[alibek]

Такой вот вопрос назрел.

На коммутаторах доступа включена изоляция портов, трафик может ходить только на аплинк.

Даю некоторым клиентам L2VPN. Когда они в разных местах, тогда все хорошо, но иногда получается так, что обе точки подключены в один коммутатор доступа.

И тогда, разумеется, трафик у них не ходит.

Если с этих портов убрать изоляцию, тогда все начинает работать, но это не лучшее решение.

Я бы хотел, чтобы трафик L2VPN ходил до ядра и коммутировался уже там. Но коммутаторы доступа пакеты в аплинк не передают; как я понимаю, если источник и приемник на коммутаторе, но изолированы, то пакеты просто дропаются.

Пока что мне на ум только одно решение приходит — помещать точки L2VPN в разные VLAN и бриджевать на ядре.

Но может можно что-то другое придумать?

[zi_rus]

Еще можно отключить мак-лёрнинг

[alibek]

А разве тогда трафик не будет рассылаться на все порты?

[zi_rus]

Вам шашечки или ехать?

[S.Sannikov]

Вам шашечки или ехать?

 

В едро то он уйдет, а как вернется?

 

 

А по теме: В едре делаете interface vlan xxx, а на нем ip proxy-arp. Это если циска.

[zi_rus]

Вам шашечки или ехать?

 

В едро то он уйдет, а как вернется?

Согласен, тогда только разные вланы

[alibek]

Видимо я что-то не понял.

Вот у меня пачка VLAN: 301, 302, 303, ..., 399.

Мне нужно "соединить" 301+302, 303+304, 305+306+307.

Если я создам пачку interface vlan и везде укажу ip proxy-arp, разве не получится полная каша?

Мне фактически нужен mpls pseudowire, только у меня нет MPLS.

На маршрутизаторах Cisco можно сделать сабинтерфейсы и сбриджевать их, но у меня из подходящих железок на ядре только каталисты (которые так не умеют) и Extreme X670. Extreme наверняка такое умеет, но я бы предпочел эту задачу передать на каталисты.

[zi_rus]

я бы просто отключил изоляцию портов и не занимался ерундой. Не смысла гонять через центр трафик между двумя портами одного свича

Потому что опять начинается, того не могу, этого нету, и никто не помнит зачем вообще это надо было

[alibek]

Смысл в единообразии настроек оборудования.

Если топология строго укладывается в звезду, это удобно, а необходимость отключения изоляции портов эту схему ломает.

А отключать изоляцию портов нежелательно, у меня PPPoE и VLAN на дом/ветку.

Кроме того, на доступе мало возможностей по управлению полосой и приоритетами (некоторые коммутаторы умеют только на egress применять полисер), а на ядре этих возможностей больше.

[zi_rus]

Изоляцию отключать только для портов с этми сервисом. или ваши свичи этого тоже не умеют?

[alibek]

Вроде бы на русском языке писал.

Сейчас я именно так и делаю.

Но мне это кажется не очень правильным, я бы предпочел гонять трафик до ядра и коммутировать там.

[zi_rus]

Зачем?

 

Там написано много общих слов которые приходится додумывать

[s.lobanov]

Пока что мне на ум только одно решение приходит — помещать точки L2VPN в разные VLAN и бриджевать на ядре.

 

Если вы хотите гнать трафик до "ядра", то запихивать порты одного свитча в разные вланы это лучшее решенее. Другое дело чем их бриджевать... Надо ли очень хороший свитч, либо костыли

 

Ну а вообще не вижу причин не отключать порт-изоляцию на конкретных портах, куда включены 2 точки L2VPN-клиента. Всё равно ж влан будет отличаться от других портов, так что не нагадят они другим абонентам.

[S.Sannikov]

Повторюсь. Два абонента в одном vlan будут общаться через ядро если в ядре завести на этот влан интерфейс и включить ip proxy-arp. Только ядро должно знать ip абонентов, потому как будет уже маршрутизировать этот трафик. Не забыть выделить в отдельный vrf.

 

И действительно, мы в таких редких случаях просто отключаем изоляцию на этих портах. Ведь в любом случае это уникальные настройки для уникального клиента.

[GrandPr1de]

трафик не будет бежать через ядро при л3 интерфейсе и прокси-арпе

так-как банальный arp запрос прилетит быстрее из соседнего порта нежели от ядра, только начнутся ещё и непонятки в виде "хост пытается подменить арп запись, АХТУНГ!!"

вот всякие аннамбереды + разные вланы эт да

 

в ядре:

создаете лупбек, на него ипишку

и вешаете Н количество вланов с включеным прокси-арп

на доступе:

изоляцию не трогаете, разносите порты в разные вланы

 

профит

 

только на каждого клиента свой лупбек есесно

Edited April 2, 2016 by GrandPr1de

[tehmeh]

 

в ядре:

создаете лупбек, на него ипишку

и вешаете Н количество вланов с включеным прокси-арп

 

Какую ip-шку надо вешать на лупбек? На n-ное кол-во SVI разве не должно быть маршрутов, какие за ними адреса, чтобы proxy-arp отрабатывал? Это уже не l2vpn.

[alibek]

Какой IP, я же L2 даю.

[GrandPr1de]

в ядре:

создаете лупбек, на него ипишку

и вешаете Н количество вланов с включеным прокси-арп

 

Какую ip-шку надо вешать на лупбек? На n-ное кол-во SVI разве не должно быть маршрутов, какие за ними адреса, чтобы proxy-arp отрабатывал? Это уже не l2vpn.

poll

поидее исходя из ипишек в л2 пространстве клиента хотя хз, может можно и левые ставить

 

Какой IP, я же L2 даю.

 

ну либо бридж либо аннамберед

ваши каталисты не умеют бриджа - зато умеют аннаберед

Edited April 3, 2016 by GrandPr1de

[s.lobanov]

Повторюсь. Два абонента в одном vlan будут общаться через ядро если в ядре завести на этот влан интерфейс и включить ip proxy-arp. Только ядро должно знать ip абонентов, потому как будет уже маршрутизировать этот трафик. Не забыть выделить в отдельный vrf.

 

Это говно какое-то извращённое, а не L2VPN. L2 это L2, когда клиент сам назначает IP какие хочет и ISP в этом никак не участвует

[rdc]

решений тут ровно два - или делать vlan-на-абонента, или отключать изоляцию для конкретных портов

[Liner's]

Не знаю сколько у тс абонентов, но есть большая вероятность, когда абон отвалиться, на его место включат другого и никто не вспомнит что там особые настройки, потом разбираться дольше откуда это

 

Я за влан