[kiragun]

Добрый день!

Суть вопроса:

существует L2 канал стороннего оператора - с обоих сторон влан идёт транком. По бэндтесту показывает адекватную скорость канала - порядка 100мбит.

По этому влану идёт управление железками.

Есть задача пробросить "локальный" влан по этому каналу с максимально допустимой скоростью (так как канал ничем другим грузить не собираюсь).

Каким образом это осуществить? EoIP туннель и тп?

Edited June 19, 2019 by kiragun

[Saab95]

EoIP туннель, т.к. скорее всего провайдер зарежет влан внутри его канала.

Но лучше всего уйти от вланов и сделать все на базе L3 технологий, подняв OSPF поверх этого канала.

[Ace63]

Либо QinQ либо L3, кому что нравится.

[kiragun]

Спасибо за советы, пойду договариваться с оператором об адресах)

[Ace63]

3 часа назад, kiragun сказал:

Спасибо за советы, пойду договариваться с оператором об адресах)

Зачем вам адреса оператора?

Если L3 то поднимаете у себя IP адреса и делаете маршрутизацию.

Если QinQ, тупо пихаете нижние метки в существующий влан, хлопаете в ладоши.

Edited June 19, 2019 by Ace63

[fractal]

5 часов назад, Ace63 сказал:

Зачем вам адреса оператора?

Если L3 то поднимаете у себя IP адреса и делаете маршрутизацию.

Если QinQ, тупо пихаете нижние метки в существующий влан, хлопаете в ладоши.

 

если mtu провайдер задрал

 

делайте eoip и не заморачивайтесь, по чистому l2 проползет 100 мбит

[maxkst]

В 19.06.2019 в 04:17, Ace63 сказал:

Если QinQ, тупо пихаете нижние метки в существующий влан, хлопаете в ладоши.

Тупо запихать одну метку в другую это не QnQ а DoubleTagging. Для QnQ верхний тег должен быть особый, сервисный, с правильным Ethertype.

DoubleTagging тоже будет работать, если MTU позволяет. Я просто придираюсь к терминологии. :-)

Edited June 21, 2019 by maxkst

[kiragun]

Спасибо за рекомендации, в итоге договорились с оператором о разных вланах от центрального офиса до мелких точек. В итоге имеем L2, по которому поднимается EoIP для "клиентского" влана. Вопрос в другом - стоит ли шифровать туннель, если он поднимается на уровне L2? На одной железке проц бьётся в потолок, показывая в профайле максимальный загруз на encryption. Изменит ли ситуацию отключение шифрования?

[maxkst]

@kiragun 750Gr3 умеют аппаратное шифрование. А что у вас?

[kiragun]

RB1100AHx2 в голове;

RB450G одна точка;

RB2011iL вторая.

 

Железки повидали многое, работая 24/7 пару лет. Трафик между мелкими RB и головной ходит одинаковый, но именно в 2011 проц упирается.

 

 

Смогёт отключение шифрования изменить ситуацию?

Edited June 21, 2019 by kiragun

[maxkst]

@kiragun Смогёт. Но до приемлемого все равно будет далеко. Мы тестировали 2011 чисто из спортивного интереса с виланами и без, RFC2544 тест. Без вланов и с хардовыми вланами тест провалил, с софтовыми вланами - вообще убил желание использовать эту железку где бы то ни было. 

[kiragun]

Шифрование отключил, загрузка процессора на 2011 упала ниже 20%

Вопрос - на уровне L2 норма поднимать туннель без шифрования? Точнее - безопасно ли-ЛИ?

[fractal]

20 часов назад, kiragun сказал:

Шифрование отключил, загрузка процессора на 2011 упала ниже 20%

Вопрос - на уровне L2 норма поднимать туннель без шифрования? Точнее - безопасно ли-ЛИ?

Зависит от информации в туннеле, вообще желательно шифровать

 

[Saab95]

А что, вланами QinQ там тоже шифруется? Может в EoIP не надо включать шифрование, что бы не было поводов говорить что микротик тормозит и не справляется?

[VolanD666]

В 22.06.2019 в 14:36, kiragun сказал:

Шифрование отключил, загрузка процессора на 2011 упала ниже 20%

Вопрос - на уровне L2 норма поднимать туннель без шифрования? Точнее - безопасно ли-ЛИ?

Сами то как думаете? Другой вопрос что у вас там ходить будет. Если какой-нить SSH до сервера, то он как бы сам шифрованный. Если какая-нить бухгалтерская фигня, открытым текстом- то есть смысл зашифровать.

[maxkst]

2011 - для дома еще куда ни шло, и то с большой натяжкой. Если нужны вланы на нем - то только на свич-чипе. Для шифрования все таки лучше поменять на что-то с аппаратной поддержкой

[user71]

On 6/21/2019 at 7:02 PM, maxkst said:

Тупо запихать одну метку в другую это не QnQ а DoubleTagging. Для QnQ верхний тег должен быть особый, сервисный, с правильным Ethertype.

DoubleTagging тоже будет работать, если MTU позволяет. Я просто придираюсь к терминологии. :-)

 а TripleTagging будет работать? Ну и как для знатока терминологии QnQ in QnQ как зовется а если все вложить еще и в q? q q qnq q q qnq q q qnq -)))

[Saab95]

На микротике это все работает. Много лет назад проверяли такую схему - только мту уменьшается, а так все бегает.

[maxkst]

13 часов назад, user71 сказал:

а TripleTagging будет работать? 

Будет, проверял лично и 4 будет. Только зачем?

 

13 часов назад, user71 сказал:

как зовется а если все вложить еще и в q? q q qnq q q qnq q q qnq

До вас наврятли это кому-то в голову приходило - можете сами придумать термин, я думаю никто возражать не станет ))

Edited June 25, 2019 by maxkst

[user71]

1 hour ago, maxkst said:

До вас наврятли это кому-то в голову приходило

 

1 hour ago, maxkst said:

проверял лично и 4 будет

:))))))) выходит приходило.

Но зачем придумали qnq  если и обычные q вполне себе оматрешиваются?

Edited June 25, 2019 by user71

[fractal]

2 часа назад, maxkst сказал:

Будет, проверял лично и 4 будет. Только зачем?

 

До вас наврятли это кому-то в голову приходило - можете сами придумать термин, я думаю никто возражать не станет ))

У большого провайдера это повсеместно ( особенно через последние мили других провайдеров) максимум видел для 100 вланов клиента 7 упаковок  и несколько маппингов сервисного влана)

[user71]

9 minutes ago, fractal said:

клиента 7 упаковок  и несколько маппингов сервисного влана)

кхм а клиент потом у себя поднимает 7 интерфейсов чтобы это разобрать или есть какой то коммутатор которому можно вписать 7 меток как акцес порт? :lol:

[maxkst]

Только что, user71 сказал:

есть какой то коммутатор которому можно вписать 7 меток как акцес порт? :lol:

Зачем? Убирается только внешняя провайдерская метка, весть трафик так и выходит тегированный через UNTAGGED порт, но только с клиентскими метками. Клиентские метки убираются следующим свичем. 

 

С сервисным тегом есть свои заморочки. К примеру свич Netonix имеет 4 значения на порту для каждого влана: U T Q и D

[maxkst]

Цыска вроде по дефолту внешний влан делает 8100 ethertype для улучшения совместимости, хотя по стандарту Q in Q  IEEE 802.1ad должно быть 88a8. 

 

На микротиках то же самое, по дефолту сервис влан не включен. Я ваиршарком смотрел, как выглядит двойное тегирование с внешним сервисным тегом, и с обычным. Только если сервинсый тег установлен - шарк показывает что это QinQ.

Edited June 25, 2019 by maxkst

[user71]

1 hour ago, maxkst said:

На микротиках то же самое

на микротиках "какие то теги" используются свитч чипом "втихую" ну что бы мастер порт. Когда начинаешь лепить туда еще вланов, иногда "что-то идет не так" свитч орет too long и пакет дропается "где то там"