Перейти к содержимому
Калькуляторы

Cisco 2811 q-in-q? l2tp? Переезд офиса. Как оставить цельной сеть?

Имеется офис часть которого преезжает на новое место, в дальнейшем может и весь туда уедет. В офисе крутятся 3 отдельные сетки в отдельных VLAN. T.е. 10 vlan сеть 10.0.10.0/24, 20 vlan сеть 10.0.20.0/24, 30 vlan сеть 10.0.30.0/24. Часть людей из каждой сетки будет в новом офисе.

Есть 2 cisco 2811 и интернет каналы в обеих офисах. Как настроить туннель между старым и новым офисами, чтоб vlan прозрачно ходили? q-in-q ? l2tp? куда смотреть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Насколько я понимаю, q-in-q на одном Интернете не сваришь, тут нужен L2 сервис от провайдера который q-in-q вам протащит от старого офиса в новый. Это если хочется чтобы прозрачно ходили.

 

Как самостоятельный L3 вариант - IPSec+GRE через Интернет между двумя 2811. Здесь все только от Вас будет зависить, провайдеру(ам) можно ничего не объяснять\согласовывать. Неудобства - придется городить +3 подсети для удаленной части офиса, и для "Сетевого окружения" (если оно бизнес-критикал) придется делать костыли.

 

C l2tp не работал, не подскажу. Может кто другой что посоветует.

Изменено пользователем Sergey_Taurus

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

l2tpv3 смотрите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а подробней можно? между 2811 я вприципе поднял GRE ipsec туннель. В старом офисе на туннеле стоит 172.16.16.1 в новом 172.16.16.2 и пинги между ними бегают. Как q-in-q поднять чтоб его в туннель зарулить?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В туннель q-in-q Вы не завернете.

Как я понимаю, если Вы хотите прозрачности - Вам нужно поднимать между 2811 l2tp(v3).

Изменено пользователем Sergey_Taurus

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

MPLS нет. Этож надо с провайдерами договариватся. Плиз киньте как l2tp(v3) поднимать мануал какойнить. На cisco рылся но нашёл только для 7000 и поверх АТМ а мне надо поверх Eth

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мои 5 копеек.

 

С двух сторон ставим 2 софтроутера на OpenVPN. Конфигурируем как прозрачный мост (ethernet bridging). Работает. Да не красиво. Ведь и на cisco потратились а тут Linux/FreeBSD ;)

 

Второй вариант: настроить роутинг и ACL между подсетями для ограничения трафика между подсетями при необходимости.

Но это возможно только в случае если позволяет конфигурация сети. Поэтому хотелось бы спросить: а насколько принципиальна необходимость бриджа и постоянно гонять между роутерами броадкасты?

Подумайте об этом.

Лучше настроить фильтрацию вылетающих пакетов на каждой точке и пускать в канал между точками только минимум трафика.

Но это только мое мнение.

 

---

Удачи.

http://yakuzzza.blogspot.com

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Имхо, затея с L2 особого смысла не имеет, если только не, как уже было сказано раньше, покупка L2 транспорта у провайдера. Для гибкости и масштабируемости сети стоит использовать L3. Почему нельзя перевести пользователей в другую (новую) подсеть и настраивать маршрутизацию между ними? Из такого решения выплывает масса удобств в плане настроек и контроля хождения трафика.

 

Абсолютно никого не хочу обидеть, но администраторы офисных сетей, часто, почему-то, очень плохо понимают принципы маршрутизации. Знают "свою" /24, да глупый свич в центре всего и все тут...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

С помощью протокола L2TPv3 можно сделать Ethernet-бридж через WAN, т.е.

 

192.168.0.0/24-----Internet------192.168.0.0/24

 

Конфиг первого маршрутизатора

 

l2tp-class class1

authentication

password secret

 

pseudowire-class vlan-xconnect

encapsulation l2tpv3

protocol l2tpv3 class1

ip local interface FastEthernet0/1

 

interface FastEthernet0/0

!Интерфейс подключён к 192.168.0.0/24, IP-адреса на нём быть не должно.

xconnect remote.ip.add.ress 123 pw-class vlan-xconnect

 

interface FastEthernet0/1

! Интерфейс подключён к WAN

ip address your.wan.ip.addr

 

На втором маршрутизаторе - симметрично.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вопрос: в исходной задаче у вас было 3 подсети\влана. Получилось? Или работает только с одним вланом (физическим интерфейсом) и сделать то же самое с 802.1q sub-if не получится?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вопрос: в исходной задаче у вас было 3 подсети\влана. Получилось? Или работает только с одним вланом (физическим интерфейсом) и сделать то же самое с 802.1q sub-if не получится?
Зависит от IOS и/или аппаратных ограничений железки.

Кроме того, на физическом интерфейсе может быть много виланов, и все они полетят в EoL2tpv3.

НО: работает только точка-точка, по крайней мере у циски.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.