Jump to content
Калькуляторы

Cisco 2811 q-in-q? l2tp? Переезд офиса. Как оставить цельной сеть?

Имеется офис часть которого преезжает на новое место, в дальнейшем может и весь туда уедет. В офисе крутятся 3 отдельные сетки в отдельных VLAN. T.е. 10 vlan сеть 10.0.10.0/24, 20 vlan сеть 10.0.20.0/24, 30 vlan сеть 10.0.30.0/24. Часть людей из каждой сетки будет в новом офисе.

Есть 2 cisco 2811 и интернет каналы в обеих офисах. Как настроить туннель между старым и новым офисами, чтоб vlan прозрачно ходили? q-in-q ? l2tp? куда смотреть?

Share this post


Link to post
Share on other sites

Насколько я понимаю, q-in-q на одном Интернете не сваришь, тут нужен L2 сервис от провайдера который q-in-q вам протащит от старого офиса в новый. Это если хочется чтобы прозрачно ходили.

 

Как самостоятельный L3 вариант - IPSec+GRE через Интернет между двумя 2811. Здесь все только от Вас будет зависить, провайдеру(ам) можно ничего не объяснять\согласовывать. Неудобства - придется городить +3 подсети для удаленной части офиса, и для "Сетевого окружения" (если оно бизнес-критикал) придется делать костыли.

 

C l2tp не работал, не подскажу. Может кто другой что посоветует.

Edited by Sergey_Taurus

Share this post


Link to post
Share on other sites

а подробней можно? между 2811 я вприципе поднял GRE ipsec туннель. В старом офисе на туннеле стоит 172.16.16.1 в новом 172.16.16.2 и пинги между ними бегают. Как q-in-q поднять чтоб его в туннель зарулить?

 

Share this post


Link to post
Share on other sites

В туннель q-in-q Вы не завернете.

Как я понимаю, если Вы хотите прозрачности - Вам нужно поднимать между 2811 l2tp(v3).

Edited by Sergey_Taurus

Share this post


Link to post
Share on other sites

MPLS нет. Этож надо с провайдерами договариватся. Плиз киньте как l2tp(v3) поднимать мануал какойнить. На cisco рылся но нашёл только для 7000 и поверх АТМ а мне надо поверх Eth

Share this post


Link to post
Share on other sites

Мои 5 копеек.

 

С двух сторон ставим 2 софтроутера на OpenVPN. Конфигурируем как прозрачный мост (ethernet bridging). Работает. Да не красиво. Ведь и на cisco потратились а тут Linux/FreeBSD ;)

 

Второй вариант: настроить роутинг и ACL между подсетями для ограничения трафика между подсетями при необходимости.

Но это возможно только в случае если позволяет конфигурация сети. Поэтому хотелось бы спросить: а насколько принципиальна необходимость бриджа и постоянно гонять между роутерами броадкасты?

Подумайте об этом.

Лучше настроить фильтрацию вылетающих пакетов на каждой точке и пускать в канал между точками только минимум трафика.

Но это только мое мнение.

 

---

Удачи.

http://yakuzzza.blogspot.com

 

Share this post


Link to post
Share on other sites

Имхо, затея с L2 особого смысла не имеет, если только не, как уже было сказано раньше, покупка L2 транспорта у провайдера. Для гибкости и масштабируемости сети стоит использовать L3. Почему нельзя перевести пользователей в другую (новую) подсеть и настраивать маршрутизацию между ними? Из такого решения выплывает масса удобств в плане настроек и контроля хождения трафика.

 

Абсолютно никого не хочу обидеть, но администраторы офисных сетей, часто, почему-то, очень плохо понимают принципы маршрутизации. Знают "свою" /24, да глупый свич в центре всего и все тут...

Share this post


Link to post
Share on other sites

С помощью протокола L2TPv3 можно сделать Ethernet-бридж через WAN, т.е.

 

192.168.0.0/24-----Internet------192.168.0.0/24

 

Конфиг первого маршрутизатора

 

l2tp-class class1

authentication

password secret

 

pseudowire-class vlan-xconnect

encapsulation l2tpv3

protocol l2tpv3 class1

ip local interface FastEthernet0/1

 

interface FastEthernet0/0

!Интерфейс подключён к 192.168.0.0/24, IP-адреса на нём быть не должно.

xconnect remote.ip.add.ress 123 pw-class vlan-xconnect

 

interface FastEthernet0/1

! Интерфейс подключён к WAN

ip address your.wan.ip.addr

 

На втором маршрутизаторе - симметрично.

Share this post


Link to post
Share on other sites

Вопрос: в исходной задаче у вас было 3 подсети\влана. Получилось? Или работает только с одним вланом (физическим интерфейсом) и сделать то же самое с 802.1q sub-if не получится?

Share this post


Link to post
Share on other sites
Вопрос: в исходной задаче у вас было 3 подсети\влана. Получилось? Или работает только с одним вланом (физическим интерфейсом) и сделать то же самое с 802.1q sub-if не получится?
Зависит от IOS и/или аппаратных ограничений железки.

Кроме того, на физическом интерфейсе может быть много виланов, и все они полетят в EoL2tpv3.

НО: работает только точка-точка, по крайней мере у циски.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this