротиков, с нетипичными настройками... Уже чувствую как седина появляется на жопе.

 

С какими еще не типичными? Все настройки везде одинаковые, вливаемые по типовому конфигу.

 

Короче если мышление коммутаторское, а есть роутерское. Часто мыслят по коммутаторски, т.к. он ничего толком не умеет.

[myst]

Эти технологии еще более устаревшие.

Сааб решил всему форуму продлить жизнь.

Кто тут заикался что он "Иногда дает дельные советы"? =))))))))))

[GrandPr1de]

С какими еще не типичными? Все настройки везде одинаковые, вливаемые по типовому конфигу.

Вы же пробрасываете EoIP тунели, они везде одинаковые?

Типичная ага, если столько расскаызвать про то что вы выдали такую кучу еоип тунелей, мне страшно просто, от того что там на этих микротиках, и не дай бог сдохнет 10-20 штук (гроза удачная) - как восстанавливать "нетипичные" еоип тунели?

[pppoetest]

LACP.

Эти технологии еще более устаревшие.

Мдааа.

[Night_Snake]

Мдааа.

А чему вы удивляетесь? Все, на чем микротик глючит, является устаревшей технологией

[Saab95]

Вы же пробрасываете EoIP тунели, они везде одинаковые?

Типичная ага, если столько расскаызвать про то что вы выдали такую кучу еоип тунелей, мне страшно просто, от того что там на этих микротиках, и не дай бог сдохнет 10-20 штук (гроза удачная) - как восстанавливать "нетипичные" еоип тунели?

 

Сеть на базе L3, на микротиках только настройки OSPF, где надо L2TP туннели для связности через интернет на центральную железку. Поэтому один роутер от другого отличается только настройками IP адресов. А EoIP туннели нужны для предоставления L2 каналов, которых не много. Тем более есть вся документация и восстановить никаких проблем нет.