stavrus Опубликовано 11 апреля, 2015 · Жалоба Доброго времени суток всем! Помогите разобраться, клиенту нужны каналы IP VPN L3, внутри провайдерской сети. Если дешево и сердито то я так понимаю ставлю D-link DSR-150 на точках настраиваем VPN между ними и все рады! Или все идет по другому и необходимо поднимать MPLS. Куда копать? Если не хвататет информации то отвечу на все вопросы. Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 11 апреля, 2015 · Жалоба Не обязательно поднимать mpls. Если дешёво, то есть 2 варианта: - ставится отдельный роутер под этого клиента, все точки до роутера пригоняются вланами - ставится роутер, умеющий vrf-lite(например, сервер с linux и ядром, умеющем netns(почти все умеют)). Это тоже самое, что и один, только на этот роутер можно будет втащить несколько клиентов, желающих L3VPN. vrf-lite умеют старые Cisco типа 3550 и современные китайские l3 свитчи. это может выйте даже дешевле, чем сервер Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stavrus Опубликовано 11 апреля, 2015 · Жалоба s.lobanov спасибо, тоесть мой вариант не подойдет? если нет то почему? что разобраться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stavrus Опубликовано 11 апреля, 2015 · Жалоба ксатти есть Cisco 3750 но она в работе служит маршрутизатором в сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MonaxGT Опубликовано 11 апреля, 2015 · Жалоба ксатти есть Cisco 3750 но она в работе служит маршрутизатором в сети. Если она простаивает, то можно затерминировать VRF на ней, но опять же как сказал s.lobanov, необходимо тянуть вланы и терминировать их в vrf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 12 апреля, 2015 · Жалоба А в чем тогда сакральный смысл делать л3, если для этого нужно пригнать несколько разных влснов в единую точку терминации? Зачем этот лишний геморный роутинг клиентского барахла, когда в этих условиях очевидно и проще сделать один влан на все точки и организовать л2впн? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stavrus Опубликовано 12 апреля, 2015 · Жалоба А в чем тогда сакральный смысл делать л3, если для этого нужно пригнать несколько разных влснов в единую точку терминации? Зачем этот лишний геморный роутинг клиентского барахла, когда в этих условиях очевидно и проще сделать один влан на все точки и организовать л2впн? Так все равно не пойму требования заказчика IP VPN L3, L2vpn получается другое. Объясните тогда как организовать IP VPN L3 , какими средствами? желательно всетаки без MPLS, точно не подойдет решение поставить какой нить Dlink маршрутизатор с VPN и настроить их друг на друга. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 12 апреля, 2015 · Жалоба А в чем тогда сакральный смысл делать л3, если для этого нужно пригнать несколько разных влснов в единую точку терминации? Зачем этот лишний геморный роутинг клиентского барахла, когда в этих условиях очевидно и проще сделать один влан на все точки и организовать л2впн? Ответ простой - заказчик хочет l3vpn или может и не хочет, но у него уже есть куча точек л3впн. И здесь вопрос как это реализовать подешевле. Кстати, крупняк тоже балуется стягиванием длинного л2 до крупных железок через свои шпд-отростки(имея mpls железо недалеко от точки включения), но там это происходит из-за централизации управления и траблшутинга. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 12 апреля, 2015 · Жалоба А в чем тогда сакральный смысл делать л3, если для этого нужно пригнать несколько разных влснов в единую точку терминации? Зачем этот лишний геморный роутинг клиентского барахла, когда в этих условиях очевидно и проще сделать один влан на все точки и организовать л2впн? Ответ простой - заказчик хочет l3vpn или может и не хочет, но у него уже есть куча точек л3впн. И здесь вопрос как это реализовать подешевле. Кстати, крупняк тоже балуется стягиванием длинного л2 до крупных железок через свои шпд-отростки(имея mpls железо недалеко от точки включения), но там это происходит из-за централизации управления и траблшутинга. Ой не всегда. Мы тоже крупняк, причем географически разнесенный по всей стране. Я какраз стараюсь терминировать л3 непосредственно на последней миле до филиала. В распределенной сети л2 тишутить ещё гиморнее Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 12 апреля, 2015 · Жалоба myst вы вообще энтрпрайз как я понял. конечно, я не имел ввиду всех, а просто говорю о том, что подобные не очень прямые схемы(длинный л2) используют не только мусохранск-телекомы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 12 апреля, 2015 · Жалоба Не, ну я понимаю "заказчик хочет". Просто судя по тому как ТС видит решение, то походу заказчику сразу нужно искать альтернативного оператора. Задачу можно всё таки пояснить исходя из ТЗ? Может быть он не видит более эффективного способа её решения, можно же и подсказать так-то :) Если он "просто хочет", то тогда делайте отдельный VRF на 3750, в него сводите вланы идущие к заказчику и роутите их там. Самый простой вариант и искать проблемы проще в 256 раз, чем в "Dlink маршрутизатор с VPN и настроить их друг на друга." Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stavrus Опубликовано 12 апреля, 2015 · Жалоба Не, ну я понимаю "заказчик хочет". Просто судя по тому как ТС видит решение, то походу заказчику сразу нужно искать альтернативного оператора. Задачу можно всё таки пояснить исходя из ТЗ? Может быть он не видит более эффективного способа её решения, можно же и подсказать так-то :) Если он "просто хочет", то тогда делайте отдельный VRF на 3750, в него сводите вланы идущие к заказчику и роутите их там. Самый простой вариант и искать проблемы проще в 256 раз, чем в "Dlink маршрутизатор с VPN и настроить их друг на друга." Спасибо за правду! Решения еще нет как такового, только исходя из ваших опытных предложений. Вариант с Dlink мне честно самому не нравится, раньше предоставляли каналы чисто Vlana-ми, с L3 VPN ни когда не сталкивались, предложили этими Dlink но хочется уйти от этого предложения ну а уходить только вашими подсказками. 3550 Подойдет же тоже для этого дела? ВрРоде написали что да. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 12 апреля, 2015 · Жалоба 3550 Подойдет же тоже для этого дела? ВрРоде написали что да. подойдёт. http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3550/software/release/12-2_25_see/command/reference/cr/cli1.html#wp2092542 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stavrus Опубликовано 12 апреля, 2015 · Жалоба Все ясно! Большое всем спасибо!!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 12 апреля, 2015 · Жалоба Самый дешевый вариант микротик поставить, а саму сеть, в том числе свою, делать исключительно на L3. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 12 апреля, 2015 · Жалоба Самый дешевый вариант микротик поставить, а саму сеть, в том числе свою, делать исключительно на L3. Вот как раз VRF-ы на шлакотике реализованы криво. http://forum.mikrotik.com/viewtopic.php?t=70274 , в последнем посте ссылка на мой блог, там описано в чём проблема. Не пофиксили ещё? а саму сеть, в том числе свою, делать исключительно на L3. Тогда для реализации L3VPN нужна поддержка mpls на всей сети и mp-bgp на всех PE Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 12 апреля, 2015 · Жалоба Тогда для реализации L3VPN нужна поддержка mpls на всей сети и mp-bgp на всех PE Нет не нужна, достаточно поднять поверх сети IP-IP или EoIP туннель, а поверх него, с использованием еще двух микротиков, уже запустить OSPF для абонента. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 13 апреля, 2015 · Жалоба ет не нужна, достаточно поднять поверх сети IP-IP или EoIP туннель, а поверх него, с использованием еще двух микротиков, уже запустить OSPF для абонента. Рукалицо... И на каждого абонента роут фильтр (а то недайбох что-то не то заанонсят) который в некротике реализован крайне криво (но-премер иногда не применяются новые фильтры без ребута девайса, причем на всех версихя ROS). Ааааатличное решение, сааб! Продолжай свою антирекламу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 13 апреля, 2015 · Жалоба Тогда для реализации L3VPN нужна поддержка mpls на всей сети и mp-bgp на всех PE Нет не нужна, достаточно поднять поверх сети IP-IP или EoIP туннель, а поверх него, с использованием еще двух микротиков, уже запустить OSPF для абонента. Блин, я никак не могу понять, вы тролль, или же, действительно, так считаете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 13 апреля, 2015 · Жалоба Тогда для реализации L3VPN нужна поддержка mpls на всей сети и mp-bgp на всех PE Нет не нужна, достаточно поднять поверх сети IP-IP или EoIP туннель, а поверх него, с использованием еще двух микротиков, уже запустить OSPF для абонента. Блин, я никак не могу понять, вы тролль, или же, действительно, так считаете? Мне кажется что он плотно на веществах сидит. Причем тяжелых. Иначе не объяснить его упорное нежелание понимать место микротика в реалиях современных сетей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergeylo Опубликовано 13 апреля, 2015 · Жалоба Не пофиксили ещё? "Правильные" VRF'ы обещают в 7й версии, которая "скоро". Ждём. По теме - а что мешает поставить по оба конца по бытовой мыльнице, просто выключив NAT? Или я что-то недопонял? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 13 апреля, 2015 · Жалоба Тогда для реализации L3VPN нужна поддержка mpls на всей сети и mp-bgp на всех PE Нет не нужна, достаточно поднять поверх сети IP-IP или EoIP туннель, а поверх него, с использованием еще двух микротиков, уже запустить OSPF для абонента. Блин, я никак не могу понять, вы тролль, или же, действительно, так считаете? Его решение работать будет, а сам он продаёт шлакотики. Того глядишь кто-нибудь и купится на схему с 2-3 микротиками вместо одного устройства Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rover-lt Опубликовано 13 апреля, 2015 · Жалоба Доброго времени суток всем! Помогите разобраться, клиенту нужны каналы IP VPN L3, внутри провайдерской сети. Если дешево и сердито то я так понимаю ставлю D-link DSR-150 на точках настраиваем VPN между ними и все рады! Или все идет по другому и необходимо поднимать MPLS. Куда копать? Если не хвататет информации то отвечу на все вопросы. Спасибо! IPVPN хотят когда надо гарантированный канал иметь, иначе все можно через DMVPN (если циска) соединить. Поэтому L3 свитчи типа Cisco 3750 тут не прокатывают. Что-нибудь из Cisco ISR G2 надо или старого зверя Cisco 1841. Если надо выводить VLANы со свитчей доступа, то этим вланам надо назначать более высокий приоритет чем residential трафику Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 13 апреля, 2015 · Жалоба Поэтому L3 свитчи типа Cisco 3750 тут не прокатывают. Что-нибудь из Cisco ISR G2 надо или старого зверя Cisco 1841. Рассказывайте о чём вы тут пишите. Про всякие инкаспулированные впн-ы чтоль? c3750 как ваерспид l3-свитч куда лучше чем барахло типа 1841 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 апреля, 2015 · Жалоба И на каждого абонента роут фильтр (а то недайбох что-то не то заанонсят) который в некротике реализован крайне криво (но-премер иногда не применяются новые фильтры без ребута девайса, причем на всех версихя ROS). Я же не абоненту предлагаю роутеры поставить, а оператору на свои сети для предоставления услуг абоненту, никаких проблем они не создадут. Вполне рабочее решение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...