pl84 Posted October 11, 2016 · Report post ситуация такова: есть множество городов, в каждом городе филиал, в каждом филиале стоит роутер с пачкой одних и техе же VLAN (их до 10 штук) + ACL, от роутера (MSR 2004 24 AC) идет линк через криптошлюз на коммутатор (Alcatel 6850, внешний\граничащий, называйте как хотите, они есть и их надо использовать в проекте), дальше в коммутатор заходят 2 провайдера, от одного 2 линка с разных площадок подключения по оптике (как резервирование канала от одного провайдера), от второго - один линк (как запасной канал\провайдер). т.е. имеем: MSR 2004 24 AC <медь> криптошлюз <медь> Alcatel 6850 <3 линии связи от 2-х провайдеров по оптике> хочется организовать: проброс VLAN'ов между всеми объектами (их больше 20) с помощью динамического протокола маршрутизации OSPF v2 (ipv4), планируется использовать технологию MPLS L3 VPN или MPLS L2 VPN (Multi-Point VPN (VPLS)) на базе операторов связи, т.е. для нас это будет прозрачно на сколько я понимаю. теперь вопросы: 1. какие параметры мне надо сообщить оператору связи, чтобы у меня завелся OSPF внутри их MPLS L3 VPN: 1.1. ip адреса служебные для связи коммутаторов между собой по OSPF AREA 0, т.е. из будет чуть больше 20? 1.2. протокол маршрутизации, который я планирую использовать, т.е. OSPF v2? 1.3. про зашифрованный криптошлюзами трафик упоминать? 2. как мне показать свои внутренние сети в AREA 0, если они по сути не на 6850 коннектед, а на 2004 роутере в статусе коннектед, поднимать AREA 1-2X между 2004 и 6850 и использовать 6850 как ABR? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vermison Posted October 11, 2016 (edited) · Report post У вас тут 2 вопроса. Первый: проброс вланов между объектами. Такое возможно только через Л2-впн. Второй: OSPF. вопросы по сути взаимосключаемые, т.к. OSPF работает на л3 уровне, а вланки на втором. Через MPLS L3 VPN вланы не передаются. Только если использовать VPN-костыли на ваших роутерах "эмулируя л2 каналы". Или PBR. 1. Area и для каких сетей должно ходить. 1.1 На каком IP включать OSPF. 1.2 Можно и не сообщать 1.3 Если этот трафик IP то упоминайте, не упоминайте -- без разницы. А вот на эту фразу: "проброс VLAN'ов между всеми объектами (их больше 20) с помощью динамического протокола маршрутизации OSPF v2 (ipv4)" я не знаю, как отреагировать. Edited October 11, 2016 by Vermison Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EShirokiy Posted October 11, 2016 · Report post Можно сделать так: Прогнать пачку уникальных виланов через оператора (задача оператора, вам в нее вникать никак не надо), т.е. всего 40 штук (по 2 шт на канал) + 20 штук через другого оператора. На каждый вилан вешаем /30, создаем loopbackи на каждом маршрутизаторе, анонсим все это в нужную area. И на основе маршрутной информации поднимаем VPLS до вашего центра. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
orlik Posted October 11, 2016 · Report post Поговорите с операторами на тему CsC, а внутри уже поднимите vpls или что вашей душе будет угодно Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted October 11, 2016 · Report post Поговорите с операторами на тему CsC, а внутри уже поднимите vpls или что вашей душе будет угодно +1, но шансы исчезающе малы оператор может еще и согласится, а у ТС оборудование этого не может скорее всего Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
orlik Posted October 11, 2016 · Report post для CsC ничего особенного не нужно, такое все поддерживают Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pl84 Posted October 11, 2016 · Report post У вас тут 2 вопроса. Первый: проброс вланов между объектами. Такое возможно только через Л2-впн. Второй: OSPF. вопросы по сути взаимосключаемые, т.к. OSPF работает на л3 уровне, а вланки на втором. Через MPLS L3 VPN вланы не передаются. Только если использовать VPN-костыли на ваших роутерах "эмулируя л2 каналы". Или PBR. 1. Area и для каких сетей должно ходить. 1.1 На каком IP включать OSPF. 1.2 Можно и не сообщать 1.3 Если этот трафик IP то упоминайте, не упоминайте -- без разницы. А вот на эту фразу: "проброс VLAN'ов между всеми объектами (их больше 20) с помощью динамического протокола маршрутизации OSPF v2 (ipv4)" я не знаю, как отреагировать. не пинайте сильно, я с этим сталкиваюсь первый раз, внутри организации гоняем vlan, маршрутизация между ними + ACL, дальше не доходили, т.к. задач ранее не было, мануалы курю, но быстро не выходит, а задача: написать технические требования к оператору связи, чтобы потом ничего не переписывать и сроки как обычно: "вчера". 1. т.е. я сообщаю оператору, что у меня будет OSPF, AREA 0, а о плечах в виде area 1-2X что-то писать в тех. задании? 1.1. т.е. ip, которые будут на порте, смотрящие в сторону провайдерского MPLS? 1.2. лучше сообщу))) 1.3. в OSPF же все это будет ходить, значит весь трафик будет IP - я правильно мыслю? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted October 11, 2016 · Report post для CsC ничего особенного не нужно, такое все поддерживают для CSC нужен мплс со стороны СЕ :) я вижу что у клиента CPE - 6850. Оно такое может? По-моему это обычный л3-свич, хотя я с ним плотно не работал, может ошибаюсь Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vermison Posted October 11, 2016 · Report post не пинайте сильно, я с этим сталкиваюсь первый раз, внутри организации гоняем vlan, маршрутизация между ними + ACL, дальше не доходили, т.к. задач ранее не было, мануалы курю, но быстро не выходит, а задача: написать технические требования к оператору связи, чтобы потом ничего не переписывать и сроки как обычно: "вчера". 1. т.е. я сообщаю оператору, что у меня будет OSPF, AREA 0, а о плечах в виде area 1-2X что-то писать в тех. задании? 1.1. т.е. ip, которые будут на порте, смотрящие в сторону провайдерского MPLS? 1.2. лучше сообщу))) 1.3. в OSPF же все это будет ходить, значит весь трафик будет IP - я правильно мыслю? 0. Вы сначала определитесь, какой трафик вы будете гонять Л2 или Л3. Из этого уже исходить при составлении ТЗ. А то может вы захотите, чтобы у вас л2 было, там и сообщать ничего не надо. Ниже, что для L3-VPN 1 Сообщаете, что у провайдера будет Area 0. Также пишете, что будете использовать другие Area. 1.1 Вы должны сообщить провайдеру, на каких сетях ему включать и что анонсировать. Скорее всего это все "ip, которые будут на порте" "провайдерского MPLS", то есть адреса на ЕГО оборудовании. Свои сетки вы будете отдавать уже самостоятельно, а вот какие у него -- только он вам. Может быть он будет редистрибьютить из BGP. Если хотите, то Router-ID 1.2 Смысла нет. OSPFv2 это текущая версия и так. 1.3 Скорее всего да. (Но кот же вас знает, может там у вас самописные-шлюзы в эзернет криптуют и L3 VPN вам не подойдёт. Но вероятность этого крайне мала) Для L2-VPN всё нааааамного проще. Вы просто говорите провайдеру, что будете гонять OSPF и получаете от него "виртуальный свитч". Для вас это будет сильно удобней, но хуже в диагностике, т.к. при L3-VPN вы можете пропинговать connected-оборудование провайдера и понять, что у него оно доступно, а ваше уже нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pl84 Posted October 11, 2016 (edited) · Report post не пинайте сильно, я с этим сталкиваюсь первый раз, внутри организации гоняем vlan, маршрутизация между ними + ACL, дальше не доходили, т.к. задач ранее не было, мануалы курю, но быстро не выходит, а задача: написать технические требования к оператору связи, чтобы потом ничего не переписывать и сроки как обычно: "вчера". 1. т.е. я сообщаю оператору, что у меня будет OSPF, AREA 0, а о плечах в виде area 1-2X что-то писать в тех. задании? 1.1. т.е. ip, которые будут на порте, смотрящие в сторону провайдерского MPLS? 1.2. лучше сообщу))) 1.3. в OSPF же все это будет ходить, значит весь трафик будет IP - я правильно мыслю? 0. Вы сначала определитесь, какой трафик вы будете гонять Л2 или Л3. Из этого уже исходить при составлении ТЗ. А то может вы захотите, чтобы у вас л2 было, там и сообщать ничего не надо. Ниже, что для L3-VPN 1 Сообщаете, что у провайдера будет Area 0. Также пишете, что будете использовать другие Area. 1.1 Вы должны сообщить провайдеру, на каких сетях ему включать и что анонсировать. Скорее всего это все "ip, которые будут на порте" "провайдерского MPLS", то есть адреса на ЕГО оборудовании. Свои сетки вы будете отдавать уже самостоятельно, а вот какие у него -- только он вам. Может быть он будет редистрибьютить из BGP. Если хотите, то Router-ID 1.2 Смысла нет. OSPFv2 это текущая версия и так. 1.3 Скорее всего да. (Но кот же вас знает, может там у вас самописные-шлюзы в эзернет криптуют и L3 VPN вам не подойдёт. Но вероятность этого крайне мала) Для L2-VPN всё нааааамного проще. Вы просто говорите провайдеру, что будете гонять OSPF и получаете от него "виртуальный свитч". Для вас это будет сильно удобней, но хуже в диагностике, т.к. при L3-VPN вы можете пропинговать connected-оборудование провайдера и понять, что у него оно доступно, а ваше уже нет. 1. в качестве криптошлюза будет стоять ViPNet Coordinator HW1000 v2, а точнее их будет 2, для резервирования, они работают в паре и настраиваться будут не нами, а службой соответствующей, 2. на счет AREA 0 мне не понятно тогда... если мне провайдер выдаст ip на своей стороне и я ему сообщаю, что у меня будет OSPF AREA 0 в его MPLS L3 VPN, то строит саму AREA 0 провайдер? а я только поднимаю до него AREA 1-2X и ABRом будет уже не мой 6850, а их "роутер"? 3. коннектед сетки у меня будут сети в vlan'ах, т.е. все vlan'ы будут приходить на MSR 2004 24 AC, там роутиться между собой с наложением ACL и уже потом они опубликоваться в OSPF'е на AREA 1-2X на ABR'ах? я прав? и эти номера AREA тоже надо сообщить провайдеру? верно? 4. важно, чтобы клиенты vlan'ов с идентичными номерами одного объекта могли попасть в vlan'ы с такими же номерами на другом объекте. Edited October 11, 2016 by pl84 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted October 12, 2016 · Report post 4. важно, чтобы клиенты vlan'ов с идентичными номерами одного объекта могли попасть в vlan'ы с такими же номерами на другом объекте. Это плохой дизайн сети изначально. В каждом филиале в каждом вилане должна быть уникальная IP подсеть. Связь между ними организуется обычной маршрутизацией. Все всех будут видеть, ограничивать можно ACL на интерфейсах роутеров. Далее, в случае L3 каналов есть два пути: 1. Роутинг в партнерстве с оператором. В этом случае оператор поднимает у себя ваш протокол маршрутизации. Плюс - полный MTU. Минус - совершенно чужая промежуточная сеть, которая вам может нагадить внутри вашей сети. 2. Тунели поверх операторской сети. Для этого нужны роутеры, которые это умеют. Минусы и плюсы - строго наоборот от п.1 В случае L2 каналов опять есть два варианта: 1. Вы гоняете свой протокол маршрутизаци по L2 VPN. Плюсы - полный MTU, простота (хотя во всем этом и так ничего особо сложного) настройки. Минусы - в случае OSPF должен нормально ходить мультикаст, а это мягко говоря не всегда возможно или работет через пень-колоду. 2. Тунели, см. предыдущий пункт про L3. Лично я в своей шараге всегда делаю тунели. Шансов напортачить у операторов значительно меньше. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vermison Posted October 12, 2016 · Report post 1. в качестве криптошлюза будет стоять ViPNet Coordinator HW1000 v2, а точнее их будет 2, для резервирования, они работают в паре и настраиваться будут не нами, а службой соответствующей, 2. на счет AREA 0 мне не понятно тогда... если мне провайдер выдаст ip на своей стороне и я ему сообщаю, что у меня будет OSPF AREA 0 в его MPLS L3 VPN, то строит саму AREA 0 провайдер? а я только поднимаю до него AREA 1-2X и ABRом будет уже не мой 6850, а их "роутер"? 3. коннектед сетки у меня будут сети в vlan'ах, т.е. все vlan'ы будут приходить на MSR 2004 24 AC, там роутиться между собой с наложением ACL и уже потом они опубликоваться в OSPF'е на AREA 1-2X на ABR'ах? я прав? и эти номера AREA тоже надо сообщить провайдеру? верно? 4. важно, чтобы клиенты vlan'ов с идентичными номерами одного объекта могли попасть в vlan'ы с такими же номерами на другом объекте. Тут важно понимать одну простую вещь: В случае L3 VPN сеть провайдера будет выглядеть, как 1 очень большой маршрутизатор. В случае L2 VPN сеть провайдера выглядит для вас как 1 очень большой коммутатор. Соответсвенно исходя из того, что нужно -- разные услуги. Маршрутизатор не пропускает через себя броадкасты, но на коммутаторе можно использовать одну сеть на разных интерфейсах. (Пусть даже один интерфейс в Москве, а другой во Владивостоке). 2. В случае L3-VPN вы говорите провайдеру, какие сети использовать, а не он вам. На всех интерфейсах провайдера к вам будет 0 зона. На ваших рутёрах с 1 стороны нулевая, с другой 1,2,... 3. маловероятно, что провайдер будет что-то фильтровать в вашей VPN, поэтому номера AREA можно и не говорить. 4. Тут уже вы должны рулить. ОСПФ вам даст только возможность знать маршруты между этими сетями, а вот корректность дизайна сети лежит полностью на вас. Разные подсети должны быть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pl84 Posted October 12, 2016 · Report post "дизайн" сети таков: 1. на всех объектах имеются идентичные VLAN'ы, подсети же этих VLAN'ов разные, иначе понятно, что ip-адреса будут пересекаться и начнутся большие сложности, 2. одноименные VLAN'ы, т.е. с одинаковым ID выбраны для на мой взгляд простоты настройки коммутаторов в плане однотипности конфига, который можно разливать с текстового файлика, а на роутерах, которых будет значительно меньше уже адаптирую IP-сети и впишу согласно ip-плана разработанного для всей сети (к примеру я точно знаю что в VLAN с ID 100 - это сервера AD DS, в него входят подсети: 101,102,...12х - на разных объектах), в случае с L3: 1. я настраиваю у себя на ABR-коммутаторе OSPF (Alcatel 6850) и указываю AREA 0 - о чем и сообщаю провайдеру + IP внешних портов, которые смотрят на AREA 0, при чем эти IP должны быть из разных подсетей? или можно использовать "плоскую"? 2. на втором интерфейсе OSPF внутреннем будет висеть AREA 1-2X. правильно? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
katrinslel87 Posted October 12, 2016 · Report post ну так спеца вызывайте Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pl84 Posted October 12, 2016 · Report post ну так спеца вызывайте спасибо за ценный совет... очень помогли Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EShirokiy Posted October 12, 2016 · Report post Зачем вам привлекать провайдера для транзита OSPF? Я чет не понимаю этого. Арендуйте L2 каналы и поверх уже гоняйте что хотите, лишь бы MTU позволял. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pl84 Posted October 12, 2016 · Report post Зачем вам привлекать провайдера для транзита OSPF? Я чет не понимаю этого. Арендуйте L2 каналы и поверх уже гоняйте что хотите, лишь бы MTU позволял. затем, что меня никто не спрашивает что надо по сути, а говорят, что уже требования отправили и важные шишки все подписали, суммы за услуги оговорены и все согласны, а твое, т.е. мое, дело сделать так, чтобы все работало... я тоже не в восторге от этих условий и своей ЗП, но работа есть работа. а еще жена в декрете и ребенок чуть старше года, которому кушать хочется + время не то, чтобы выЁживаться и качать права в нашем регионе, так что как и что настроить я разберусь, мануалы в сети лежат, а вот как это все грамотно сделать с точки зрения теории, чтобы потом не пришлось дополнительные письма писать провайдерам и не переделывать - это и есть мой вопрос по сути.... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pl84 Posted October 13, 2016 (edited) · Report post подскажите пожалуйста, т.к. у меня 2 провайдера, от которых приходит 3 кабеля, мне надо будет вешать на все 3 интерфейса AREA 0?, можно как-то решить задачу: сначала трафик бежит исключительно по кабелю №1 провайдера №1, если он падает, то по кабелю №2 провайдера 1, при том, эти 2 кабеля будут как я понимаю логически объединены, а если оба канала провайдера №1 улеглись, то переключение на 3-ий произошло... это важно, т.к. у первого провайдера берут в аренду большую гарантированную скорость и лучше гнать через него весь трафик. на все 3 интерфейса вешаю OSPF и на всех 3-х будет AREA 0, а вот как осуществить выбор "канала\кабеля" нужного? Edited October 13, 2016 by pl84 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EShirokiy Posted October 13, 2016 · Report post на все 3 интерфейса вешаю OSPF и на всех 3-х будет AREA 0, а вот как осуществить выбор "канала\кабеля" нужного? Путем задания COST в OSPF. Еще раз, вам проще всего взять L2VPN у основного провайдера и кинуть тоннели (l2tp, eoip и т.д.) до точке через второго провайдера. Через l2VPN вы прокинете транспортные виланы до своего центра. Через эти транспортные виланы вы хоть какие AREA гоняйте, вышестоящему провайдеру будет пофиг. И уже с помощью работающей сети OSPF вы можете кинуть рабочие виланы с помощью VPLS или других тоннелей. Для этого надо будет эти самые тоннели с лупбэка в центре подключить к лупбэку в филиале. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pl84 Posted October 15, 2016 · Report post на все 3 интерфейса вешаю OSPF и на всех 3-х будет AREA 0, а вот как осуществить выбор "канала\кабеля" нужного? Путем задания COST в OSPF. Еще раз, вам проще всего взять L2VPN у основного провайдера и кинуть тоннели (l2tp, eoip и т.д.) до точке через второго провайдера. Через l2VPN вы прокинете транспортные виланы до своего центра. Через эти транспортные виланы вы хоть какие AREA гоняйте, вышестоящему провайдеру будет пофиг. И уже с помощью работающей сети OSPF вы можете кинуть рабочие виланы с помощью VPLS или других тоннелей. Для этого надо будет эти самые тоннели с лупбэка в центре подключить к лупбэку в филиале. цена!!!! при L2VPN считают точка-точка, а если учесть, что точек больше 20 и каждая должна общаться с каждой, то будет 400 минимум L2VPN, при L3VPN считают только кол-во общее точек + как мне объясняют, сам канал L3 более гибкий, при падении промежуточного узла весь трафик перенаправят и все будет хорошо через несколько секунд, в L2VPN же вроде не так все просто. последнее слово руководства: L3VPN + Интернет на 2-х точках по BGP (типа при падении одного провайдера наша зона будет доступна через второго ВСЕГДА!!! сервис ОЧЕНЬ КРИТИЧЕН!!!!, там будет опубликован SSH FTP (SFTP)).... причем потянет ли это Alcatel 6850... вот в чем еще вопрос, поставил руководство перед фактом замены 6850 на MSR 2004 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EShirokiy Posted October 15, 2016 · Report post pl84, не правильно считаете, выйдет 40 vlan + 20 тоннелей (через резервных операторов). Точки между собой смогут через центр общаться. Можете вообще 20 VLAN по одному vlan на каждые две точки подключения. По идее, по OSPF можно будет анонсировать /29 + loopback /32. При этом принять vlan от провайдера транком на стороне центра и аксессом на стороне филиалов. В филиале аксесс на свитче уже можно будет запихать в любой удобный vlan и отправить на филиальный маршрутизатор, там уже навесить IP /29 на транспортные vlan. Главное не объединять два VLAN, что бы не физически не накольцевать) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pl84 Posted October 16, 2016 (edited) · Report post pl84, не правильно считаете, выйдет 40 vlan + 20 тоннелей (через резервных операторов). Точки между собой смогут через центр общаться. Можете вообще 20 VLAN по одному vlan на каждые две точки подключения. По идее, по OSPF можно будет анонсировать /29 + loopback /32. При этом принять vlan от провайдера транком на стороне центра и аксессом на стороне филиалов. В филиале аксесс на свитче уже можно будет запихать в любой удобный vlan и отправить на филиальный маршрутизатор, там уже навесить IP /29 на транспортные vlan. Главное не объединять два VLAN, что бы не физически не накольцевать) думал на счет этого, но канал "до центра" очень критичен и таких центра 2, если один падает, второй на себя хватает его функционал, по расчетам достигается в легкую - 50 Мбит, т.е. 50% пропускной способности канала, который планируется получить от провайдера по L3 VPN, НО провайдер на это идет с большим "трениями", т.е. 5-10-20 гарантируется - пожалуйста, когда узнали о 50 Мбит минимум шума было много и их можно понять... Edited October 16, 2016 by pl84 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pl84 Posted October 16, 2016 · Report post еще как вариант: пустить в 6850 по оптике провайдеров, их в разные вланы, тегировать по меди уже и закинуть на msr2004, так уже рулить..тогда поднимать AREA 1-2x вообще отпадает сама по себе.... правда 6850 будет считай в холостую работать.... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...