Jump to content
Калькуляторы

подключение по MPLS L3 VPN/MPLS L2 VPN (Multi-Point VPN (VPLS)) что выбрать

ситуация такова:

есть множество городов, в каждом городе филиал, в каждом филиале стоит роутер с пачкой одних и техе же VLAN (их до 10 штук) + ACL, от роутера (MSR 2004 24 AC) идет линк через криптошлюз на коммутатор (Alcatel 6850, внешний\граничащий, называйте как хотите, они есть и их надо использовать в проекте), дальше в коммутатор заходят 2 провайдера, от одного 2 линка с разных площадок подключения по оптике (как резервирование канала от одного провайдера), от второго - один линк (как запасной канал\провайдер).

 

т.е. имеем: MSR 2004 24 AC <медь> криптошлюз <медь> Alcatel 6850 <3 линии связи от 2-х провайдеров по оптике>

 

хочется организовать: проброс VLAN'ов между всеми объектами (их больше 20) с помощью динамического протокола маршрутизации OSPF v2 (ipv4), планируется использовать технологию MPLS L3 VPN или MPLS L2 VPN (Multi-Point VPN (VPLS)) на базе операторов связи, т.е. для нас это будет прозрачно на сколько я понимаю.

 

теперь вопросы:

1. какие параметры мне надо сообщить оператору связи, чтобы у меня завелся OSPF внутри их MPLS L3 VPN:

1.1. ip адреса служебные для связи коммутаторов между собой по OSPF AREA 0, т.е. из будет чуть больше 20?

1.2. протокол маршрутизации, который я планирую использовать, т.е. OSPF v2?

1.3. про зашифрованный криптошлюзами трафик упоминать?

 

2. как мне показать свои внутренние сети в AREA 0, если они по сути не на 6850 коннектед, а на 2004 роутере в статусе коннектед, поднимать AREA 1-2X между 2004 и 6850 и использовать 6850 как ABR?

Share this post


Link to post
Share on other sites

У вас тут 2 вопроса. Первый: проброс вланов между объектами. Такое возможно только через Л2-впн.

Второй: OSPF.

вопросы по сути взаимосключаемые, т.к. OSPF работает на л3 уровне, а вланки на втором. Через MPLS L3 VPN вланы не передаются. Только если использовать VPN-костыли на ваших роутерах "эмулируя л2 каналы". Или PBR.

 

1. Area и для каких сетей должно ходить.

1.1 На каком IP включать OSPF.

1.2 Можно и не сообщать

1.3 Если этот трафик IP то упоминайте, не упоминайте -- без разницы.

 

 

 

А вот на эту фразу: "проброс VLAN'ов между всеми объектами (их больше 20) с помощью динамического протокола маршрутизации OSPF v2 (ipv4)" я не знаю, как отреагировать.

Edited by Vermison

Share this post


Link to post
Share on other sites

Можно сделать так:

Прогнать пачку уникальных виланов через оператора (задача оператора, вам в нее вникать никак не надо), т.е. всего 40 штук (по 2 шт на канал) + 20 штук через другого оператора. На каждый вилан вешаем /30, создаем loopbackи на каждом маршрутизаторе, анонсим все это в нужную area. И на основе маршрутной информации поднимаем VPLS до вашего центра.

Share this post


Link to post
Share on other sites

Поговорите с операторами на тему CsC, а внутри уже поднимите vpls или что вашей душе будет угодно

+1, но шансы исчезающе малы

оператор может еще и согласится, а у ТС оборудование этого не может скорее всего

Share this post


Link to post
Share on other sites

У вас тут 2 вопроса. Первый: проброс вланов между объектами. Такое возможно только через Л2-впн.

Второй: OSPF.

вопросы по сути взаимосключаемые, т.к. OSPF работает на л3 уровне, а вланки на втором. Через MPLS L3 VPN вланы не передаются. Только если использовать VPN-костыли на ваших роутерах "эмулируя л2 каналы". Или PBR.

 

1. Area и для каких сетей должно ходить.

1.1 На каком IP включать OSPF.

1.2 Можно и не сообщать

1.3 Если этот трафик IP то упоминайте, не упоминайте -- без разницы.

 

 

 

А вот на эту фразу: "проброс VLAN'ов между всеми объектами (их больше 20) с помощью динамического протокола маршрутизации OSPF v2 (ipv4)" я не знаю, как отреагировать.

 

не пинайте сильно, я с этим сталкиваюсь первый раз, внутри организации гоняем vlan, маршрутизация между ними + ACL, дальше не доходили, т.к. задач ранее не было, мануалы курю, но быстро не выходит, а задача: написать технические требования к оператору связи, чтобы потом ничего не переписывать и сроки как обычно: "вчера".

 

1. т.е. я сообщаю оператору, что у меня будет OSPF, AREA 0, а о плечах в виде area 1-2X что-то писать в тех. задании?

1.1. т.е. ip, которые будут на порте, смотрящие в сторону провайдерского MPLS?

1.2. лучше сообщу)))

1.3. в OSPF же все это будет ходить, значит весь трафик будет IP - я правильно мыслю?

Share this post


Link to post
Share on other sites

для CsC ничего особенного не нужно, такое все поддерживают

для CSC нужен мплс со стороны СЕ :)

я вижу что у клиента CPE - 6850. Оно такое может? По-моему это обычный л3-свич, хотя я с ним плотно не работал, может ошибаюсь

Share this post


Link to post
Share on other sites

не пинайте сильно, я с этим сталкиваюсь первый раз, внутри организации гоняем vlan, маршрутизация между ними + ACL, дальше не доходили, т.к. задач ранее не было, мануалы курю, но быстро не выходит, а задача: написать технические требования к оператору связи, чтобы потом ничего не переписывать и сроки как обычно: "вчера".

 

1. т.е. я сообщаю оператору, что у меня будет OSPF, AREA 0, а о плечах в виде area 1-2X что-то писать в тех. задании?

1.1. т.е. ip, которые будут на порте, смотрящие в сторону провайдерского MPLS?

1.2. лучше сообщу)))

1.3. в OSPF же все это будет ходить, значит весь трафик будет IP - я правильно мыслю?

0. Вы сначала определитесь, какой трафик вы будете гонять Л2 или Л3. Из этого уже исходить при составлении ТЗ. А то может вы захотите, чтобы у вас л2 было, там и сообщать ничего не надо.

 

Ниже, что для L3-VPN

1 Сообщаете, что у провайдера будет Area 0. Также пишете, что будете использовать другие Area.

1.1 Вы должны сообщить провайдеру, на каких сетях ему включать и что анонсировать. Скорее всего это все "ip, которые будут на порте" "провайдерского MPLS", то есть адреса на ЕГО оборудовании. Свои сетки вы будете отдавать уже самостоятельно, а вот какие у него -- только он вам. Может быть он будет редистрибьютить из BGP. Если хотите, то Router-ID

1.2 Смысла нет. OSPFv2 это текущая версия и так.

1.3 Скорее всего да. (Но кот же вас знает, может там у вас самописные-шлюзы в эзернет криптуют и L3 VPN вам не подойдёт. Но вероятность этого крайне мала)

 

Для L2-VPN всё нааааамного проще. Вы просто говорите провайдеру, что будете гонять OSPF и получаете от него "виртуальный свитч". Для вас это будет сильно удобней, но хуже в диагностике, т.к. при L3-VPN вы можете пропинговать connected-оборудование провайдера и понять, что у него оно доступно, а ваше уже нет.

Share this post


Link to post
Share on other sites

не пинайте сильно, я с этим сталкиваюсь первый раз, внутри организации гоняем vlan, маршрутизация между ними + ACL, дальше не доходили, т.к. задач ранее не было, мануалы курю, но быстро не выходит, а задача: написать технические требования к оператору связи, чтобы потом ничего не переписывать и сроки как обычно: "вчера".

 

1. т.е. я сообщаю оператору, что у меня будет OSPF, AREA 0, а о плечах в виде area 1-2X что-то писать в тех. задании?

1.1. т.е. ip, которые будут на порте, смотрящие в сторону провайдерского MPLS?

1.2. лучше сообщу)))

1.3. в OSPF же все это будет ходить, значит весь трафик будет IP - я правильно мыслю?

0. Вы сначала определитесь, какой трафик вы будете гонять Л2 или Л3. Из этого уже исходить при составлении ТЗ. А то может вы захотите, чтобы у вас л2 было, там и сообщать ничего не надо.

 

Ниже, что для L3-VPN

1 Сообщаете, что у провайдера будет Area 0. Также пишете, что будете использовать другие Area.

1.1 Вы должны сообщить провайдеру, на каких сетях ему включать и что анонсировать. Скорее всего это все "ip, которые будут на порте" "провайдерского MPLS", то есть адреса на ЕГО оборудовании. Свои сетки вы будете отдавать уже самостоятельно, а вот какие у него -- только он вам. Может быть он будет редистрибьютить из BGP. Если хотите, то Router-ID

1.2 Смысла нет. OSPFv2 это текущая версия и так.

1.3 Скорее всего да. (Но кот же вас знает, может там у вас самописные-шлюзы в эзернет криптуют и L3 VPN вам не подойдёт. Но вероятность этого крайне мала)

 

Для L2-VPN всё нааааамного проще. Вы просто говорите провайдеру, что будете гонять OSPF и получаете от него "виртуальный свитч". Для вас это будет сильно удобней, но хуже в диагностике, т.к. при L3-VPN вы можете пропинговать connected-оборудование провайдера и понять, что у него оно доступно, а ваше уже нет.

 

1. в качестве криптошлюза будет стоять ViPNet Coordinator HW1000 v2, а точнее их будет 2, для резервирования, они работают в паре и настраиваться будут не нами, а службой соответствующей,

2. на счет AREA 0 мне не понятно тогда... если мне провайдер выдаст ip на своей стороне и я ему сообщаю, что у меня будет OSPF AREA 0 в его MPLS L3 VPN, то строит саму AREA 0 провайдер? а я только поднимаю до него AREA 1-2X и ABRом будет уже не мой 6850, а их "роутер"?

3. коннектед сетки у меня будут сети в vlan'ах, т.е. все vlan'ы будут приходить на MSR 2004 24 AC, там роутиться между собой с наложением ACL и уже потом они опубликоваться в OSPF'е на AREA 1-2X на ABR'ах? я прав? и эти номера AREA тоже надо сообщить провайдеру? верно?

4. важно, чтобы клиенты vlan'ов с идентичными номерами одного объекта могли попасть в vlan'ы с такими же номерами на другом объекте.

Edited by pl84

Share this post


Link to post
Share on other sites

4. важно, чтобы клиенты vlan'ов с идентичными номерами одного объекта могли попасть в vlan'ы с такими же номерами на другом объекте.

 

Это плохой дизайн сети изначально.

В каждом филиале в каждом вилане должна быть уникальная IP подсеть. Связь между ними организуется обычной маршрутизацией. Все всех будут видеть, ограничивать можно ACL на интерфейсах роутеров.

 

Далее, в случае L3 каналов есть два пути:

1. Роутинг в партнерстве с оператором. В этом случае оператор поднимает у себя ваш протокол маршрутизации. Плюс - полный MTU. Минус - совершенно чужая промежуточная сеть, которая вам может нагадить внутри вашей сети.

2. Тунели поверх операторской сети. Для этого нужны роутеры, которые это умеют. Минусы и плюсы - строго наоборот от п.1

 

В случае L2 каналов опять есть два варианта:

1. Вы гоняете свой протокол маршрутизаци по L2 VPN. Плюсы - полный MTU, простота (хотя во всем этом и так ничего особо сложного) настройки. Минусы - в случае OSPF должен нормально ходить мультикаст, а это мягко говоря не всегда возможно или работет через пень-колоду.

2. Тунели, см. предыдущий пункт про L3.

 

Лично я в своей шараге всегда делаю тунели. Шансов напортачить у операторов значительно меньше.

Share this post


Link to post
Share on other sites

1. в качестве криптошлюза будет стоять ViPNet Coordinator HW1000 v2, а точнее их будет 2, для резервирования, они работают в паре и настраиваться будут не нами, а службой соответствующей,

2. на счет AREA 0 мне не понятно тогда... если мне провайдер выдаст ip на своей стороне и я ему сообщаю, что у меня будет OSPF AREA 0 в его MPLS L3 VPN, то строит саму AREA 0 провайдер? а я только поднимаю до него AREA 1-2X и ABRом будет уже не мой 6850, а их "роутер"?

3. коннектед сетки у меня будут сети в vlan'ах, т.е. все vlan'ы будут приходить на MSR 2004 24 AC, там роутиться между собой с наложением ACL и уже потом они опубликоваться в OSPF'е на AREA 1-2X на ABR'ах? я прав? и эти номера AREA тоже надо сообщить провайдеру? верно?

4. важно, чтобы клиенты vlan'ов с идентичными номерами одного объекта могли попасть в vlan'ы с такими же номерами на другом объекте.

Тут важно понимать одну простую вещь: В случае L3 VPN сеть провайдера будет выглядеть, как 1 очень большой маршрутизатор. В случае L2 VPN сеть провайдера выглядит для вас как 1 очень большой коммутатор. Соответсвенно исходя из того, что нужно -- разные услуги. Маршрутизатор не пропускает через себя броадкасты, но на коммутаторе можно использовать одну сеть на разных интерфейсах. (Пусть даже один интерфейс в Москве, а другой во Владивостоке).

 

2. В случае L3-VPN вы говорите провайдеру, какие сети использовать, а не он вам. На всех интерфейсах провайдера к вам будет 0 зона. На ваших рутёрах с 1 стороны нулевая, с другой 1,2,...

3. маловероятно, что провайдер будет что-то фильтровать в вашей VPN, поэтому номера AREA можно и не говорить.

4. Тут уже вы должны рулить. ОСПФ вам даст только возможность знать маршруты между этими сетями, а вот корректность дизайна сети лежит полностью на вас. Разные подсети должны быть.

Share this post


Link to post
Share on other sites

"дизайн" сети таков:

1. на всех объектах имеются идентичные VLAN'ы, подсети же этих VLAN'ов разные, иначе понятно, что ip-адреса будут пересекаться и начнутся большие сложности,

2. одноименные VLAN'ы, т.е. с одинаковым ID выбраны для на мой взгляд простоты настройки коммутаторов в плане однотипности конфига, который можно разливать с текстового файлика, а на роутерах, которых будет значительно меньше уже адаптирую IP-сети и впишу согласно ip-плана разработанного для всей сети (к примеру я точно знаю что в VLAN с ID 100 - это сервера AD DS, в него входят подсети: 101,102,...12х - на разных объектах),

 

в случае с L3:

1. я настраиваю у себя на ABR-коммутаторе OSPF (Alcatel 6850) и указываю AREA 0 - о чем и сообщаю провайдеру + IP внешних портов, которые смотрят на AREA 0, при чем эти IP должны быть из разных подсетей? или можно использовать "плоскую"?

2. на втором интерфейсе OSPF внутреннем будет висеть AREA 1-2X.

правильно?

Share this post


Link to post
Share on other sites

Зачем вам привлекать провайдера для транзита OSPF? Я чет не понимаю этого. Арендуйте L2 каналы и поверх уже гоняйте что хотите, лишь бы MTU позволял.

Share this post


Link to post
Share on other sites

Зачем вам привлекать провайдера для транзита OSPF? Я чет не понимаю этого. Арендуйте L2 каналы и поверх уже гоняйте что хотите, лишь бы MTU позволял.

затем, что меня никто не спрашивает что надо по сути, а говорят, что уже требования отправили и важные шишки все подписали, суммы за услуги оговорены и все согласны, а твое, т.е. мое, дело сделать так, чтобы все работало...

я тоже не в восторге от этих условий и своей ЗП, но работа есть работа. а еще жена в декрете и ребенок чуть старше года, которому кушать хочется + время не то, чтобы выЁживаться и качать права в нашем регионе,

 

так что как и что настроить я разберусь, мануалы в сети лежат, а вот как это все грамотно сделать с точки зрения теории, чтобы потом не пришлось дополнительные письма писать провайдерам и не переделывать - это и есть мой вопрос по сути....

Share this post


Link to post
Share on other sites

подскажите пожалуйста,

т.к. у меня 2 провайдера, от которых приходит 3 кабеля, мне надо будет вешать на все 3 интерфейса AREA 0?,

можно как-то решить задачу: сначала трафик бежит исключительно по кабелю №1 провайдера №1, если он падает, то по кабелю №2 провайдера 1, при том, эти 2 кабеля будут как я понимаю логически объединены, а если оба канала провайдера №1 улеглись, то переключение на 3-ий произошло... это важно, т.к. у первого провайдера берут в аренду большую гарантированную скорость и лучше гнать через него весь трафик.

на все 3 интерфейса вешаю OSPF и на всех 3-х будет AREA 0, а вот как осуществить выбор "канала\кабеля" нужного?

Edited by pl84

Share this post


Link to post
Share on other sites

на все 3 интерфейса вешаю OSPF и на всех 3-х будет AREA 0, а вот как осуществить выбор "канала\кабеля" нужного?

Путем задания COST в OSPF. Еще раз, вам проще всего взять L2VPN у основного провайдера и кинуть тоннели (l2tp, eoip и т.д.) до точке через второго провайдера. Через l2VPN вы прокинете транспортные виланы до своего центра. Через эти транспортные виланы вы хоть какие AREA гоняйте, вышестоящему провайдеру будет пофиг. И уже с помощью работающей сети OSPF вы можете кинуть рабочие виланы с помощью VPLS или других тоннелей. Для этого надо будет эти самые тоннели с лупбэка в центре подключить к лупбэку в филиале.

Share this post


Link to post
Share on other sites

на все 3 интерфейса вешаю OSPF и на всех 3-х будет AREA 0, а вот как осуществить выбор "канала\кабеля" нужного?

Путем задания COST в OSPF. Еще раз, вам проще всего взять L2VPN у основного провайдера и кинуть тоннели (l2tp, eoip и т.д.) до точке через второго провайдера. Через l2VPN вы прокинете транспортные виланы до своего центра. Через эти транспортные виланы вы хоть какие AREA гоняйте, вышестоящему провайдеру будет пофиг. И уже с помощью работающей сети OSPF вы можете кинуть рабочие виланы с помощью VPLS или других тоннелей. Для этого надо будет эти самые тоннели с лупбэка в центре подключить к лупбэку в филиале.

 

цена!!!! при L2VPN считают точка-точка, а если учесть, что точек больше 20 и каждая должна общаться с каждой, то будет 400 минимум L2VPN, при L3VPN считают только кол-во общее точек

+

как мне объясняют, сам канал L3 более гибкий, при падении промежуточного узла весь трафик перенаправят и все будет хорошо через несколько секунд, в L2VPN же вроде не так все просто.

 

последнее слово руководства:

L3VPN + Интернет на 2-х точках по BGP (типа при падении одного провайдера наша зона будет доступна через второго ВСЕГДА!!! сервис ОЧЕНЬ КРИТИЧЕН!!!!, там будет опубликован SSH FTP (SFTP))....

причем потянет ли это Alcatel 6850... вот в чем еще вопрос, поставил руководство перед фактом замены 6850 на MSR 2004

Share this post


Link to post
Share on other sites

pl84, не правильно считаете, выйдет 40 vlan + 20 тоннелей (через резервных операторов). Точки между собой смогут через центр общаться.

Можете вообще 20 VLAN по одному vlan на каждые две точки подключения. По идее, по OSPF можно будет анонсировать /29 + loopback /32. При этом принять vlan от провайдера транком на стороне центра и аксессом на стороне филиалов. В филиале аксесс на свитче уже можно будет запихать в любой удобный vlan и отправить на филиальный маршрутизатор, там уже навесить IP /29 на транспортные vlan. Главное не объединять два VLAN, что бы не физически не накольцевать)

Share this post


Link to post
Share on other sites

pl84, не правильно считаете, выйдет 40 vlan + 20 тоннелей (через резервных операторов). Точки между собой смогут через центр общаться.

Можете вообще 20 VLAN по одному vlan на каждые две точки подключения. По идее, по OSPF можно будет анонсировать /29 + loopback /32. При этом принять vlan от провайдера транком на стороне центра и аксессом на стороне филиалов. В филиале аксесс на свитче уже можно будет запихать в любой удобный vlan и отправить на филиальный маршрутизатор, там уже навесить IP /29 на транспортные vlan. Главное не объединять два VLAN, что бы не физически не накольцевать)

 

думал на счет этого, но канал "до центра" очень критичен и таких центра 2, если один падает, второй на себя хватает его функционал, по расчетам достигается в легкую - 50 Мбит, т.е. 50% пропускной способности канала, который планируется получить от провайдера по L3 VPN, НО провайдер на это идет с большим "трениями", т.е. 5-10-20 гарантируется - пожалуйста, когда узнали о 50 Мбит минимум шума было много и их можно понять...

Edited by pl84

Share this post


Link to post
Share on other sites

еще как вариант:

пустить в 6850 по оптике провайдеров, их в разные вланы, тегировать по меди уже и закинуть на msr2004, так уже рулить..тогда поднимать AREA 1-2x вообще отпадает сама по себе.... правда 6850 будет считай в холостую работать....

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.