Jump to content
Калькуляторы

HELP канал IP VPN L3 Организация канала VPN

Доброго времени суток всем!

 

Помогите разобраться, клиенту нужны каналы IP VPN L3, внутри провайдерской сети.

 

Если дешево и сердито то я так понимаю ставлю D-link DSR-150 на точках настраиваем VPN между ними и все рады!

 

Или все идет по другому и необходимо поднимать MPLS.

 

Куда копать?

 

Если не хвататет информации то отвечу на все вопросы.

 

Спасибо!

Share this post


Link to post
Share on other sites

Не обязательно поднимать mpls. Если дешёво, то есть 2 варианта:

- ставится отдельный роутер под этого клиента, все точки до роутера пригоняются вланами

- ставится роутер, умеющий vrf-lite(например, сервер с linux и ядром, умеющем netns(почти все умеют)). Это тоже самое, что и один, только на этот роутер можно будет втащить несколько клиентов, желающих L3VPN.

 

vrf-lite умеют старые Cisco типа 3550 и современные китайские l3 свитчи. это может выйте даже дешевле, чем сервер

Share this post


Link to post
Share on other sites

s.lobanov спасибо, тоесть мой вариант не подойдет? если нет то почему? что разобраться.

Share this post


Link to post
Share on other sites

ксатти есть Cisco 3750 но она в работе служит маршрутизатором в сети.

Share this post


Link to post
Share on other sites
ксатти есть Cisco 3750 но она в работе служит маршрутизатором в сети.

 

Если она простаивает, то можно затерминировать VRF на ней, но опять же как сказал s.lobanov, необходимо тянуть вланы и терминировать их в vrf

Share this post


Link to post
Share on other sites

А в чем тогда сакральный смысл делать л3, если для этого нужно пригнать несколько разных влснов в единую точку терминации?

Зачем этот лишний геморный роутинг клиентского барахла, когда в этих условиях очевидно и проще сделать один влан на все точки и организовать л2впн?

Share this post


Link to post
Share on other sites

А в чем тогда сакральный смысл делать л3, если для этого нужно пригнать несколько разных влснов в единую точку терминации?

Зачем этот лишний геморный роутинг клиентского барахла, когда в этих условиях очевидно и проще сделать один влан на все точки и организовать л2впн?

Так все равно не пойму требования заказчика IP VPN L3, L2vpn получается другое.

 

Объясните тогда как организовать IP VPN L3 , какими средствами? желательно всетаки без MPLS, точно не подойдет решение поставить какой нить Dlink маршрутизатор с VPN и настроить их друг на друга.

Share this post


Link to post
Share on other sites

А в чем тогда сакральный смысл делать л3, если для этого нужно пригнать несколько разных влснов в единую точку терминации?

Зачем этот лишний геморный роутинг клиентского барахла, когда в этих условиях очевидно и проще сделать один влан на все точки и организовать л2впн?

Ответ простой - заказчик хочет l3vpn или может и не хочет, но у него уже есть куча точек л3впн. И здесь вопрос как это реализовать подешевле.

 

Кстати, крупняк тоже балуется стягиванием длинного л2 до крупных железок через свои шпд-отростки(имея mpls железо недалеко от точки включения), но там это происходит из-за централизации управления и траблшутинга.

Share this post


Link to post
Share on other sites

А в чем тогда сакральный смысл делать л3, если для этого нужно пригнать несколько разных влснов в единую точку терминации?

Зачем этот лишний геморный роутинг клиентского барахла, когда в этих условиях очевидно и проще сделать один влан на все точки и организовать л2впн?

Ответ простой - заказчик хочет l3vpn или может и не хочет, но у него уже есть куча точек л3впн. И здесь вопрос как это реализовать подешевле.

 

Кстати, крупняк тоже балуется стягиванием длинного л2 до крупных железок через свои шпд-отростки(имея mpls железо недалеко от точки включения), но там это происходит из-за централизации управления и траблшутинга.

Ой не всегда. Мы тоже крупняк, причем географически разнесенный по всей стране.

Я какраз стараюсь терминировать л3 непосредственно на последней миле до филиала. В распределенной сети л2 тишутить ещё гиморнее

Share this post


Link to post
Share on other sites

myst

вы вообще энтрпрайз как я понял. конечно, я не имел ввиду всех, а просто говорю о том, что подобные не очень прямые схемы(длинный л2) используют не только мусохранск-телекомы

Share this post


Link to post
Share on other sites

Не, ну я понимаю "заказчик хочет". Просто судя по тому как ТС видит решение, то походу заказчику сразу нужно искать альтернативного оператора.

Задачу можно всё таки пояснить исходя из ТЗ? Может быть он не видит более эффективного способа её решения, можно же и подсказать так-то :)

 

Если он "просто хочет", то тогда делайте отдельный VRF на 3750, в него сводите вланы идущие к заказчику и роутите их там. Самый простой вариант и искать проблемы проще в 256 раз, чем в "Dlink маршрутизатор с VPN и настроить их друг на друга."

Share this post


Link to post
Share on other sites

Не, ну я понимаю "заказчик хочет". Просто судя по тому как ТС видит решение, то походу заказчику сразу нужно искать альтернативного оператора.

Задачу можно всё таки пояснить исходя из ТЗ? Может быть он не видит более эффективного способа её решения, можно же и подсказать так-то :)

 

Если он "просто хочет", то тогда делайте отдельный VRF на 3750, в него сводите вланы идущие к заказчику и роутите их там. Самый простой вариант и искать проблемы проще в 256 раз, чем в "Dlink маршрутизатор с VPN и настроить их друг на друга."

Спасибо за правду! Решения еще нет как такового, только исходя из ваших опытных предложений. Вариант с Dlink мне честно самому не нравится, раньше предоставляли каналы чисто Vlana-ми, с L3 VPN ни когда не сталкивались, предложили этими Dlink но хочется уйти от этого предложения ну а уходить только вашими подсказками.

3550 Подойдет же тоже для этого дела? ВрРоде написали что да.

Share this post


Link to post
Share on other sites

Самый дешевый вариант микротик поставить, а саму сеть, в том числе свою, делать исключительно на L3.

Share this post


Link to post
Share on other sites

Самый дешевый вариант микротик поставить, а саму сеть, в том числе свою, делать исключительно на L3.

 

Вот как раз VRF-ы на шлакотике реализованы криво. http://forum.mikrotik.com/viewtopic.php?t=70274 , в последнем посте ссылка на мой блог, там описано в чём проблема. Не пофиксили ещё?

 

а саму сеть, в том числе свою, делать исключительно на L3.

 

Тогда для реализации L3VPN нужна поддержка mpls на всей сети и mp-bgp на всех PE

Share this post


Link to post
Share on other sites

Тогда для реализации L3VPN нужна поддержка mpls на всей сети и mp-bgp на всех PE

 

Нет не нужна, достаточно поднять поверх сети IP-IP или EoIP туннель, а поверх него, с использованием еще двух микротиков, уже запустить OSPF для абонента.

Share this post


Link to post
Share on other sites

ет не нужна, достаточно поднять поверх сети IP-IP или EoIP туннель, а поверх него, с использованием еще двух микротиков, уже запустить OSPF для абонента.

 

Рукалицо...

И на каждого абонента роут фильтр (а то недайбох что-то не то заанонсят) который в некротике реализован крайне криво (но-премер иногда не применяются новые фильтры без ребута девайса, причем на всех версихя ROS).

 

Ааааатличное решение, сааб! Продолжай свою антирекламу.

Share this post


Link to post
Share on other sites

Тогда для реализации L3VPN нужна поддержка mpls на всей сети и mp-bgp на всех PE

 

Нет не нужна, достаточно поднять поверх сети IP-IP или EoIP туннель, а поверх него, с использованием еще двух микротиков, уже запустить OSPF для абонента.

 

Блин, я никак не могу понять, вы тролль, или же, действительно, так считаете?

Share this post


Link to post
Share on other sites

Тогда для реализации L3VPN нужна поддержка mpls на всей сети и mp-bgp на всех PE

 

Нет не нужна, достаточно поднять поверх сети IP-IP или EoIP туннель, а поверх него, с использованием еще двух микротиков, уже запустить OSPF для абонента.

 

Блин, я никак не могу понять, вы тролль, или же, действительно, так считаете?

Мне кажется что он плотно на веществах сидит. Причем тяжелых. Иначе не объяснить его упорное нежелание понимать место микротика в реалиях современных сетей.

Share this post


Link to post
Share on other sites
Не пофиксили ещё?

"Правильные" VRF'ы обещают в 7й версии, которая "скоро". Ждём.

 

По теме - а что мешает поставить по оба конца по бытовой мыльнице, просто выключив NAT? Или я что-то недопонял?

Share this post


Link to post
Share on other sites

Тогда для реализации L3VPN нужна поддержка mpls на всей сети и mp-bgp на всех PE

 

Нет не нужна, достаточно поднять поверх сети IP-IP или EoIP туннель, а поверх него, с использованием еще двух микротиков, уже запустить OSPF для абонента.

 

Блин, я никак не могу понять, вы тролль, или же, действительно, так считаете?

 

Его решение работать будет, а сам он продаёт шлакотики. Того глядишь кто-нибудь и купится на схему с 2-3 микротиками вместо одного устройства

Share this post


Link to post
Share on other sites

Доброго времени суток всем!

 

Помогите разобраться, клиенту нужны каналы IP VPN L3, внутри провайдерской сети.

 

Если дешево и сердито то я так понимаю ставлю D-link DSR-150 на точках настраиваем VPN между ними и все рады!

 

Или все идет по другому и необходимо поднимать MPLS.

 

Куда копать?

 

Если не хвататет информации то отвечу на все вопросы.

 

Спасибо!

 

IPVPN хотят когда надо гарантированный канал иметь, иначе все можно через DMVPN (если циска) соединить. Поэтому L3 свитчи типа Cisco 3750 тут не прокатывают. Что-нибудь из Cisco ISR G2 надо или старого зверя Cisco 1841.

Если надо выводить VLANы со свитчей доступа, то этим вланам надо назначать более высокий приоритет чем residential трафику

Share this post


Link to post
Share on other sites

Поэтому L3 свитчи типа Cisco 3750 тут не прокатывают. Что-нибудь из Cisco ISR G2 надо или старого зверя Cisco 1841.

 

Рассказывайте о чём вы тут пишите. Про всякие инкаспулированные впн-ы чтоль? c3750 как ваерспид l3-свитч куда лучше чем барахло типа 1841

Share this post


Link to post
Share on other sites

И на каждого абонента роут фильтр (а то недайбох что-то не то заанонсят) который в некротике реализован крайне криво (но-премер иногда не применяются новые фильтры без ребута девайса, причем на всех версихя ROS).

 

Я же не абоненту предлагаю роутеры поставить, а оператору на свои сети для предоставления услуг абоненту, никаких проблем они не создадут. Вполне рабочее решение.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this