Jump to content
Калькуляторы

Чем поднять канал поверх влана

Добрый день!

Суть вопроса:

существует L2 канал стороннего оператора - с обоих сторон влан идёт транком. По бэндтесту показывает адекватную скорость канала - порядка 100мбит.

По этому влану идёт управление железками.

Есть задача пробросить "локальный" влан по этому каналу с максимально допустимой скоростью (так как канал ничем другим грузить не собираюсь).

Каким образом это осуществить? EoIP туннель и тп?

Edited by kiragun

Share this post


Link to post
Share on other sites

EoIP туннель, т.к. скорее всего провайдер зарежет влан внутри его канала.

Но лучше всего уйти от вланов и сделать все на базе L3 технологий, подняв OSPF поверх этого канала.

Share this post


Link to post
Share on other sites

Либо QinQ либо L3, кому что нравится.

Share this post


Link to post
Share on other sites

Спасибо за советы, пойду договариваться с оператором об адресах)

Share this post


Link to post
Share on other sites
3 часа назад, kiragun сказал:

Спасибо за советы, пойду договариваться с оператором об адресах)

Зачем вам адреса оператора?

Если L3 то поднимаете у себя IP адреса и делаете маршрутизацию.

Если QinQ, тупо пихаете нижние метки в существующий влан, хлопаете в ладоши.

Edited by Ace63

Share this post


Link to post
Share on other sites
5 часов назад, Ace63 сказал:

Зачем вам адреса оператора?

Если L3 то поднимаете у себя IP адреса и делаете маршрутизацию.

Если QinQ, тупо пихаете нижние метки в существующий влан, хлопаете в ладоши.

 

если mtu провайдер задрал

 

делайте eoip и не заморачивайтесь, по чистому l2 проползет 100 мбит

Share this post


Link to post
Share on other sites
В 19.06.2019 в 04:17, Ace63 сказал:

Если QinQ, тупо пихаете нижние метки в существующий влан, хлопаете в ладоши.

Тупо запихать одну метку в другую это не QnQ а DoubleTagging. Для QnQ верхний тег должен быть особый, сервисный, с правильным Ethertype.

DoubleTagging тоже будет работать, если MTU позволяет. Я просто придираюсь к терминологии. :-)

Edited by maxkst

Share this post


Link to post
Share on other sites

Спасибо за рекомендации, в итоге договорились с оператором о разных вланах от центрального офиса до мелких точек. В итоге имеем L2, по которому поднимается EoIP для "клиентского" влана. Вопрос в другом - стоит ли шифровать туннель, если он поднимается на уровне L2? На одной железке проц бьётся в потолок, показывая в профайле максимальный загруз на encryption. Изменит ли ситуацию отключение шифрования?

Share this post


Link to post
Share on other sites

@kiragun 750Gr3 умеют аппаратное шифрование. А что у вас?

Share this post


Link to post
Share on other sites

RB1100AHx2 в голове;

RB450G одна точка;

RB2011iL вторая.

 

Железки повидали многое, работая 24/7 пару лет. Трафик между мелкими RB и головной ходит одинаковый, но именно в 2011 проц упирается.

 

 

Смогёт отключение шифрования изменить ситуацию?

Edited by kiragun

Share this post


Link to post
Share on other sites

@kiragun Смогёт. Но до приемлемого все равно будет далеко. Мы тестировали 2011 чисто из спортивного интереса с виланами и без, RFC2544 тест. Без вланов и с хардовыми вланами тест провалил, с софтовыми вланами - вообще убил желание использовать эту железку где бы то ни было. 

Share this post


Link to post
Share on other sites

Шифрование отключил, загрузка процессора на 2011 упала ниже 20%

Вопрос - на уровне L2 норма поднимать туннель без шифрования? Точнее - безопасно ли-ЛИ?

Share this post


Link to post
Share on other sites
20 часов назад, kiragun сказал:

Шифрование отключил, загрузка процессора на 2011 упала ниже 20%

Вопрос - на уровне L2 норма поднимать туннель без шифрования? Точнее - безопасно ли-ЛИ?

Зависит от информации в туннеле, вообще желательно шифровать

 

Share this post


Link to post
Share on other sites

А что, вланами QinQ там тоже шифруется? Может в EoIP не надо включать шифрование, что бы не было поводов говорить что микротик тормозит и не справляется?

Share this post


Link to post
Share on other sites
В 22.06.2019 в 14:36, kiragun сказал:

Шифрование отключил, загрузка процессора на 2011 упала ниже 20%

Вопрос - на уровне L2 норма поднимать туннель без шифрования? Точнее - безопасно ли-ЛИ?

Сами то как думаете? Другой вопрос что у вас там ходить будет. Если какой-нить SSH до сервера, то он как бы сам шифрованный. Если какая-нить бухгалтерская фигня, открытым текстом- то есть смысл зашифровать.

Share this post


Link to post
Share on other sites

2011 - для дома еще куда ни шло, и то с большой натяжкой. Если нужны вланы на нем - то только на свич-чипе. Для шифрования все таки лучше поменять на что-то с аппаратной поддержкой

Share this post


Link to post
Share on other sites
On 6/21/2019 at 7:02 PM, maxkst said:

Тупо запихать одну метку в другую это не QnQ а DoubleTagging. Для QnQ верхний тег должен быть особый, сервисный, с правильным Ethertype.

DoubleTagging тоже будет работать, если MTU позволяет. Я просто придираюсь к терминологии. :-)

 а TripleTagging будет работать? Ну и как для знатока терминологии QnQ in QnQ как зовется а если все вложить еще и в q? q q qnq q q qnq q q qnq -)))

Share this post


Link to post
Share on other sites

На микротике это все работает. Много лет назад проверяли такую схему - только мту уменьшается, а так все бегает.

Share this post


Link to post
Share on other sites
13 часов назад, user71 сказал:

а TripleTagging будет работать? 

Будет, проверял лично и 4 будет. Только зачем?

 

13 часов назад, user71 сказал:

как зовется а если все вложить еще и в q? q q qnq q q qnq q q qnq

До вас наврятли это кому-то в голову приходило - можете сами придумать термин, я думаю никто возражать не станет ))

Edited by maxkst

Share this post


Link to post
Share on other sites
1 hour ago, maxkst said:

До вас наврятли это кому-то в голову приходило

 

1 hour ago, maxkst said:

проверял лично и 4 будет

:))))))) выходит приходило.

Но зачем придумали qnq  если и обычные q вполне себе оматрешиваются?

Edited by user71

Share this post


Link to post
Share on other sites
2 часа назад, maxkst сказал:

Будет, проверял лично и 4 будет. Только зачем?

 

До вас наврятли это кому-то в голову приходило - можете сами придумать термин, я думаю никто возражать не станет ))

У большого провайдера это повсеместно ( особенно через последние мили других провайдеров) максимум видел для 100 вланов клиента 7 упаковок  и несколько маппингов сервисного влана)

Share this post


Link to post
Share on other sites
9 minutes ago, fractal said:

клиента 7 упаковок  и несколько маппингов сервисного влана)

кхм а клиент потом у себя поднимает 7 интерфейсов чтобы это разобрать или есть какой то коммутатор которому можно вписать 7 меток как акцес порт? :lol:

Share this post


Link to post
Share on other sites
Только что, user71 сказал:

есть какой то коммутатор которому можно вписать 7 меток как акцес порт? :lol:

Зачем? Убирается только внешняя провайдерская метка, весть трафик так и выходит тегированный через UNTAGGED порт, но только с клиентскими метками. Клиентские метки убираются следующим свичем. 

 

С сервисным тегом есть свои заморочки. К примеру свич Netonix имеет 4 значения на порту для каждого влана: U T Q и D

Share this post


Link to post
Share on other sites

Цыска вроде по дефолту внешний влан делает 8100 ethertype для улучшения совместимости, хотя по стандарту Q in Q  IEEE 802.1ad должно быть 88a8. 

 

На микротиках то же самое, по дефолту сервис влан не включен. Я ваиршарком смотрел, как выглядит двойное тегирование с внешним сервисным тегом, и с обычным. Только если сервинсый тег установлен - шарк показывает что это QinQ.

Edited by maxkst

Share this post


Link to post
Share on other sites
1 hour ago, maxkst said:

На микротиках то же самое

на микротиках "какие то теги" используются свитч чипом "втихую" ну что бы мастер порт. Когда начинаешь лепить туда еще вланов, иногда "что-то идет не так" свитч орет too long и пакет дропается "где то там"

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now