RDD Опубликовано 15 октября, 2009 · Жалоба Имеется офис часть которого преезжает на новое место, в дальнейшем может и весь туда уедет. В офисе крутятся 3 отдельные сетки в отдельных VLAN. T.е. 10 vlan сеть 10.0.10.0/24, 20 vlan сеть 10.0.20.0/24, 30 vlan сеть 10.0.30.0/24. Часть людей из каждой сетки будет в новом офисе. Есть 2 cisco 2811 и интернет каналы в обеих офисах. Как настроить туннель между старым и новым офисами, чтоб vlan прозрачно ходили? q-in-q ? l2tp? куда смотреть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey_Taurus Опубликовано 15 октября, 2009 (изменено) · Жалоба Насколько я понимаю, q-in-q на одном Интернете не сваришь, тут нужен L2 сервис от провайдера который q-in-q вам протащит от старого офиса в новый. Это если хочется чтобы прозрачно ходили. Как самостоятельный L3 вариант - IPSec+GRE через Интернет между двумя 2811. Здесь все только от Вас будет зависить, провайдеру(ам) можно ничего не объяснять\согласовывать. Неудобства - придется городить +3 подсети для удаленной части офиса, и для "Сетевого окружения" (если оно бизнес-критикал) придется делать костыли. C l2tp не работал, не подскажу. Может кто другой что посоветует. Изменено 15 октября, 2009 пользователем Sergey_Taurus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 15 октября, 2009 · Жалоба l2tpv3 смотрите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RDD Опубликовано 15 октября, 2009 · Жалоба а подробней можно? между 2811 я вприципе поднял GRE ipsec туннель. В старом офисе на туннеле стоит 172.16.16.1 в новом 172.16.16.2 и пинги между ними бегают. Как q-in-q поднять чтоб его в туннель зарулить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey_Taurus Опубликовано 15 октября, 2009 (изменено) · Жалоба В туннель q-in-q Вы не завернете. Как я понимаю, если Вы хотите прозрачности - Вам нужно поднимать между 2811 l2tp(v3). Изменено 15 октября, 2009 пользователем Sergey_Taurus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 15 октября, 2009 · Жалоба а MPLS не прокатит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RDD Опубликовано 15 октября, 2009 · Жалоба MPLS нет. Этож надо с провайдерами договариватся. Плиз киньте как l2tp(v3) поднимать мануал какойнить. На cisco рылся но нашёл только для 7000 и поверх АТМ а мне надо поверх Eth Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 15 октября, 2009 · Жалоба Мои 5 копеек. С двух сторон ставим 2 софтроутера на OpenVPN. Конфигурируем как прозрачный мост (ethernet bridging). Работает. Да не красиво. Ведь и на cisco потратились а тут Linux/FreeBSD ;) Второй вариант: настроить роутинг и ACL между подсетями для ограничения трафика между подсетями при необходимости. Но это возможно только в случае если позволяет конфигурация сети. Поэтому хотелось бы спросить: а насколько принципиальна необходимость бриджа и постоянно гонять между роутерами броадкасты? Подумайте об этом. Лучше настроить фильтрацию вылетающих пакетов на каждой точке и пускать в канал между точками только минимум трафика. Но это только мое мнение. --- Удачи. http://yakuzzza.blogspot.com Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 16 октября, 2009 · Жалоба http://www.cisco.com/en/US/docs/ios/12_3t/...e/gtl2tpv3.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
reiger Опубликовано 16 октября, 2009 · Жалоба Имхо, затея с L2 особого смысла не имеет, если только не, как уже было сказано раньше, покупка L2 транспорта у провайдера. Для гибкости и масштабируемости сети стоит использовать L3. Почему нельзя перевести пользователей в другую (новую) подсеть и настраивать маршрутизацию между ними? Из такого решения выплывает масса удобств в плане настроек и контроля хождения трафика. Абсолютно никого не хочу обидеть, но администраторы офисных сетей, часто, почему-то, очень плохо понимают принципы маршрутизации. Знают "свою" /24, да глупый свич в центре всего и все тут... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RDD Опубликовано 20 октября, 2009 · Жалоба С помощью протокола L2TPv3 можно сделать Ethernet-бридж через WAN, т.е. 192.168.0.0/24-----Internet------192.168.0.0/24 Конфиг первого маршрутизатора l2tp-class class1 authentication password secret pseudowire-class vlan-xconnect encapsulation l2tpv3 protocol l2tpv3 class1 ip local interface FastEthernet0/1 interface FastEthernet0/0 !Интерфейс подключён к 192.168.0.0/24, IP-адреса на нём быть не должно. xconnect remote.ip.add.ress 123 pw-class vlan-xconnect interface FastEthernet0/1 ! Интерфейс подключён к WAN ip address your.wan.ip.addr На втором маршрутизаторе - симметрично. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey_Taurus Опубликовано 22 октября, 2009 · Жалоба Вопрос: в исходной задаче у вас было 3 подсети\влана. Получилось? Или работает только с одним вланом (физическим интерфейсом) и сделать то же самое с 802.1q sub-if не получится? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 22 октября, 2009 · Жалоба Вопрос: в исходной задаче у вас было 3 подсети\влана. Получилось? Или работает только с одним вланом (физическим интерфейсом) и сделать то же самое с 802.1q sub-if не получится?Зависит от IOS и/или аппаратных ограничений железки.Кроме того, на физическом интерфейсе может быть много виланов, и все они полетят в EoL2tpv3. НО: работает только точка-точка, по крайней мере у циски. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...