HELP канал IP VPN L3

[stavrus]

Доброго времени суток всем!

 

Помогите разобраться, клиенту нужны каналы IP VPN L3, внутри провайдерской сети.

 

Если дешево и сердито то я так понимаю ставлю D-link DSR-150 на точках настраиваем VPN между ними и все рады!

 

Или все идет по другому и необходимо поднимать MPLS.

 

Куда копать?

 

Если не хвататет информации то отвечу на все вопросы.

 

Спасибо!

[s.lobanov]

Не обязательно поднимать mpls. Если дешёво, то есть 2 варианта:

- ставится отдельный роутер под этого клиента, все точки до роутера пригоняются вланами

- ставится роутер, умеющий vrf-lite(например, сервер с linux и ядром, умеющем netns(почти все умеют)). Это тоже самое, что и один, только на этот роутер можно будет втащить несколько клиентов, желающих L3VPN.

 

vrf-lite умеют старые Cisco типа 3550 и современные китайские l3 свитчи. это может выйте даже дешевле, чем сервер

[stavrus]

s.lobanov спасибо, тоесть мой вариант не подойдет? если нет то почему? что разобраться.

[stavrus]

ксатти есть Cisco 3750 но она в работе служит маршрутизатором в сети.

[MonaxGT]

ксатти есть Cisco 3750 но она в работе служит маршрутизатором в сети.

 

Если она простаивает, то можно затерминировать VRF на ней, но опять же как сказал s.lobanov, необходимо тянуть вланы и терминировать их в vrf

[vurd]

А в чем тогда сакральный смысл делать л3, если для этого нужно пригнать несколько разных влснов в единую точку терминации?

Зачем этот лишний геморный роутинг клиентского барахла, когда в этих условиях очевидно и проще сделать один влан на все точки и организовать л2впн?

[stavrus]

А в чем тогда сакральный смысл делать л3, если для этого нужно пригнать несколько разных влснов в единую точку терминации?

Зачем этот лишний геморный роутинг клиентского барахла, когда в этих условиях очевидно и проще сделать один влан на все точки и организовать л2впн?

Так все равно не пойму требования заказчика IP VPN L3, L2vpn получается другое.

 

Объясните тогда как организовать IP VPN L3 , какими средствами? желательно всетаки без MPLS, точно не подойдет решение поставить какой нить Dlink маршрутизатор с VPN и настроить их друг на друга.

[s.lobanov]

А в чем тогда сакральный смысл делать л3, если для этого нужно пригнать несколько разных влснов в единую точку терминации?

Зачем этот лишний геморный роутинг клиентского барахла, когда в этих условиях очевидно и проще сделать один влан на все точки и организовать л2впн?

Ответ простой - заказчик хочет l3vpn или может и не хочет, но у него уже есть куча точек л3впн. И здесь вопрос как это реализовать подешевле.

 

Кстати, крупняк тоже балуется стягиванием длинного л2 до крупных железок через свои шпд-отростки(имея mpls железо недалеко от точки включения), но там это происходит из-за централизации управления и траблшутинга.

[myst]

А в чем тогда сакральный смысл делать л3, если для этого нужно пригнать несколько разных влснов в единую точку терминации?

Зачем этот лишний геморный роутинг клиентского барахла, когда в этих условиях очевидно и проще сделать один влан на все точки и организовать л2впн?

Ответ простой - заказчик хочет l3vpn или может и не хочет, но у него уже есть куча точек л3впн. И здесь вопрос как это реализовать подешевле.

 

Кстати, крупняк тоже балуется стягиванием длинного л2 до крупных железок через свои шпд-отростки(имея mpls железо недалеко от точки включения), но там это происходит из-за централизации управления и траблшутинга.

Ой не всегда. Мы тоже крупняк, причем географически разнесенный по всей стране.

Я какраз стараюсь терминировать л3 непосредственно на последней миле до филиала. В распределенной сети л2 тишутить ещё гиморнее

[s.lobanov]

myst

вы вообще энтрпрайз как я понял. конечно, я не имел ввиду всех, а просто говорю о том, что подобные не очень прямые схемы(длинный л2) используют не только мусохранск-телекомы

[vurd]

Не, ну я понимаю "заказчик хочет". Просто судя по тому как ТС видит решение, то походу заказчику сразу нужно искать альтернативного оператора.

Задачу можно всё таки пояснить исходя из ТЗ? Может быть он не видит более эффективного способа её решения, можно же и подсказать так-то :)

 

Если он "просто хочет", то тогда делайте отдельный VRF на 3750, в него сводите вланы идущие к заказчику и роутите их там. Самый простой вариант и искать проблемы проще в 256 раз, чем в "Dlink маршрутизатор с VPN и настроить их друг на друга."

[stavrus]

Не, ну я понимаю "заказчик хочет". Просто судя по тому как ТС видит решение, то походу заказчику сразу нужно искать альтернативного оператора.

Задачу можно всё таки пояснить исходя из ТЗ? Может быть он не видит более эффективного способа её решения, можно же и подсказать так-то :)

 

Если он "просто хочет", то тогда делайте отдельный VRF на 3750, в него сводите вланы идущие к заказчику и роутите их там. Самый простой вариант и искать проблемы проще в 256 раз, чем в "Dlink маршрутизатор с VPN и настроить их друг на друга."

Спасибо за правду! Решения еще нет как такового, только исходя из ваших опытных предложений. Вариант с Dlink мне честно самому не нравится, раньше предоставляли каналы чисто Vlana-ми, с L3 VPN ни когда не сталкивались, предложили этими Dlink но хочется уйти от этого предложения ну а уходить только вашими подсказками.

3550 Подойдет же тоже для этого дела? ВрРоде написали что да.

[s.lobanov]

3550 Подойдет же тоже для этого дела? ВрРоде написали что да.

 

подойдёт. http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3550/software/release/12-2_25_see/command/reference/cr/cli1.html#wp2092542

[stavrus]

Все ясно! Большое всем спасибо!!!

[Saab95]

Самый дешевый вариант микротик поставить, а саму сеть, в том числе свою, делать исключительно на L3.

[s.lobanov]

Самый дешевый вариант микротик поставить, а саму сеть, в том числе свою, делать исключительно на L3.

 

Вот как раз VRF-ы на шлакотике реализованы криво. http://forum.mikrotik.com/viewtopic.php?t=70274 , в последнем посте ссылка на мой блог, там описано в чём проблема. Не пофиксили ещё?

 

а саму сеть, в том числе свою, делать исключительно на L3.

 

Тогда для реализации L3VPN нужна поддержка mpls на всей сети и mp-bgp на всех PE

[Saab95]

Тогда для реализации L3VPN нужна поддержка mpls на всей сети и mp-bgp на всех PE

 

Нет не нужна, достаточно поднять поверх сети IP-IP или EoIP туннель, а поверх него, с использованием еще двух микротиков, уже запустить OSPF для абонента.

[myst]

ет не нужна, достаточно поднять поверх сети IP-IP или EoIP туннель, а поверх него, с использованием еще двух микротиков, уже запустить OSPF для абонента.

 

Рукалицо...

И на каждого абонента роут фильтр (а то недайбох что-то не то заанонсят) который в некротике реализован крайне криво (но-премер иногда не применяются новые фильтры без ребута девайса, причем на всех версихя ROS).

 

Ааааатличное решение, сааб! Продолжай свою антирекламу.

[g3fox]

Тогда для реализации L3VPN нужна поддержка mpls на всей сети и mp-bgp на всех PE

 

Нет не нужна, достаточно поднять поверх сети IP-IP или EoIP туннель, а поверх него, с использованием еще двух микротиков, уже запустить OSPF для абонента.

 

Блин, я никак не могу понять, вы тролль, или же, действительно, так считаете?

[myst]

Тогда для реализации L3VPN нужна поддержка mpls на всей сети и mp-bgp на всех PE

 

Нет не нужна, достаточно поднять поверх сети IP-IP или EoIP туннель, а поверх него, с использованием еще двух микротиков, уже запустить OSPF для абонента.

 

Блин, я никак не могу понять, вы тролль, или же, действительно, так считаете?

Мне кажется что он плотно на веществах сидит. Причем тяжелых. Иначе не объяснить его упорное нежелание понимать место микротика в реалиях современных сетей.

[Sergeylo]

Не пофиксили ещё?

"Правильные" VRF'ы обещают в 7й версии, которая "скоро". Ждём.

 

По теме - а что мешает поставить по оба конца по бытовой мыльнице, просто выключив NAT? Или я что-то недопонял?

[s.lobanov]

Тогда для реализации L3VPN нужна поддержка mpls на всей сети и mp-bgp на всех PE

 

Нет не нужна, достаточно поднять поверх сети IP-IP или EoIP туннель, а поверх него, с использованием еще двух микротиков, уже запустить OSPF для абонента.

 

Блин, я никак не могу понять, вы тролль, или же, действительно, так считаете?

 

Его решение работать будет, а сам он продаёт шлакотики. Того глядишь кто-нибудь и купится на схему с 2-3 микротиками вместо одного устройства

[rover-lt]

Доброго времени суток всем!

 

Помогите разобраться, клиенту нужны каналы IP VPN L3, внутри провайдерской сети.

 

Если дешево и сердито то я так понимаю ставлю D-link DSR-150 на точках настраиваем VPN между ними и все рады!

 

Или все идет по другому и необходимо поднимать MPLS.

 

Куда копать?

 

Если не хвататет информации то отвечу на все вопросы.

 

Спасибо!

 

IPVPN хотят когда надо гарантированный канал иметь, иначе все можно через DMVPN (если циска) соединить. Поэтому L3 свитчи типа Cisco 3750 тут не прокатывают. Что-нибудь из Cisco ISR G2 надо или старого зверя Cisco 1841.

Если надо выводить VLANы со свитчей доступа, то этим вланам надо назначать более высокий приоритет чем residential трафику

[s.lobanov]

Поэтому L3 свитчи типа Cisco 3750 тут не прокатывают. Что-нибудь из Cisco ISR G2 надо или старого зверя Cisco 1841.

 

Рассказывайте о чём вы тут пишите. Про всякие инкаспулированные впн-ы чтоль? c3750 как ваерспид l3-свитч куда лучше чем барахло типа 1841

[Saab95]

И на каждого абонента роут фильтр (а то недайбох что-то не то заанонсят) который в некротике реализован крайне криво (но-премер иногда не применяются новые фильтры без ребута девайса, причем на всех версихя ROS).

 

Я же не абоненту предлагаю роутеры поставить, а оператору на свои сети для предоставления услуг абоненту, никаких проблем они не создадут. Вполне рабочее решение.