[fixxxer]

Народ, привет.

Прошу помощи знающих людей.

Совсем недавно начал знакомство с Микротами. 

Не могу реализовать модель на стенде.

Есть офис(А) - микротик(А) . Имеем от провайдера выход в интернет(несильно широкий 50Мб + недешевый) , а также порт с выделенным вланом(vlan)( толстый 1Гиг/с низкий пинг дешевый) до ЦОДа(точка Б).

в ЦОДе(Б) также есть виртуальный микрот. Воткнутый в Интернет другого провайдера eth1 и eth2 вот этот прогнанный выделенный vlan

Вот в этом влане живет вся L2 сеть организации 192.168.0.1/23 .

так вот этот Vlan единственный - незарезервированный и частенько падает.

И хотелось бы в момент этого отсутствия иметь связь хоть какая-то коннективность.

Проблема в том, что в облаке куча ВМ в этой сети. И перевод их в отдельную сеть очень трудоемок и практически невозможен.

Собственно , что хотелось бы. 

В нормальной ситуации гонять трафик по влану. 

Поднять EoIP туннель( растянуть сеть L2) и ждать восстановление канала.

Собственно EoIP поднимается. Но туту же получается кольцо и трафик молниеносно  кладет всё.

Просьба помочь в настройках.

Если нужно и/или непонятна схема могу приложить.

Пожайлуйста ,не пишите , что это изврат , и что нужно делать L3 и OSPFить. Я и сам это понимаю. Но дизайн такой какой есть и от него не уйти.

Создаю bridge  и добавляю в него порт LAN eth3, VLAN eth2 и EoIP_tunnel интерфейс.

На каждом eth3 порту( в сторону LAN филиала) включена ubunt`ы , которые пингуют друг друга для проверки.

Изменено 13 июня, 2023 пользователем fixxxer

[fractal]

2 часа назад, fixxxer сказал:

Народ, привет.

Прошу помощи знающих людей.

Совсем недавно начал знакомство с Микротами. 

Не могу реализовать модель на стенде.

Есть офис(А) - микротик(А) . Имеем от провайдера выход в интернет(несильно широкий 50Мб + недешевый) , а также порт с выделенным вланом(vlan)( толстый 1Гиг/с низкий пинг дешевый) до ЦОДа(точка Б).

в ЦОДе(Б) также есть виртуальный микрот. Воткнутый в Интернет другого провайдера eth1 и eth2 вот этот прогнанный выделенный vlan

Вот в этом влане живет вся L2 сеть организации 192.168.0.1/23 .

так вот этот Vlan единственный - незарезервированный и частенько падает.

И хотелось бы в момент этого отсутствия иметь связь хоть какая-то коннективность.

Проблема в том, что в облаке куча ВМ в этой сети. И перевод их в отдельную сеть очень трудоемок и практически невозможен.

Собственно , что хотелось бы. 

В нормальной ситуации гонять трафик по влану. 

Поднять EoIP туннель( растянуть сеть L2) и ждать восстановление канала.

Собственно EoIP поднимается. Но туту же получается кольцо и трафик молниеносно  кладет всё.

Просьба помочь в настройках.

Если нужно и/или непонятна схема могу приложить.

Пожайлуйста ,не пишите , что это изврат , и что нужно делать L3 и OSPFить. Я и сам это понимаю. Но дизайн такой какой есть и от него не уйти.

Создаю bridge  и добавляю в него порт LAN eth3, VLAN eth2 и EoIP_tunnel интерфейс.

На каждом eth3 порту( в сторону LAN филиала) включена ubunt`ы , которые пингуют друг друга для проверки.

Конечно лучший вариант это OSPF через два туннеля (шифрованные или не шифрованные), но раз нет, то делайте два eoip, один через инет, второй через vlan, из них собираете bonding в режиме active / backup, к примеру вот так делали https://pikabu.ru/story/mikrotik_bonding_vse_dela_6077837

 

 

[jffulcrum]

Все варианты изложены в Manual:MPLSVPLS - MikroTik Wiki

[fixxxer]

Зачем второй EoIP ? во сути натягивание  L2 на эту же L2 сеть 

 

 

jffulcrum, Тут же ни слова о EoIP . Раз уж не врубаетесь  - не лезьте.

Или просто план что-то брякнуть? с STP(RSTP) Лучше ответили . Почему бродкаст шторм. и как победить. Порт не блокируется

Изменено 14 июня, 2023 пользователем fixxxer

[jffulcrum]

4 часа назад, fixxxer сказал:

Тут же ни слова о EoIP . Раз уж не врубаетесь  - не лезьте.

Для начала, примите как отправную точку, что не врубаетесь вы, иначе вас бы тут не было. Конкретная технология не важна, если вы мешаете L2 с L2 хоть в какой форме и получаете петли, то варианты ровно по ссылке:

1. Включить в свойствах моста протокол RSTP, чтобы резервный туннель ничего не передавал. При этом дополнительно туннелю в свойствах моста надо выставить стоимость (cost) выше, чем у интерфейса VLAN. У RSTP также есть некое время реакции - до 40 секунд, если порт не просто отвалился по физике, а только перестали проходить пакеты.

2. Городить правила зависимостей от интерфейсов в firewall - плохой путь.

3. С помощью split horizon выставить портам VLAN и EOIP одинаковое значение, так что пакет, полученный из одного из них, например, широковещательный, не будет передаваться в другой с тем же значением horizon. Порту LAN никакого значения присваивать не надо. Время реакции практически отсутствует - время на заучивание мостом нового порта для MAC адреса.

[VolanD666]

Так и не понял почему нельзя сделать L3. Ну да, у вас BM лежат в этой сети. Ну и смаршрутизируйте ее. В чем проблема? Или у вас все в этой сети лежит?

 

Если хотите остаться на L2, что неправильно и грозит увеличением количества костылей в будущем, может собрать два EoIP и на их основе собрать LAG?

[fixxxer]

Забыл добавить.  1 микрот физический, другой в ЦОДе  в виде ВМ.

VolanD666, да , там всё(все) и на центральном офисе и в ЦОДе ВМки в пределах этой одной большой сети /23 

Не понимаю зачем здесь второй EoIP ( вы видимо имели ввиду EoIP поверх VLAN) но, зачем L2 коннективность и так есть.

jffulcrum, RSTP включен. Но они(микроты) не договорились между собой  кто рут и собственно не перевели порт в альтернатив , все остаются designated  . Как следствие , получается что , при включение какого-то канала (EoIP или физический порт c VLAN) получается петля. И через секунд 10 Виртуальный Микрот загинается.

Увеличение стоимости не приводит к поведению  мол тут путь дорогой , швыкяй всё туда. 

Тестирую на двух микротах вирутальных = тоже самое.

По отдельности работает отлично... нет физического влана , работает EoIP - L2 сеть вся видна.  Включен физический порт - работает , тут понятно , но надо вырубать EoIP туннель.

[VolanD666]

2 часа назад, fixxxer сказал:

VolanD666, да , там всё(все) и на центральном офисе и в ЦОДе ВМки в пределах этой одной большой сети /23

Лучше переделайте сразу нормально. Если проблема перенести ВМки в другую сеть. Перенесите пользователей в отдельную и сделайте L3. У вас же на пользователях DHCP? Какая разница? Или там не только пользователи?

 

2 часа назад, fixxxer сказал:

Не понимаю зачем здесь второй EoIP ( вы видимо имели ввиду EoIP поверх VLAN) но, зачем L2 коннективность и так есть.

Чтобы не связываться с STP?

 

2 часа назад, fixxxer сказал:

Но они(микроты) не договорились между собой  кто рут и собственно не перевели порт в альтернатив , все остаются designated  .

Так не бывает.

 

2 часа назад, fixxxer сказал:

Но они(микроты) не договорились между собой  кто рут и собственно не перевели порт в альтернатив , все остаются designated  .

Скорее всего что-то где-то не включено. А может BPDU блокируются на стороне оператора.

 

2 часа назад, fixxxer сказал:

Тестирую на двух микротах вирутальных = тоже самое.

Нужны конфиги

[jffulcrum]

3 часа назад, fixxxer сказал:

Но они(микроты) не договорились между собой  кто рут

Значит одному в свойствах моста впишите priority 4096

[Negator]

1. Самый лучший вариант это L3 и OSPF

 

2. Гонять STP по операторскому арендованному влану - не есть правильно. И я уверен что там BPDU заблокированы, поэтому у вас и наблюдаются проблемы.

Можно поднять EOIP или vpls поверх влана, проблемы решаться, но надо следить за MTU или попросить повышенный у оператора.

 

3.  Вместо RSTP можно рассмотреть bonding двух EOIP туннелей.

 

 

P.S. и учтите, что все это делается процессором железки, мелкие слабые микротики не вытянут гигабит

 

 

[fractal]

16 часов назад, fixxxer сказал:

Не понимаю зачем здесь второй EoIP

Для сбора бондинга и создания псевдо l2 в котором провайдер не лочит ничего, в вашем vlan от провайдера stp скорее всего лочится, обычно чтобы не лочить договариваются

[VolanD666]

18 часов назад, Negator сказал:

1. Самый лучший вариант это L3 и OSPF

 

2. Гонять STP по операторскому арендованному влану - не есть правильно. И я уверен что там BPDU заблокированы, поэтому у вас и наблюдаются проблемы.

Можно поднять EOIP или vpls поверх влана, проблемы решаться, но надо следить за MTU или попросить повышенный у оператора.

 

3.  Вместо RSTP можно рассмотреть bonding двух EOIP туннелей.

 

 

P.S. и учтите, что все это делается процессором железки, мелкие слабые микротики не вытянут гигабит

 

 

Где-то я это уже слышал :)))

[jffulcrum]

[sarcarsm]Никто не предложил поставить больше микротиков? Тут же очевидно, что надо минимум шесть! [/sarcarsm]

[Saab95]

Что мешает сделать сначала L3 транспорт с OSPF, а уже поверх поднять один EoIP туннель?

[fixxxer]

Парни, пока все на стенде. split-horizon помог