l2 канал с mtu=1600 over Internet

[jone31]

Доброго дня, коллеги.

Прошу помощи, т.к. ранее с таким еще не сталкивался.

 

Клиент хочет L2-канал с MTU=1600.

 

В удаленной точке хотим взять инет у ростелекома(IP-транзит), и посредством тоннеля на микротике собрать л2 канал до нашего узла. На узле имеем физический стык с клиентом.

 

погуглив инфу, понял, что для l2tp который мы обычно используем для сборки л2 каналов, такой мту не просунуть(max=1450).

 

какие есть альтернативы для объединения двух точек с мту=1600 ? из железа на узле есть микротик на х86 платформе и свитч DGS-1500-28 на котором собрано два магистрала и линк к клиенту.

 

какие подводные камни есть при такой схеме?

 

никогда особо не заморачивался с мту, но тут новый клиент и сразу такие не типовые запросы.

 

На интерфейсе микротика сейчас стоит мту=1500, но я так понимаю что технически его можно поднять до 1600 без каких-либо проблем ?

 

по тоннелям не могу понять собственно на каком из них мы можем достичь больший мту?

[s.lobanov]

openvpn (и некоторые другие тунели) сами всё вам дефрагментируют если попросите. Если у вас с обеих сторон Ростелеком, то теоретически можно выпросить бо'льший MTU и не разрезать фреймы

[jone31]

на нашем узле другой магистрал, и у нас уже локальный стык с клиентом.

 

клиент же сможет все равно понять если трафик будет фрагметирован на нашем оборудовании... 

[s.lobanov]

@jone31 сможет, просто это медленнее намного работает если вы будете дефрагментировать. если у него полоса небольшая и RTT некритично, то он не заметит скорее всего

[jone31]

у него требования - полоса 10мбит/сек, мту=1600... требований к пингу нет

Хотели как обычно - купить ip-транзит в области, поставить микротик и поднять туннель до узла и отдать в стык с ним в городе.

Но потом выяснилось что ему нужно мту 1600, и зашли в этот технический тупик. Готовый Л2 взять у ростелека под этого клиента будет очень дорого и клиент в отказ уйдет. 

 

У ростелека при слове Л2-канал сразу ценники на 3 умножаются, и инсталлы растут как на дрожжах.

 

я так понимаю, что если МТУ по ip-транзиту будет 1600 то я могу поднять gre тонель или ip-ip до микротика на узле и с тем же мту гонять пакеты. так или не так?

[LostSoul]

10 минут назад, jone31 сказал:

у него требования - полоса 10мбит/сек, мту=1600... требований к пингу нет

Хотели как обычно - купить ip-транзит в области, поставить микротик и поднять туннель до узла и отдать в стык с ним в городе.

Но потом выяснилось что ему нужно мту 1600, и зашли в этот технический тупик. Готовый Л2 взять у ростелека под этого клиента будет очень дорого и клиент в отказ уйдет. 

 

У ростелека при слове Л2-канал сразу ценники на 3 умножаются, и инсталлы растут как на дрожжах.

 

я так понимаю, что если МТУ по ip-транзиту будет 1600 то я могу поднять gre тонель или ip-ip до микротика на узле и с тем же мту гонять пакеты. так или не так?

Скажите , а вам не стыдно, мало того что заниматься такими махинациями , так еще и публично писать про это с своего аккаунта?

 

Если ко мне обращается клиент с такой просьбой, то я сразу ему отвечаю , что на основе собственной сети подобную услугу предоставить не могу.

Но могу

1) разработать техническое решение на базе двух надежных микротик, установить у абонента ( или в собственном помещении ) , и взять на техническую поддержку с SLA и штрафами/санкциями.

2) купить эту услугу у ростелекома для абонента как можно более дешево, с учетом всех моих операторских скидок

 

А чтоб вот так...  надо совсем клиента не уважать и за идиота считать

 

[rdc]

за микротик не скажу, но на фряхе, например, просто ставится на туннеле нужное mtu.

пакеты фрагментируются на выходе в инет и собираются обратно на входе с другой стороны, и всё…

[LostSoul]

3 минуты назад, rdc сказал:

за микротик не скажу, но на фряхе, например, просто ставится на туннеле нужное mtu.

 

а если флаг DF поставить?

 

[jone31]

4 минуты назад, LostSoul сказал:

Скажите , а вам не стыдно, мало того что заниматься такими махинациями , так еще и публично писать про это с своего аккаунта?

 

Если ко мне обращается клиент с такой просьбой, то я сразу ему отвечаю , что на основе собственной сети подобную услугу предоставить не могу.

Но могу

1) разработать техническое решение на базе двух надежных микротик, установить у абонента ( или в собственном помещении ) , и взять на техническую поддержку с SLA и штрафами/санкциями.

2) купить эту услугу у ростелекома для абонента как можно более дешево, с учетом всех моих операторских скидок

 

А чтоб вот так...  надо совсем клиента не уважать и за идиота считать

Клиента за дурака никто не считает, клиент умный и сам запросил у РТ там канал - ценник клиента не порадовал, РТ последнюю милю надо строить в двух концах за 1 млн/км.

Естественно клиент отклонил такое. В данной удаленной точке есть только РТ, никого больше нет. В городе клиент наш действующий и довольный клиент, потому и обратился.

 

Никакого стыда и обмана в IP-транзите для клиента нет - честный договор с РТ(межоператорский IP-транзит) по которому мы оказываем услуги(перепродаем) своим клиентам.

Естественно что РТ и без нас знает для кого мы берем канал, среди одного юр лица в деревне ему гадать не приходится.

 

Арендовать готовый Л2 с финансовой точки зрения нерентабельно, они и без нас бы его уже арендовали.

Соответственно встал вопрос в вариантах решения из тех возможностей что есть.

 

Отказать клиенту можно в любой момент, но это прежде всего упущенная выгода и недовольный клиент.

[s.lobanov]

15 минут назад, LostSoul сказал:

Скажите , а вам не стыдно, мало того что заниматься такими махинациями , так еще и публично писать про это с своего аккаунта?

 

Если ко мне обращается клиент с такой просьбой, то я сразу ему отвечаю , что на основе собственной сети подобную услугу предоставить не могу.

Но могу

1) разработать техническое решение на базе двух надежных микротик, установить у абонента ( или в собственном помещении ) , и взять на техническую поддержку с SLA и штрафами/санкциями.

2) купить эту услугу у ростелекома для абонента как можно более дешево, с учетом всех моих операторских скидок

 

А чтоб вот так...  надо совсем клиента не уважать и за идиота считать

 

А какая разница что он микротики у клиента поставит, что у себя и поднимет тунели на своём оборудовании? Работать-то будет одинаково...

[LostSoul]

1 минуту назад, jone31 сказал:

 

Арендовать готовый Л2 с финансовой точки зрения нерентабельно, они и без нас бы его уже арендовали.

Соответственно встал вопрос в вариантах решения из тех возможностей что есть.

вы 2 строчки назад написали, что клиента не устраивает достройка линии 1млн/км , а не ежемесячный платеж за L2.

Сдайте ростелекому свою последнюю милю под этот L2 и пусть берут у них.

или возьмите L2 у ростелекома с скидкой ,  под продажу этому клиенту 

 

[s.lobanov]

9 минут назад, LostSoul сказал:

а если флаг DF поставить?

 

openvpn l2 tap (да и по идее любой l2-тунель с фрагментацией) не смотрит на L3-заголовки, ему пофиг что там внутри l3

[LostSoul]

9 минут назад, s.lobanov сказал:

openvpn l2 tap (да и по идее любой l2-тунель с фрагментацией) не смотрит на L3-заголовки, ему пофиг что там внутри l3

Флаг DF ( dont fragment )  это L2 флаг.  Он  в заголовках пакета размещены даже раньше чем src ip и dst ip.  Следом за ним TTL  ( это тоже L2 поле)

 

 

[jone31]

2 минуты назад, LostSoul сказал:

вы 2 строчки назад написали, что клиента не устраивает достройка линии 1млн/км , а не ежемесячный платеж за L2.

 

я написал ранее что ценник на l2 каналы РТ в 3 раза дороже интернета, так еще и инсталл заоблачный.

Мы инсталл сможем в разы уменьшить за счет того что сами построим до РТ... но ценники от этого на аренду л2-канала для нас это не изменит.

 

Ценник на интернет приемлем, и с нашей наценкой остается приемлем для клиента.

[s.lobanov]

5 минут назад, LostSoul сказал:

Флаг DF ( dont fragment )  это L2 флаг.  Он  в заголовках пакета размещены даже раньше чем src ip и dst ip.  Следом за ним TTL  ( это тоже L2 поле)

 

 

жду скрин из ваершарка, где видно что TTL это атрибут L2 или ссылку на RFC/стандарт

Если б было так, то L2-штормы бы умирали в закольцованном ethernet, как умирает IP-трафик при петлях маршрутизации

 

Рекомендую вам освежить знания что где в каких заголовках, просто открыв ваершарк с любым IPoverEth фреймом

 

[LostSoul]

Только что, s.lobanov сказал:

Если б было так, то L2-штормы бы умирали в закольцованном ethernet, как умирает IP-трафик при петлях маршрутизации

 

Так они не умирают, потому что не подвергаются процессу роутинга и некому убавлять TTL.

 

Пожалуйте скриншот из wireshark

 

[s.lobanov]

@LostSoul IP - это заголовок L3, а не L2.

 

https://en.wikipedia.org/wiki/Network_layer

[LostSoul]

2 минуты назад, s.lobanov сказал:

Рекомендую вам освежить знания что где в каких заголовках, просто открыв ваершарк с любым IPoverEth фреймом

Ваши знания об IP начались с wireshark?

Мои - за 4-5 лет до первого релиза ethreal.

 

 

Только что, s.lobanov сказал:

IP - это заголовок L3, а не L2.

ну если подходить так,  то DF и TTL разумеется тоже L3 заголовки.

 

[s.lobanov]

@LostSoul если для вас IP это L2, то мы с вами живём в параллельных вселенных. это даже не смешно

 

в ethereal я работал, но не понимаю зачем этим хвастаться. От того что вы пользовались чем-то до появления ethereal, network layer не станет 2 уровнем. Почитайте про статью на wiki выше

 

3 минуты назад, LostSoul сказал:

ну если подходить так,  то DF и TTL разумеется тоже L3 заголовки.

да. и поэтому если вы поднимаете l2-тунель (т.е. к пример openvpn tap (не tun!)), то на df бит пофиг ибо полезной нагрузкой является весь фрейм целиком, а не его часть, начиная с IP-хедера

[LostSoul]

Только что, s.lobanov сказал:

в ethereal я работал, но не понимаю зачем этим хвастаться. От того что вы им пользовался, network layer не станет 2 уровнем. Почитайте про статью на wiki выше

Я этим и не хвастался.  ethereal это старое название wireshark.

Но я изучал модель OSI и заголовки задолго до их появления в природе :-)

 

Да, малость перепутал. В современной трактовке модели OSI закрепилось , что TCP/UDP это L4 , а IP это L3.

Но такая трактовка взяла верх не сразу и раньше долгие годы все это толковалось двойственно и расплывчато, что там в IP на какой уровень попадает.

 

[s.lobanov]

@LostSoul ок, но согласитесь, что нужно общаться используя общепринятую терминологию сейчас (а не 20-30 лет назад), иначе мы друг друга не поймём

[LostSoul]

В дополнение хотелось добавить, что в микротик поведение eoip туннеля настраивается.

Можно сделать чтоб пакет, не влезающий к пересылке без фрагментации , отвергался в случае выставленного флага DF.

Можно сделать чтоб игнорировалось и фрагментировало в любом случае.

 

 

5 минут назад, s.lobanov сказал:

@LostSoul ок, но согласитесь, что нужно общаться используя общепринятую терминологию сейчас (а не 20-30 лет назад), иначе мы друг друга не поймём

так вы мне упоминанием BSD  переключатель в мозге именно в те годы и переключили.

Ведь его тогда и использовали :-)

Флешбеки как у Рембо

 

[s.lobanov]

@LostSoul ну это отлично. это означает что ваш вопрос про DF-бит не актуален, ибо автор всё равно будет eoip поднимать если будет делать на микротиках (openvpn там паршивый, а делать VPLS с помощью MPLSoverGRE - сомнительная идея :) )

 

2 минуты назад, LostSoul сказал:

так вы мне упоминанием BSD  переключатель в мозге именно в те годы и переключили.

Ведь его тогда и использовали :-)

 

я его не упоминал. bsd до сих пор используют, например в sony playstation ну и извращены олдфаги

[LostSoul]

Я сейчас вспомню времена , когда проклятые пиндосы в пост-ссср сановские сервера с удаленным ssh поставляли ( telnet only )

а на bsd ssh собирался :-)

 

[s.lobanov]

@LostSoul заведите себе бложик и там ностальгируйте, подтянутся другие олдфаги и будете вспоминать 14400 или на какой вы там скорости подключались (1200?)