L2 VPN в L3 сети

[L-ZiX]

Камрады, сабж :)

Есть небольшая сеть на несколько городов. Вся сеть сидит в одном L2, на котором висит транзитный влан, внутри которого живут OSPF роутеры в одном backbone, обмениваются инфой о клиентах. В этом L3 один черт есть куча ненужного трафика. Хочу перевести всю сеть на L3, чтоб роутер за роутером стояли, и роутили всю сеть. Но как в таком случае предоставлять услугу L2VPN ? Сейчас Я могу в двух любых двух углах сети открыть один влан и этот влан будет работать как нужно. Что же делать в случае если вся сеть L3 ? С MPLS/VPLS не знаком, но поддержка есть везде.

 

P.S. Вся сеть wired/wireless построена на маршрутизаторах MikroTik, лишь на доступе стоят 2950C-24.

[s.lobanov]

MPLS/VPLS

 

Вы сами ответили на свой вопрос

[Saab95]

Оставляете все как есть.

 

Объединяете все порты в бридж, ставите там фильтр на сквозной трафик IP. Поднимаете маршрутизацию по L3. В итоге у вас все ходит по L3, а вланы так и работают по L2.

[L-ZiX]

Меня маршрутизация как раз не парит, с ней нет проблем. Другое дело что во влане роутинга постоянно появляется всякая дрянь. Например недоставленные пакеты до клиента, у которого на хорошем потоке вырубается электричество и он пропадате из сети, начинают лезть во все щели сети пока не поймут что нет нигде назначения им. И всё это при полностью L3 сети. Каждая бс/роутер агрегирует вланы своих клиентов на себе же и обменивается маршрутами с другими роутерами по OSPF. Причем это дерьмо летает именно в магистральном влане.

Можно в принципе попробовать этот влан грохнуть и поднять OSPF, соеденив все роутеры P2P, выстроив в сети большую медведицу :) Но чую что подход неверный. Через 5 лет сеть будет в N-раз больше, и что мне так и бриджевать её всю чтоли?

 

MPLS/VPLS

 

Вы сами ответили на свой вопрос

Не пойму как применить эту технологию в L3 сети для L2VPN.

[bos9]

Например недоставленные пакеты до клиента, у которого на хорошем потоке вырубается электричество и он пропадате из сети, начинают лезть во все щели сети пока не поймут что нет нигде назначения им.

 

Если не сложно, разъясните более подробно, заинтересовало.

[Saab95]

Допустим есть 10 портов по L2. Каждый качает по 1 мегабит и к каждому 1 мегабит и идет. Тут один клиент взял и выключил свой порт, его поток данных 1 мегабитй пойдет во все клиентские порты и по ним будет уже поток 2 мегабита по каждому в течении нескольких секунд.

[martin74]

как то оно у вас сложно.... никуда оно не пойдет

[bos9]

Допустим есть 10 портов по L2. Каждый качает по 1 мегабит и к каждому 1 мегабит и идет. Тут один клиент взял и выключил свой порт, его поток данных 1 мегабитй пойдет во все клиентские порты и по ним будет уже поток 2 мегабита по каждому в течении нескольких секунд.

 

ну да в таком случае мак клиента из fdb сразу удаляется (port down) и как следствие непродолжительный юникаст шторм по всем портам... справедливо для любой сети, даже как то не думал об этом, спасибо!

[L-ZiX]

как то оно у вас сложно.... никуда оно не пойдет

Однако ж сей факт имеет место быть. Видимо таки изза того что вся сеть между роутерами сидит в одном L2.

Я понимаю, как мне избавиться от этого раз и навсегда. Но я не понимаю как я потом в чистой L3 сети буду давать L2VPN на 3 и более точек.

Есть конечно мысль промежуточная - снести нахер транзитный влан в котором тусуют все роутеры (напоминаю, backbone один), но есть мысль что общий L2 между всеми роутерами сети в принципе не есть гуд.

 

ну да в таком случае мак клиента из fdb сразу удаляется (port down) и как следствие непродолжительный юникаст шторм по всем портам... справедливо для любой сети, даже как то не думал об этом, спасибо!

А у меня эта проблема вылазит за пределы роутера и порой может эхом аукнуться вообще в другом населенном пункте. Вот жеж в чем трабл :(

[Saab95]

Как вариант можно все управление сделать через VPN. Каждое устройство будет подключаться к определенному серверу и через него можно будет им управлять.

[bos9]

все-таки не понимаю как эти проблемы могут вылезти за пределы роутера...

а по поводу L2VPN по L3 сети - это VPLS, достаточно тривиально.

Edited November 18, 2011 by bos9

[L-ZiX]

Saab95, это не операторское решение.

 

bos9, Я и сам не совсем понимаю, однако :( Снифером вижу на далекой базе траф в dst адресом клиента совсем другого роутера. С таблицей маршрутизации всё в порядке. VPLS позволяет делать децентрализованный L2VPN на >2 точек?

[bos9]

Снифером вижу на далекой базе траф в dst адресом клиента совсем другого роутера

 

мб проблема со свичами внутри backbone? какие-нибудь хэш коллизии под симптомы подходят.

 

VPLS позволяет делать децентрализованный L2VPN на >2 точек?

 

насколько я знаю - да, но практического опыта нет.

[alexmern]

Если у вас везде микротики, то вообще проблем с VPLS быть не должно. Для кажного L2VPN-клиента свой vpls-id и всё ок.

http://wiki.mikrotik.com/wiki/Manual:MPLSVPLS#Configuring_VPLS_interfaces

Edited November 18, 2011 by alexmern

[L-ZiX]

Почитал вики. Там получается ппц огород. А есть у клиента 50 точек входа в свой влан? На каждом роутере настраивать 49 соседей это ппц.

[config]

Почитал вики. Там получается ппц огород. А есть у клиента 50 точек входа в свой влан? На каждом роутере настраивать 49 соседей это ппц.

Это если делать L2 точка точка, VPLS же можно делать точка - многоточка.

[L-ZiX]

Ну вот смотрите задачку: есть 28 роутеров, за каждым у клиента есть 512к порт. Сейчас я этот влан открываю в сторону абонента, и разрешаю ему гулять в общем бридже тегированным. Всё. И пусть даже половина сети хаотично отвалится, там где работает магистраль и подключенные к ней роутеры - всё будет работать.

А как быть в случае с VPLS ? Все 28 роутеров знакомить между собой и потом загонять влан доступа клиента в этот VPLS ?

:( Не понимаю.

[GFORGX]

Ну вот смотрите задачку: есть 28 роутеров, за каждым у клиента есть 512к порт. Сейчас я этот влан открываю в сторону абонента, и разрешаю ему гулять в общем бридже тегированным. Всё. И пусть даже половина сети хаотично отвалится, там где работает магистраль и подключенные к ней роутеры - всё будет работать.

А как быть в случае с VPLS ? Все 28 роутеров знакомить между собой и потом загонять влан доступа клиента в этот VPLS ?

:( Не понимаю.

Знакомите роутеры по MPLS/LDP, создаёте VPLS-инстанс на каждом, вешаете xconnect-ы на VFI на SVI. Внутри MPLS-сети никакого L2 в транках гулять не будет.

 

P.S. Если не секрет, DTV?

[L-ZiX]

Знакомите роутеры по MPLS/LDP, создаёте VPLS-инстанс на каждом, вешаете xconnect-ы на VFI на SVI. Внутри MPLS-сети никакого L2 в транках гулять не будет.

 

P.S. Если не секрет, DTV?

Хм. Ушел переваривать.

 

P.S. Zebra Telecom

[GFORGX]

Знакомите роутеры по MPLS/LDP, создаёте VPLS-инстанс на каждом, вешаете xconnect-ы на VFI на SVI. Внутри MPLS-сети никакого L2 в транках гулять не будет.

 

P.S. Если не секрет, DTV?

Хм. Ушел переваривать.

 

P.S. Zebra Telecom

Не слышал, теперь знать буду :) А по ссылке там всё просто описано, я MT никогда не пощупал, но после прочтения по диагонали возникло ощущение, что особо от IOS никаких критичных отличий нет, разве что, наверное, куда логичнее концепция бриджинга, по сравнению с xconnect.

[L-ZiX]

Такс. А для связи роутеров между собой обычно применяется пара из /30 и вперед?

[GFORGX]

Такс. А для связи роутеров между собой обычно применяется пара из /30 и вперед?

Обычно - да, так красивее. Как понял, быстро прочитав оп-пост, у вас все core-facing интерфейсы роутеров в одной /24 в L2-домене или иже с ними, тут тоже никаких проблем не должно быть.

[L-ZiX]

Ну дык проблема в паразитном трафике.

Получается так что на магистральном уровне все ethernet/wireless интерфейсы сбриджеваны. С этой магистрали поднят влан Х, на котором висят айпи управления. Через них и идет обмен инфой OSPF и вобше весь роутинг сети. Каждый клиент услуги L2 VPN имеет также свой влан, который открывается на доступе по адресам абонента и с другой стороны уходит в магистраль. По сему пустив в магистраль с любой её стороны интерфейсы с одним vlan-id получается L2VPN.

И вроде бы всё гуд, но сцуко чую - неверный подход.

Конкуренты вобще дают клиентам только L3VPN, и в принципе те же банки не сильно шарахаются, но они то ладно, у них и так везде и всю свои циски стоят. А вот объяснять другим клиентам необходимость юзания наших адресов или покупки роутеров для получения на выходе L2VPN - не хочется.

Передача клиенту L2VPN в чистом виде решает все проблемы, чо хотят то и делают.

[s.lobanov]

Конкуренты вобще дают клиентам только L3VPN, и в принципе те же банки не сильно шарахаются, но они то ладно, у них и так везде и всю свои циски стоят. А вот объяснять другим клиентам необходимость юзания наших адресов или покупки роутеров для получения на выходе L2VPN - не хочется.

 

Настоящий L3VPN, реализованный двойным mpls-тегированием с обменом маршрутами по MPBGP позволяет каждому клиенту самостоятельно составлять адресный план, т.е. не придётся юзать ваши адреса.

Ваши конкуренты делают правильно, L2VPN не нужен.

[L-ZiX]

MPLS роутеры между собой по IP общаются? Если нет, нахрен им тогда Transport IP Address ?

 

Настоящий L3VPN, реализованный двойным mpls-тегированием с обменом маршрутами по MPBGP позволяет каждому клиенту самостоятельно составлять адресный план, т.е. не придётся юзать ваши адреса.

Ваши конкуренты делают правильно, L2VPN не нужен.

Наши конкуренты не знают таких слов как MPLS и OSPF :)