kiragun Posted June 19, 2019 (edited) · Report post Добрый день! Суть вопроса: существует L2 канал стороннего оператора - с обоих сторон влан идёт транком. По бэндтесту показывает адекватную скорость канала - порядка 100мбит. По этому влану идёт управление железками. Есть задача пробросить "локальный" влан по этому каналу с максимально допустимой скоростью (так как канал ничем другим грузить не собираюсь). Каким образом это осуществить? EoIP туннель и тп? Edited June 19, 2019 by kiragun Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted June 19, 2019 · Report post EoIP туннель, т.к. скорее всего провайдер зарежет влан внутри его канала. Но лучше всего уйти от вланов и сделать все на базе L3 технологий, подняв OSPF поверх этого канала. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ace63 Posted June 19, 2019 · Report post Либо QinQ либо L3, кому что нравится. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kiragun Posted June 19, 2019 · Report post Спасибо за советы, пойду договариваться с оператором об адресах) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ace63 Posted June 19, 2019 (edited) · Report post 3 часа назад, kiragun сказал: Спасибо за советы, пойду договариваться с оператором об адресах) Зачем вам адреса оператора? Если L3 то поднимаете у себя IP адреса и делаете маршрутизацию. Если QinQ, тупо пихаете нижние метки в существующий влан, хлопаете в ладоши. Edited June 19, 2019 by Ace63 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fractal Posted June 19, 2019 · Report post 5 часов назад, Ace63 сказал: Зачем вам адреса оператора? Если L3 то поднимаете у себя IP адреса и делаете маршрутизацию. Если QinQ, тупо пихаете нижние метки в существующий влан, хлопаете в ладоши. если mtu провайдер задрал делайте eoip и не заморачивайтесь, по чистому l2 проползет 100 мбит Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted June 21, 2019 (edited) · Report post В 19.06.2019 в 04:17, Ace63 сказал: Если QinQ, тупо пихаете нижние метки в существующий влан, хлопаете в ладоши. Тупо запихать одну метку в другую это не QnQ а DoubleTagging. Для QnQ верхний тег должен быть особый, сервисный, с правильным Ethertype. DoubleTagging тоже будет работать, если MTU позволяет. Я просто придираюсь к терминологии. :-) Edited June 21, 2019 by maxkst Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kiragun Posted June 21, 2019 · Report post Спасибо за рекомендации, в итоге договорились с оператором о разных вланах от центрального офиса до мелких точек. В итоге имеем L2, по которому поднимается EoIP для "клиентского" влана. Вопрос в другом - стоит ли шифровать туннель, если он поднимается на уровне L2? На одной железке проц бьётся в потолок, показывая в профайле максимальный загруз на encryption. Изменит ли ситуацию отключение шифрования? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted June 21, 2019 · Report post @kiragun 750Gr3 умеют аппаратное шифрование. А что у вас? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kiragun Posted June 21, 2019 (edited) · Report post RB1100AHx2 в голове; RB450G одна точка; RB2011iL вторая. Железки повидали многое, работая 24/7 пару лет. Трафик между мелкими RB и головной ходит одинаковый, но именно в 2011 проц упирается. Смогёт отключение шифрования изменить ситуацию? Edited June 21, 2019 by kiragun Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted June 21, 2019 · Report post @kiragun Смогёт. Но до приемлемого все равно будет далеко. Мы тестировали 2011 чисто из спортивного интереса с виланами и без, RFC2544 тест. Без вланов и с хардовыми вланами тест провалил, с софтовыми вланами - вообще убил желание использовать эту железку где бы то ни было. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kiragun Posted June 22, 2019 · Report post Шифрование отключил, загрузка процессора на 2011 упала ниже 20% Вопрос - на уровне L2 норма поднимать туннель без шифрования? Точнее - безопасно ли-ЛИ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fractal Posted June 23, 2019 · Report post 20 часов назад, kiragun сказал: Шифрование отключил, загрузка процессора на 2011 упала ниже 20% Вопрос - на уровне L2 норма поднимать туннель без шифрования? Точнее - безопасно ли-ЛИ? Зависит от информации в туннеле, вообще желательно шифровать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted June 23, 2019 · Report post А что, вланами QinQ там тоже шифруется? Может в EoIP не надо включать шифрование, что бы не было поводов говорить что микротик тормозит и не справляется? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted June 24, 2019 · Report post В 22.06.2019 в 14:36, kiragun сказал: Шифрование отключил, загрузка процессора на 2011 упала ниже 20% Вопрос - на уровне L2 норма поднимать туннель без шифрования? Точнее - безопасно ли-ЛИ? Сами то как думаете? Другой вопрос что у вас там ходить будет. Если какой-нить SSH до сервера, то он как бы сам шифрованный. Если какая-нить бухгалтерская фигня, открытым текстом- то есть смысл зашифровать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted June 24, 2019 · Report post 2011 - для дома еще куда ни шло, и то с большой натяжкой. Если нужны вланы на нем - то только на свич-чипе. Для шифрования все таки лучше поменять на что-то с аппаратной поддержкой Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
user71 Posted June 25, 2019 · Report post On 6/21/2019 at 7:02 PM, maxkst said: Тупо запихать одну метку в другую это не QnQ а DoubleTagging. Для QnQ верхний тег должен быть особый, сервисный, с правильным Ethertype. DoubleTagging тоже будет работать, если MTU позволяет. Я просто придираюсь к терминологии. :-) а TripleTagging будет работать? Ну и как для знатока терминологии QnQ in QnQ как зовется а если все вложить еще и в q? q q qnq q q qnq q q qnq -))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted June 25, 2019 · Report post На микротике это все работает. Много лет назад проверяли такую схему - только мту уменьшается, а так все бегает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted June 25, 2019 (edited) · Report post 13 часов назад, user71 сказал: а TripleTagging будет работать? Будет, проверял лично и 4 будет. Только зачем? 13 часов назад, user71 сказал: как зовется а если все вложить еще и в q? q q qnq q q qnq q q qnq До вас наврятли это кому-то в голову приходило - можете сами придумать термин, я думаю никто возражать не станет )) Edited June 25, 2019 by maxkst Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
user71 Posted June 25, 2019 (edited) · Report post 1 hour ago, maxkst said: До вас наврятли это кому-то в голову приходило 1 hour ago, maxkst said: проверял лично и 4 будет :))))))) выходит приходило. Но зачем придумали qnq если и обычные q вполне себе оматрешиваются? Edited June 25, 2019 by user71 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fractal Posted June 25, 2019 · Report post 2 часа назад, maxkst сказал: Будет, проверял лично и 4 будет. Только зачем? До вас наврятли это кому-то в голову приходило - можете сами придумать термин, я думаю никто возражать не станет )) У большого провайдера это повсеместно ( особенно через последние мили других провайдеров) максимум видел для 100 вланов клиента 7 упаковок и несколько маппингов сервисного влана) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
user71 Posted June 25, 2019 · Report post 9 minutes ago, fractal said: клиента 7 упаковок и несколько маппингов сервисного влана) кхм а клиент потом у себя поднимает 7 интерфейсов чтобы это разобрать или есть какой то коммутатор которому можно вписать 7 меток как акцес порт? :lol: Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted June 25, 2019 · Report post Только что, user71 сказал: есть какой то коммутатор которому можно вписать 7 меток как акцес порт? :lol: Зачем? Убирается только внешняя провайдерская метка, весть трафик так и выходит тегированный через UNTAGGED порт, но только с клиентскими метками. Клиентские метки убираются следующим свичем. С сервисным тегом есть свои заморочки. К примеру свич Netonix имеет 4 значения на порту для каждого влана: U T Q и D Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted June 25, 2019 (edited) · Report post Цыска вроде по дефолту внешний влан делает 8100 ethertype для улучшения совместимости, хотя по стандарту Q in Q IEEE 802.1ad должно быть 88a8. На микротиках то же самое, по дефолту сервис влан не включен. Я ваиршарком смотрел, как выглядит двойное тегирование с внешним сервисным тегом, и с обычным. Только если сервинсый тег установлен - шарк показывает что это QinQ. Edited June 25, 2019 by maxkst Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
user71 Posted June 25, 2019 · Report post 1 hour ago, maxkst said: На микротиках то же самое на микротиках "какие то теги" используются свитч чипом "втихую" ну что бы мастер порт. Когда начинаешь лепить туда еще вланов, иногда "что-то идет не так" свитч орет too long и пакет дропается "где то там" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...