alibek Posted April 2, 2016 · Report post Такой вот вопрос назрел. На коммутаторах доступа включена изоляция портов, трафик может ходить только на аплинк. Даю некоторым клиентам L2VPN. Когда они в разных местах, тогда все хорошо, но иногда получается так, что обе точки подключены в один коммутатор доступа. И тогда, разумеется, трафик у них не ходит. Если с этих портов убрать изоляцию, тогда все начинает работать, но это не лучшее решение. Я бы хотел, чтобы трафик L2VPN ходил до ядра и коммутировался уже там. Но коммутаторы доступа пакеты в аплинк не передают; как я понимаю, если источник и приемник на коммутаторе, но изолированы, то пакеты просто дропаются. Пока что мне на ум только одно решение приходит — помещать точки L2VPN в разные VLAN и бриджевать на ядре. Но может можно что-то другое придумать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted April 2, 2016 · Report post Еще можно отключить мак-лёрнинг Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted April 2, 2016 · Report post А разве тогда трафик не будет рассылаться на все порты? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted April 2, 2016 · Report post Вам шашечки или ехать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
S.Sannikov Posted April 2, 2016 · Report post Вам шашечки или ехать? В едро то он уйдет, а как вернется? А по теме: В едре делаете interface vlan xxx, а на нем ip proxy-arp. Это если циска. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted April 2, 2016 · Report post Вам шашечки или ехать? В едро то он уйдет, а как вернется? Согласен, тогда только разные вланы Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted April 2, 2016 · Report post Видимо я что-то не понял. Вот у меня пачка VLAN: 301, 302, 303, ..., 399. Мне нужно "соединить" 301+302, 303+304, 305+306+307. Если я создам пачку interface vlan и везде укажу ip proxy-arp, разве не получится полная каша? Мне фактически нужен mpls pseudowire, только у меня нет MPLS. На маршрутизаторах Cisco можно сделать сабинтерфейсы и сбриджевать их, но у меня из подходящих железок на ядре только каталисты (которые так не умеют) и Extreme X670. Extreme наверняка такое умеет, но я бы предпочел эту задачу передать на каталисты. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted April 2, 2016 · Report post я бы просто отключил изоляцию портов и не занимался ерундой. Не смысла гонять через центр трафик между двумя портами одного свича Потому что опять начинается, того не могу, этого нету, и никто не помнит зачем вообще это надо было Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted April 2, 2016 · Report post Смысл в единообразии настроек оборудования. Если топология строго укладывается в звезду, это удобно, а необходимость отключения изоляции портов эту схему ломает. А отключать изоляцию портов нежелательно, у меня PPPoE и VLAN на дом/ветку. Кроме того, на доступе мало возможностей по управлению полосой и приоритетами (некоторые коммутаторы умеют только на egress применять полисер), а на ядре этих возможностей больше. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted April 2, 2016 · Report post Изоляцию отключать только для портов с этми сервисом. или ваши свичи этого тоже не умеют? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted April 2, 2016 · Report post Вроде бы на русском языке писал. Сейчас я именно так и делаю. Но мне это кажется не очень правильным, я бы предпочел гонять трафик до ядра и коммутировать там. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted April 2, 2016 · Report post Зачем? Там написано много общих слов которые приходится додумывать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted April 2, 2016 · Report post Пока что мне на ум только одно решение приходит — помещать точки L2VPN в разные VLAN и бриджевать на ядре. Если вы хотите гнать трафик до "ядра", то запихивать порты одного свитча в разные вланы это лучшее решенее. Другое дело чем их бриджевать... Надо ли очень хороший свитч, либо костыли Ну а вообще не вижу причин не отключать порт-изоляцию на конкретных портах, куда включены 2 точки L2VPN-клиента. Всё равно ж влан будет отличаться от других портов, так что не нагадят они другим абонентам. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
S.Sannikov Posted April 2, 2016 · Report post Повторюсь. Два абонента в одном vlan будут общаться через ядро если в ядре завести на этот влан интерфейс и включить ip proxy-arp. Только ядро должно знать ip абонентов, потому как будет уже маршрутизировать этот трафик. Не забыть выделить в отдельный vrf. И действительно, мы в таких редких случаях просто отключаем изоляцию на этих портах. Ведь в любом случае это уникальные настройки для уникального клиента. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted April 2, 2016 (edited) · Report post трафик не будет бежать через ядро при л3 интерфейсе и прокси-арпе так-как банальный arp запрос прилетит быстрее из соседнего порта нежели от ядра, только начнутся ещё и непонятки в виде "хост пытается подменить арп запись, АХТУНГ!!" вот всякие аннамбереды + разные вланы эт да в ядре: создаете лупбек, на него ипишку и вешаете Н количество вланов с включеным прокси-арп на доступе: изоляцию не трогаете, разносите порты в разные вланы профит только на каждого клиента свой лупбек есесно Edited April 2, 2016 by GrandPr1de Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tehmeh Posted April 3, 2016 · Report post в ядре: создаете лупбек, на него ипишку и вешаете Н количество вланов с включеным прокси-арп Какую ip-шку надо вешать на лупбек? На n-ное кол-во SVI разве не должно быть маршрутов, какие за ними адреса, чтобы proxy-arp отрабатывал? Это уже не l2vpn. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted April 3, 2016 · Report post Какой IP, я же L2 даю. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted April 3, 2016 (edited) · Report post в ядре: создаете лупбек, на него ипишку и вешаете Н количество вланов с включеным прокси-арп Какую ip-шку надо вешать на лупбек? На n-ное кол-во SVI разве не должно быть маршрутов, какие за ними адреса, чтобы proxy-arp отрабатывал? Это уже не l2vpn. poll поидее исходя из ипишек в л2 пространстве клиента хотя хз, может можно и левые ставить Какой IP, я же L2 даю. ну либо бридж либо аннамберед ваши каталисты не умеют бриджа - зато умеют аннаберед Edited April 3, 2016 by GrandPr1de Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted April 3, 2016 · Report post Повторюсь. Два абонента в одном vlan будут общаться через ядро если в ядре завести на этот влан интерфейс и включить ip proxy-arp. Только ядро должно знать ip абонентов, потому как будет уже маршрутизировать этот трафик. Не забыть выделить в отдельный vrf. Это говно какое-то извращённое, а не L2VPN. L2 это L2, когда клиент сам назначает IP какие хочет и ISP в этом никак не участвует Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted April 3, 2016 · Report post решений тут ровно два - или делать vlan-на-абонента, или отключать изоляцию для конкретных портов Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Liner's Posted April 3, 2016 · Report post Не знаю сколько у тс абонентов, но есть большая вероятность, когда абон отвалиться, на его место включат другого и никто не вспомнит что там особые настройки, потом разбираться дольше откуда это Я за влан Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...