Jump to content
Калькуляторы

L2 VPN в L3 сети

Камрады, сабж :)

Есть небольшая сеть на несколько городов. Вся сеть сидит в одном L2, на котором висит транзитный влан, внутри которого живут OSPF роутеры в одном backbone, обмениваются инфой о клиентах. В этом L3 один черт есть куча ненужного трафика. Хочу перевести всю сеть на L3, чтоб роутер за роутером стояли, и роутили всю сеть. Но как в таком случае предоставлять услугу L2VPN ? Сейчас Я могу в двух любых двух углах сети открыть один влан и этот влан будет работать как нужно. Что же делать в случае если вся сеть L3 ? С MPLS/VPLS не знаком, но поддержка есть везде.

 

P.S. Вся сеть wired/wireless построена на маршрутизаторах MikroTik, лишь на доступе стоят 2950C-24.

Share this post


Link to post
Share on other sites

Оставляете все как есть.

 

Объединяете все порты в бридж, ставите там фильтр на сквозной трафик IP. Поднимаете маршрутизацию по L3. В итоге у вас все ходит по L3, а вланы так и работают по L2.

Share this post


Link to post
Share on other sites

Меня маршрутизация как раз не парит, с ней нет проблем. Другое дело что во влане роутинга постоянно появляется всякая дрянь. Например недоставленные пакеты до клиента, у которого на хорошем потоке вырубается электричество и он пропадате из сети, начинают лезть во все щели сети пока не поймут что нет нигде назначения им. И всё это при полностью L3 сети. Каждая бс/роутер агрегирует вланы своих клиентов на себе же и обменивается маршрутами с другими роутерами по OSPF. Причем это дерьмо летает именно в магистральном влане.

Можно в принципе попробовать этот влан грохнуть и поднять OSPF, соеденив все роутеры P2P, выстроив в сети большую медведицу :) Но чую что подход неверный. Через 5 лет сеть будет в N-раз больше, и что мне так и бриджевать её всю чтоли?

 

MPLS/VPLS

 

Вы сами ответили на свой вопрос

Не пойму как применить эту технологию в L3 сети для L2VPN.

Share this post


Link to post
Share on other sites

Например недоставленные пакеты до клиента, у которого на хорошем потоке вырубается электричество и он пропадате из сети, начинают лезть во все щели сети пока не поймут что нет нигде назначения им.

 

Если не сложно, разъясните более подробно, заинтересовало.

Share this post


Link to post
Share on other sites

Допустим есть 10 портов по L2. Каждый качает по 1 мегабит и к каждому 1 мегабит и идет. Тут один клиент взял и выключил свой порт, его поток данных 1 мегабитй пойдет во все клиентские порты и по ним будет уже поток 2 мегабита по каждому в течении нескольких секунд.

Share this post


Link to post
Share on other sites

как то оно у вас сложно.... никуда оно не пойдет

Share this post


Link to post
Share on other sites

Допустим есть 10 портов по L2. Каждый качает по 1 мегабит и к каждому 1 мегабит и идет. Тут один клиент взял и выключил свой порт, его поток данных 1 мегабитй пойдет во все клиентские порты и по ним будет уже поток 2 мегабита по каждому в течении нескольких секунд.

 

ну да в таком случае мак клиента из fdb сразу удаляется (port down) и как следствие непродолжительный юникаст шторм по всем портам... справедливо для любой сети, даже как то не думал об этом, спасибо!

Share this post


Link to post
Share on other sites

как то оно у вас сложно.... никуда оно не пойдет

Однако ж сей факт имеет место быть. Видимо таки изза того что вся сеть между роутерами сидит в одном L2.

Я понимаю, как мне избавиться от этого раз и навсегда. Но я не понимаю как я потом в чистой L3 сети буду давать L2VPN на 3 и более точек.

Есть конечно мысль промежуточная - снести нахер транзитный влан в котором тусуют все роутеры (напоминаю, backbone один), но есть мысль что общий L2 между всеми роутерами сети в принципе не есть гуд.

 

ну да в таком случае мак клиента из fdb сразу удаляется (port down) и как следствие непродолжительный юникаст шторм по всем портам... справедливо для любой сети, даже как то не думал об этом, спасибо!

А у меня эта проблема вылазит за пределы роутера и порой может эхом аукнуться вообще в другом населенном пункте. Вот жеж в чем трабл :(

Share this post


Link to post
Share on other sites

Как вариант можно все управление сделать через VPN. Каждое устройство будет подключаться к определенному серверу и через него можно будет им управлять.

Share this post


Link to post
Share on other sites

все-таки не понимаю как эти проблемы могут вылезти за пределы роутера...

а по поводу L2VPN по L3 сети - это VPLS, достаточно тривиально.

Edited by bos9

Share this post


Link to post
Share on other sites

Saab95, это не операторское решение.

 

bos9, Я и сам не совсем понимаю, однако :( Снифером вижу на далекой базе траф в dst адресом клиента совсем другого роутера. С таблицей маршрутизации всё в порядке. VPLS позволяет делать децентрализованный L2VPN на >2 точек?

Share this post


Link to post
Share on other sites

Снифером вижу на далекой базе траф в dst адресом клиента совсем другого роутера

 

мб проблема со свичами внутри backbone? какие-нибудь хэш коллизии под симптомы подходят.

 

VPLS позволяет делать децентрализованный L2VPN на >2 точек?

 

насколько я знаю - да, но практического опыта нет.

Share this post


Link to post
Share on other sites

Если у вас везде микротики, то вообще проблем с VPLS быть не должно. Для кажного L2VPN-клиента свой vpls-id и всё ок.

http://wiki.mikrotik.com/wiki/Manual:MPLSVPLS#Configuring_VPLS_interfaces

Edited by alexmern

Share this post


Link to post
Share on other sites

Почитал вики. Там получается ппц огород. А есть у клиента 50 точек входа в свой влан? На каждом роутере настраивать 49 соседей это ппц.

Share this post


Link to post
Share on other sites

Почитал вики. Там получается ппц огород. А есть у клиента 50 точек входа в свой влан? На каждом роутере настраивать 49 соседей это ппц.

Это если делать L2 точка точка, VPLS же можно делать точка - многоточка.

Share this post


Link to post
Share on other sites

Ну вот смотрите задачку: есть 28 роутеров, за каждым у клиента есть 512к порт. Сейчас я этот влан открываю в сторону абонента, и разрешаю ему гулять в общем бридже тегированным. Всё. И пусть даже половина сети хаотично отвалится, там где работает магистраль и подключенные к ней роутеры - всё будет работать.

А как быть в случае с VPLS ? Все 28 роутеров знакомить между собой и потом загонять влан доступа клиента в этот VPLS ?

:( Не понимаю.

Share this post


Link to post
Share on other sites

Ну вот смотрите задачку: есть 28 роутеров, за каждым у клиента есть 512к порт. Сейчас я этот влан открываю в сторону абонента, и разрешаю ему гулять в общем бридже тегированным. Всё. И пусть даже половина сети хаотично отвалится, там где работает магистраль и подключенные к ней роутеры - всё будет работать.

А как быть в случае с VPLS ? Все 28 роутеров знакомить между собой и потом загонять влан доступа клиента в этот VPLS ?

:( Не понимаю.

Знакомите роутеры по MPLS/LDP, создаёте VPLS-инстанс на каждом, вешаете xconnect-ы на VFI на SVI. Внутри MPLS-сети никакого L2 в транках гулять не будет.

 

P.S. Если не секрет, DTV?

Share this post


Link to post
Share on other sites
Знакомите роутеры по MPLS/LDP, создаёте VPLS-инстанс на каждом, вешаете xconnect-ы на VFI на SVI. Внутри MPLS-сети никакого L2 в транках гулять не будет.

 

P.S. Если не секрет, DTV?

Хм. Ушел переваривать.

 

P.S. Zebra Telecom

Share this post


Link to post
Share on other sites
Знакомите роутеры по MPLS/LDP, создаёте VPLS-инстанс на каждом, вешаете xconnect-ы на VFI на SVI. Внутри MPLS-сети никакого L2 в транках гулять не будет.

 

P.S. Если не секрет, DTV?

Хм. Ушел переваривать.

 

P.S. Zebra Telecom

Не слышал, теперь знать буду :) А по ссылке там всё просто описано, я MT никогда не пощупал, но после прочтения по диагонали возникло ощущение, что особо от IOS никаких критичных отличий нет, разве что, наверное, куда логичнее концепция бриджинга, по сравнению с xconnect.

Share this post


Link to post
Share on other sites

Такс. А для связи роутеров между собой обычно применяется пара из /30 и вперед?

Share this post


Link to post
Share on other sites

Такс. А для связи роутеров между собой обычно применяется пара из /30 и вперед?

Обычно - да, так красивее. Как понял, быстро прочитав оп-пост, у вас все core-facing интерфейсы роутеров в одной /24 в L2-домене или иже с ними, тут тоже никаких проблем не должно быть.

Share this post


Link to post
Share on other sites

Ну дык проблема в паразитном трафике.

Получается так что на магистральном уровне все ethernet/wireless интерфейсы сбриджеваны. С этой магистрали поднят влан Х, на котором висят айпи управления. Через них и идет обмен инфой OSPF и вобше весь роутинг сети. Каждый клиент услуги L2 VPN имеет также свой влан, который открывается на доступе по адресам абонента и с другой стороны уходит в магистраль. По сему пустив в магистраль с любой её стороны интерфейсы с одним vlan-id получается L2VPN.

И вроде бы всё гуд, но сцуко чую - неверный подход.

Конкуренты вобще дают клиентам только L3VPN, и в принципе те же банки не сильно шарахаются, но они то ладно, у них и так везде и всю свои циски стоят. А вот объяснять другим клиентам необходимость юзания наших адресов или покупки роутеров для получения на выходе L2VPN - не хочется.

Передача клиенту L2VPN в чистом виде решает все проблемы, чо хотят то и делают.

Share this post


Link to post
Share on other sites

Конкуренты вобще дают клиентам только L3VPN, и в принципе те же банки не сильно шарахаются, но они то ладно, у них и так везде и всю свои циски стоят. А вот объяснять другим клиентам необходимость юзания наших адресов или покупки роутеров для получения на выходе L2VPN - не хочется.

 

Настоящий L3VPN, реализованный двойным mpls-тегированием с обменом маршрутами по MPBGP позволяет каждому клиенту самостоятельно составлять адресный план, т.е. не придётся юзать ваши адреса.

Ваши конкуренты делают правильно, L2VPN не нужен.

Share this post


Link to post
Share on other sites

MPLS роутеры между собой по IP общаются? Если нет, нахрен им тогда Transport IP Address ?

 

Настоящий L3VPN, реализованный двойным mpls-тегированием с обменом маршрутами по MPBGP позволяет каждому клиенту самостоятельно составлять адресный план, т.е. не придётся юзать ваши адреса.

Ваши конкуренты делают правильно, L2VPN не нужен.

Наши конкуренты не знают таких слов как MPLS и OSPF :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this