noob2013 Posted January 10, 2013 Posted January 10, 2013 Приобрели у оператора ВЧС, организовали к нему 2 канала 200 Мб/с и 100 Мб/с. Начали гонять трафик, всё стопорнулось. Выяснилось, что сеть ограничена на пропускание максимум 10 mac адресов. Нормально ли это? С боем увеличили до 50 на один канал. Оператор предложил поставить на концах маршрутизаторы. Не совсем поняли что он имел ввиду. Что посоветуете и как выйти из данной проблемы с минимальными затратами в плане ухудшения качества канала. Ведь получается что в уже организованном VPN нам придётся подымать свой VPN для прогона своего трафика. В сети где-то 300-600 mac адресов. Очень ждём помощи от знатоков. Вставить ник Quote
mefer Posted January 10, 2013 Posted January 10, 2013 Так поставьте роутер. Хоть на основе компа разделите на две маршрутизируемые подсети. Вставить ник Quote
s.lobanov Posted January 10, 2013 Posted January 10, 2013 noob2013 Это нормальная ситуация, когда клиент(вы) подключены через цепочку L2 свитчей с одной или с обоих сторон mpls-тунеля, аппаратный ресурс мак-адресов(на L2-свитчах) у провайдера, через который вы подключены всё равно ограничен, поэтому нельзя не ограничивать кол-во маков. Некоторые свитчи(но, к сожаленью, не все) умеют выключать mac learning на vlan-е, тогда можно не ограничивать клиента в мак-адресах, покупающего L2, но это не удобно в плане модернизации сети("нестандартные" настройки оборудования). Вставить ник Quote
dsk Posted January 10, 2013 Posted January 10, 2013 Ограничивать надо, хотя бы для защиты от всяких флудов, но 10 маков это жлобство. Видимо оборудование там у провайдера совсем дерьмовое. Вставить ник Quote
shvlad1 Posted January 11, 2013 Posted January 11, 2013 noob2013, а какую конкретно услугу купили: VPLS или EoMPLS? По второй обычно не ограничивают кол-во маков, по первой-да, есть лимиты. Вставить ник Quote
Ivan_83 Posted January 11, 2013 Posted January 11, 2013 ВПН поднимать не обязательно. Либо ставятся роутеры и настраивается маршрутизация, тогда в туннеле будет 2 мака - маки роутеров. Либо нужно эзернет пакеты инкапсулировать целиком и гнать дальше. Инкапсулировать можно много чем: l2tp, ipsec, eoip (микротиковская хрень), можно даже на фре с помощью нетграфа в юдп заворачивать. При инкапсуляции мту уменьшится, желательно об этом помнить и делать tcp mss fix. Вставить ник Quote
s.lobanov Posted January 11, 2013 Posted January 11, 2013 Ivan_83 Вы специально всегда предлагаете самый изощрённый способ? Вместо того, чтобы бросаться и делать mssfix сначала надо поговорить с провайдером об увеличении MTU. noob2013, а какую конкретно услугу купили: VPLS или EoMPLS? По второй обычно не ограничивают кол-во маков, по первой-да, есть лимиты. В случае покупки канала точка-точка какой смысл заказывать VPLS? Да и в случае простого псевдопровода мак-адреса не ограничивают, если клиент включен напрямую в PE-маршрутизатор, а если на пути ещё транизитные L2-свитчи... Вставить ник Quote
noob2013 Posted January 11, 2013 Author Posted January 11, 2013 Ivan_83 Вы специально всегда предлагаете самый изощрённый способ? Вместо того, чтобы бросаться и делать mssfix сначала надо поговорить с провайдером об увеличении MTU. noob2013, а какую конкретно услугу купили: VPLS или EoMPLS? По второй обычно не ограничивают кол-во маков, по первой-да, есть лимиты. В случае покупки канала точка-точка какой смысл заказывать VPLS? Да и в случае простого псевдопровода мак-адреса не ограничивают, если клиент включен напрямую в PE-маршрутизатор, а если на пути ещё транизитные L2-свитчи... Сейчас решили организацией туннеля на оборудовании Microtic. Брали L2VPN с организацией облака и с более чем двумя точками (сейчас 5 каналов в ВЧСе). Просто совсем было удивительно когда столкнулись с таким ограничением. Оператор связи - НКС (бренд Onlime). В итоге пришлось вставлять ещё доп оборудование, а следовательно 2 точки отказа прибавилось. Вставить ник Quote
Fduchun Posted January 11, 2013 Posted January 11, 2013 А почему не поговорить с Onlime и не попросить их увеличить MAC FIB в вашем VPLS? Вставить ник Quote
Ivan_83 Posted January 11, 2013 Posted January 11, 2013 Вы специально всегда предлагаете самый изощрённый способ? Вместо того, чтобы бросаться и делать mssfix сначала надо поговорить с провайдером об увеличении MTU. Потому что это можно сделать самостоятельно не вставая с места. А так хз что у них там в сети и смогут ли они настроить, включить везде джамбо фреймы, и гарантировать их прохождение. А ещё потом поменяю оборудование через годик и забудут включить, и придётся долго думать что же случилось. Вставить ник Quote
Fduchun Posted January 11, 2013 Posted January 11, 2013 Ivan_83 Вообще-то, s.lobanov дело говорит. Вместо того, чтобы гадать - нужно сначала все выяснить у оператора и попытаться с ним договориться. Иначе смысл VPLS у оператора заказывать? Вставить ник Quote
Ivan_83 Posted January 11, 2013 Posted January 11, 2013 Пакеты надо гонять уже вчера, а разговоры это на долго. Можно решить своими силами и если останется желание дальше бодаться с оператором. Установка роутеров / поднятие туннелей рабочие проверенные варианты, а "300-600" маков должны идти за другие деньги. Вставить ник Quote
zi_rus Posted January 12, 2013 Posted January 12, 2013 просто требования к каналу надо предъявлять до включения, а не после, и подключаться к тому кто готов удовлетворить эти требования Вставить ник Quote
noob2013 Posted January 12, 2013 Author Posted January 12, 2013 просто требования к каналу надо предъявлять до включения, а не после, и подключаться к тому кто готов удовлетворить эти требования Режим капитана очевидности - detected ))) Оно понятно, что так правильно, но вопрос задаётся исходя из сложившейся ситуации. Вставить ник Quote
s.lobanov Posted January 12, 2013 Posted January 12, 2013 noob2013 Если кол-во мак-адресов не хотят расширять, то у вас след. варианты: 1. терминировать трафик ваших абонентов до входа в L2VPN, через арендованный канал гонять уже L3 (тогда надо всего по одному маку с одной стороны). скорее всего, это неудобно для вас, ну по крайней мере если у вас политика "bras в центре". 2. попросить увеличить MTU(это вполне нормальное требование к услуге L2VPN) и поднять тунель 3. Сделать то, что предлагает Ivan_83, но только надо смотреть где удобнее делать mssfix. в случае если у вас pppoe, то можно подкрутить согласование mtu, тогда и mssfix почти не потребуется(потребуется только для тех абонентов, которое вручную выставят mss в роутере) всё-таки mssfix это уродливый костыль и даже если вы к нему придёте, то надо будет думать как от него избавляться Вставить ник Quote
noob2013 Posted January 12, 2013 Author Posted January 12, 2013 noob2013 Если кол-во мак-адресов не хотят расширять, то у вас след. варианты: 1. терминировать трафик ваших абонентов до входа в L2VPN, через арендованный канал гонять уже L3 (тогда надо всего по одному маку с одной стороны). скорее всего, это неудобно для вас, ну по крайней мере если у вас политика "bras в центре". 2. попросить увеличить MTU(это вполне нормальное требование к услуге L2VPN) и поднять тунель 3. Сделать то, что предлагает Ivan_83, но только надо смотреть где удобнее делать mssfix. в случае если у вас pppoe, то можно подкрутить согласование mtu, тогда и mssfix почти не потребуется(потребуется только для тех абонентов, которое вручную выставят mss в роутере) всё-таки mssfix это уродливый костыль и даже если вы к нему придёте, то надо будет думать как от него избавляться Сделали по второму пункту. Организовали туннель на оборудовании Microtik. Сейчас на канале ощущается серьёзная потеря пакетов. MTU еще не увеличили, только забросили это сделать (возможна проблема из-за этого?). Вставить ник Quote
White_Alex Posted January 12, 2013 Posted January 12, 2013 10 маков это жлобство. Видимо оборудование там у провайдера совсем дерьмовое. ога ога :-)) мы в пределах нашей городской сети на такие подключения даем с ограничением 5-10 мак-адресов на порт, оборудование Cisco, vpls делают 76-е, мы жлобы какой ужас :-) Вставить ник Quote
zi_rus Posted January 12, 2013 Posted January 12, 2013 видимо да, потому что у нас также 76-е и мы ограничений в принципе не ставим Вставить ник Quote
noob2013 Posted January 12, 2013 Author Posted January 12, 2013 Проблему так и не решили ((( сейчас на уровне организации туннеля между эти двумя точками. Наблюдается 20% потеря пакетов при нагрузке. Сейчас нарисуем схему оборудования и каналов, выложим. Уже два дня бьёмся. Может кто исходя из схемы что-нибудь предложит или другое направление/оборудование использовать. Вставить ник Quote
MMM Posted January 12, 2013 Posted January 12, 2013 Проблему так и не решили ((( сейчас на уровне организации туннеля между эти двумя точками. Наблюдается 20% потеря пакетов при нагрузке. Сейчас нарисуем схему оборудования и каналов, выложим. Уже два дня бьёмся. Может кто исходя из схемы что-нибудь предложит или другое направление/оборудование использовать. у openvpn есть компенсация mtu (что-то вроде tun-mtu 1500, fragment 1300, mssfix), но не уверен, что микротик прокачает 200 мбит по openvpn Вставить ник Quote
noob2013 Posted January 12, 2013 Author Posted January 12, 2013 Вот такую схему используем. Нужно передать интернет до пользователей. Повторюсь, что канал L2VPN имеет ограничение на 10 mac адресов, поэтому всквозную пользователей на m9 (куда идёт l2vpn) пустить не получилось. Вопрос как быть дальше? Туннель на 2х микроииках работает не корректно. Задачи пропустить 200 Мб/с нет. Нужно до 100 Мб/с без потерь прокинуть по l2vpn. Может предложить другое решение или объясните что у нас сейчас не так? Сейчас при нагрузке бешено растут потери (до 20-30%). Проблему так и не решили ((( сейчас на уровне организации туннеля между эти двумя точками. Наблюдается 20% потеря пакетов при нагрузке. Сейчас нарисуем схему оборудования и каналов, выложим. Уже два дня бьёмся. Может кто исходя из схемы что-нибудь предложит или другое направление/оборудование использовать. у openvpn есть компенсация mtu (что-то вроде tun-mtu 1500, fragment 1300, mssfix), но не уверен, что микротик прокачает 200 мбит по openvpn Ниже выложил схему сети с данной проблемой. 200 Мб/с гнать не нужно. Достаточно 100 Mb/s. Вставить ник Quote
MMM Posted January 12, 2013 Posted January 12, 2013 у меня на двух дешевых железках (десктопный комп с одной стороны, нетбук с другой) работает аналог l2vpn на основе openvpn между двумя точками поверх L3. Сильно не тестировал, но 60Мбит/c видел, потерь не наблюдается. Вставить ник Quote
MMM Posted January 12, 2013 Posted January 12, 2013 Судя по схеме, у вас там просится L3 на удалённой точке. Вставить ник Quote
noob2013 Posted January 12, 2013 Author Posted January 12, 2013 Судя по схеме, у вас там просится L3 на удалённой точке. Что вы имеете ввиду под "просится"? у меня на двух дешевых железках (десктопный комп с одной стороны, нетбук с другой) работает аналог l2vpn на основе openvpn между двумя точками поверх L3. Сильно не тестировал, но 60Мбит/c видел, потерь не наблюдается. А у нас не декстопы, но такое вытворяют... Вставить ник Quote
RomadinR Posted January 12, 2013 Posted January 12, 2013 (edited) у меня на двух дешевых железках (десктопный комп с одной стороны, нетбук с другой) работает аналог l2vpn на основе openvpn между двумя точками поверх L3 Аналогично. С обеих сторон работают ITX-платы на Atom D525. Используется OpenVPN. Интерфейс eth0 (включен во внутреннюю сетку) в бридже с tap. eth1 включен в сетку провайдера. Прозрачно проходят тегированные VLAN. Edited January 12, 2013 by RomadinR Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.