jone31 Posted March 4, 2019 · Report post Доброго дня, коллеги. Прошу помощи, т.к. ранее с таким еще не сталкивался. Клиент хочет L2-канал с MTU=1600. В удаленной точке хотим взять инет у ростелекома(IP-транзит), и посредством тоннеля на микротике собрать л2 канал до нашего узла. На узле имеем физический стык с клиентом. погуглив инфу, понял, что для l2tp который мы обычно используем для сборки л2 каналов, такой мту не просунуть(max=1450). какие есть альтернативы для объединения двух точек с мту=1600 ? из железа на узле есть микротик на х86 платформе и свитч DGS-1500-28 на котором собрано два магистрала и линк к клиенту. какие подводные камни есть при такой схеме? никогда особо не заморачивался с мту, но тут новый клиент и сразу такие не типовые запросы. На интерфейсе микротика сейчас стоит мту=1500, но я так понимаю что технически его можно поднять до 1600 без каких-либо проблем ? по тоннелям не могу понять собственно на каком из них мы можем достичь больший мту? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted March 4, 2019 · Report post openvpn (и некоторые другие тунели) сами всё вам дефрагментируют если попросите. Если у вас с обеих сторон Ростелеком, то теоретически можно выпросить бо'льший MTU и не разрезать фреймы Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jone31 Posted March 4, 2019 · Report post на нашем узле другой магистрал, и у нас уже локальный стык с клиентом. клиент же сможет все равно понять если трафик будет фрагметирован на нашем оборудовании... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted March 4, 2019 · Report post @jone31 сможет, просто это медленнее намного работает если вы будете дефрагментировать. если у него полоса небольшая и RTT некритично, то он не заметит скорее всего Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jone31 Posted March 4, 2019 · Report post у него требования - полоса 10мбит/сек, мту=1600... требований к пингу нет Хотели как обычно - купить ip-транзит в области, поставить микротик и поднять туннель до узла и отдать в стык с ним в городе. Но потом выяснилось что ему нужно мту 1600, и зашли в этот технический тупик. Готовый Л2 взять у ростелека под этого клиента будет очень дорого и клиент в отказ уйдет. У ростелека при слове Л2-канал сразу ценники на 3 умножаются, и инсталлы растут как на дрожжах. я так понимаю, что если МТУ по ip-транзиту будет 1600 то я могу поднять gre тонель или ip-ip до микротика на узле и с тем же мту гонять пакеты. так или не так? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted March 4, 2019 · Report post 10 минут назад, jone31 сказал: у него требования - полоса 10мбит/сек, мту=1600... требований к пингу нет Хотели как обычно - купить ip-транзит в области, поставить микротик и поднять туннель до узла и отдать в стык с ним в городе. Но потом выяснилось что ему нужно мту 1600, и зашли в этот технический тупик. Готовый Л2 взять у ростелека под этого клиента будет очень дорого и клиент в отказ уйдет. У ростелека при слове Л2-канал сразу ценники на 3 умножаются, и инсталлы растут как на дрожжах. я так понимаю, что если МТУ по ip-транзиту будет 1600 то я могу поднять gre тонель или ip-ip до микротика на узле и с тем же мту гонять пакеты. так или не так? Скажите , а вам не стыдно, мало того что заниматься такими махинациями , так еще и публично писать про это с своего аккаунта? Если ко мне обращается клиент с такой просьбой, то я сразу ему отвечаю , что на основе собственной сети подобную услугу предоставить не могу. Но могу 1) разработать техническое решение на базе двух надежных микротик, установить у абонента ( или в собственном помещении ) , и взять на техническую поддержку с SLA и штрафами/санкциями. 2) купить эту услугу у ростелекома для абонента как можно более дешево, с учетом всех моих операторских скидок А чтоб вот так... надо совсем клиента не уважать и за идиота считать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted March 4, 2019 · Report post за микротик не скажу, но на фряхе, например, просто ставится на туннеле нужное mtu. пакеты фрагментируются на выходе в инет и собираются обратно на входе с другой стороны, и всё… Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted March 4, 2019 · Report post 3 минуты назад, rdc сказал: за микротик не скажу, но на фряхе, например, просто ставится на туннеле нужное mtu. а если флаг DF поставить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jone31 Posted March 4, 2019 · Report post 4 минуты назад, LostSoul сказал: Скажите , а вам не стыдно, мало того что заниматься такими махинациями , так еще и публично писать про это с своего аккаунта? Если ко мне обращается клиент с такой просьбой, то я сразу ему отвечаю , что на основе собственной сети подобную услугу предоставить не могу. Но могу 1) разработать техническое решение на базе двух надежных микротик, установить у абонента ( или в собственном помещении ) , и взять на техническую поддержку с SLA и штрафами/санкциями. 2) купить эту услугу у ростелекома для абонента как можно более дешево, с учетом всех моих операторских скидок А чтоб вот так... надо совсем клиента не уважать и за идиота считать Клиента за дурака никто не считает, клиент умный и сам запросил у РТ там канал - ценник клиента не порадовал, РТ последнюю милю надо строить в двух концах за 1 млн/км. Естественно клиент отклонил такое. В данной удаленной точке есть только РТ, никого больше нет. В городе клиент наш действующий и довольный клиент, потому и обратился. Никакого стыда и обмана в IP-транзите для клиента нет - честный договор с РТ(межоператорский IP-транзит) по которому мы оказываем услуги(перепродаем) своим клиентам. Естественно что РТ и без нас знает для кого мы берем канал, среди одного юр лица в деревне ему гадать не приходится. Арендовать готовый Л2 с финансовой точки зрения нерентабельно, они и без нас бы его уже арендовали. Соответственно встал вопрос в вариантах решения из тех возможностей что есть. Отказать клиенту можно в любой момент, но это прежде всего упущенная выгода и недовольный клиент. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted March 4, 2019 · Report post 15 минут назад, LostSoul сказал: Скажите , а вам не стыдно, мало того что заниматься такими махинациями , так еще и публично писать про это с своего аккаунта? Если ко мне обращается клиент с такой просьбой, то я сразу ему отвечаю , что на основе собственной сети подобную услугу предоставить не могу. Но могу 1) разработать техническое решение на базе двух надежных микротик, установить у абонента ( или в собственном помещении ) , и взять на техническую поддержку с SLA и штрафами/санкциями. 2) купить эту услугу у ростелекома для абонента как можно более дешево, с учетом всех моих операторских скидок А чтоб вот так... надо совсем клиента не уважать и за идиота считать А какая разница что он микротики у клиента поставит, что у себя и поднимет тунели на своём оборудовании? Работать-то будет одинаково... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted March 4, 2019 · Report post 1 минуту назад, jone31 сказал: Арендовать готовый Л2 с финансовой точки зрения нерентабельно, они и без нас бы его уже арендовали. Соответственно встал вопрос в вариантах решения из тех возможностей что есть. вы 2 строчки назад написали, что клиента не устраивает достройка линии 1млн/км , а не ежемесячный платеж за L2. Сдайте ростелекому свою последнюю милю под этот L2 и пусть берут у них. или возьмите L2 у ростелекома с скидкой , под продажу этому клиенту Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted March 4, 2019 · Report post 9 минут назад, LostSoul сказал: а если флаг DF поставить? openvpn l2 tap (да и по идее любой l2-тунель с фрагментацией) не смотрит на L3-заголовки, ему пофиг что там внутри l3 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted March 4, 2019 · Report post 9 минут назад, s.lobanov сказал: openvpn l2 tap (да и по идее любой l2-тунель с фрагментацией) не смотрит на L3-заголовки, ему пофиг что там внутри l3 Флаг DF ( dont fragment ) это L2 флаг. Он в заголовках пакета размещены даже раньше чем src ip и dst ip. Следом за ним TTL ( это тоже L2 поле) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jone31 Posted March 4, 2019 · Report post 2 минуты назад, LostSoul сказал: вы 2 строчки назад написали, что клиента не устраивает достройка линии 1млн/км , а не ежемесячный платеж за L2. я написал ранее что ценник на l2 каналы РТ в 3 раза дороже интернета, так еще и инсталл заоблачный. Мы инсталл сможем в разы уменьшить за счет того что сами построим до РТ... но ценники от этого на аренду л2-канала для нас это не изменит. Ценник на интернет приемлем, и с нашей наценкой остается приемлем для клиента. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted March 4, 2019 · Report post 5 минут назад, LostSoul сказал: Флаг DF ( dont fragment ) это L2 флаг. Он в заголовках пакета размещены даже раньше чем src ip и dst ip. Следом за ним TTL ( это тоже L2 поле) жду скрин из ваершарка, где видно что TTL это атрибут L2 или ссылку на RFC/стандарт Если б было так, то L2-штормы бы умирали в закольцованном ethernet, как умирает IP-трафик при петлях маршрутизации Рекомендую вам освежить знания что где в каких заголовках, просто открыв ваершарк с любым IPoverEth фреймом Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted March 4, 2019 · Report post Только что, s.lobanov сказал: Если б было так, то L2-штормы бы умирали в закольцованном ethernet, как умирает IP-трафик при петлях маршрутизации Так они не умирают, потому что не подвергаются процессу роутинга и некому убавлять TTL. Пожалуйте скриншот из wireshark Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted March 4, 2019 · Report post @LostSoul IP - это заголовок L3, а не L2. https://en.wikipedia.org/wiki/Network_layer Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted March 4, 2019 · Report post 2 минуты назад, s.lobanov сказал: Рекомендую вам освежить знания что где в каких заголовках, просто открыв ваершарк с любым IPoverEth фреймом Ваши знания об IP начались с wireshark? Мои - за 4-5 лет до первого релиза ethreal. Только что, s.lobanov сказал: IP - это заголовок L3, а не L2. ну если подходить так, то DF и TTL разумеется тоже L3 заголовки. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted March 4, 2019 · Report post @LostSoul если для вас IP это L2, то мы с вами живём в параллельных вселенных. это даже не смешно в ethereal я работал, но не понимаю зачем этим хвастаться. От того что вы пользовались чем-то до появления ethereal, network layer не станет 2 уровнем. Почитайте про статью на wiki выше 3 минуты назад, LostSoul сказал: ну если подходить так, то DF и TTL разумеется тоже L3 заголовки. да. и поэтому если вы поднимаете l2-тунель (т.е. к пример openvpn tap (не tun!)), то на df бит пофиг ибо полезной нагрузкой является весь фрейм целиком, а не его часть, начиная с IP-хедера Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted March 4, 2019 · Report post Только что, s.lobanov сказал: в ethereal я работал, но не понимаю зачем этим хвастаться. От того что вы им пользовался, network layer не станет 2 уровнем. Почитайте про статью на wiki выше Я этим и не хвастался. ethereal это старое название wireshark. Но я изучал модель OSI и заголовки задолго до их появления в природе :-) Да, малость перепутал. В современной трактовке модели OSI закрепилось , что TCP/UDP это L4 , а IP это L3. Но такая трактовка взяла верх не сразу и раньше долгие годы все это толковалось двойственно и расплывчато, что там в IP на какой уровень попадает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted March 4, 2019 · Report post @LostSoul ок, но согласитесь, что нужно общаться используя общепринятую терминологию сейчас (а не 20-30 лет назад), иначе мы друг друга не поймём Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted March 4, 2019 · Report post В дополнение хотелось добавить, что в микротик поведение eoip туннеля настраивается. Можно сделать чтоб пакет, не влезающий к пересылке без фрагментации , отвергался в случае выставленного флага DF. Можно сделать чтоб игнорировалось и фрагментировало в любом случае. 5 минут назад, s.lobanov сказал: @LostSoul ок, но согласитесь, что нужно общаться используя общепринятую терминологию сейчас (а не 20-30 лет назад), иначе мы друг друга не поймём так вы мне упоминанием BSD переключатель в мозге именно в те годы и переключили. Ведь его тогда и использовали :-) Флешбеки как у Рембо Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted March 4, 2019 · Report post @LostSoul ну это отлично. это означает что ваш вопрос про DF-бит не актуален, ибо автор всё равно будет eoip поднимать если будет делать на микротиках (openvpn там паршивый, а делать VPLS с помощью MPLSoverGRE - сомнительная идея :) ) 2 минуты назад, LostSoul сказал: так вы мне упоминанием BSD переключатель в мозге именно в те годы и переключили. Ведь его тогда и использовали :-) я его не упоминал. bsd до сих пор используют, например в sony playstation ну и извращены олдфаги Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted March 4, 2019 · Report post Я сейчас вспомню времена , когда проклятые пиндосы в пост-ссср сановские сервера с удаленным ssh поставляли ( telnet only ) а на bsd ssh собирался :-) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted March 4, 2019 · Report post @LostSoul заведите себе бложик и там ностальгируйте, подтянутся другие олдфаги и будете вспоминать 14400 или на какой вы там скорости подключались (1200?) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...