noob2013 Опубликовано 10 января, 2013 · Жалоба Приобрели у оператора ВЧС, организовали к нему 2 канала 200 Мб/с и 100 Мб/с. Начали гонять трафик, всё стопорнулось. Выяснилось, что сеть ограничена на пропускание максимум 10 mac адресов. Нормально ли это? С боем увеличили до 50 на один канал. Оператор предложил поставить на концах маршрутизаторы. Не совсем поняли что он имел ввиду. Что посоветуете и как выйти из данной проблемы с минимальными затратами в плане ухудшения качества канала. Ведь получается что в уже организованном VPN нам придётся подымать свой VPN для прогона своего трафика. В сети где-то 300-600 mac адресов. Очень ждём помощи от знатоков. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mefer Опубликовано 10 января, 2013 · Жалоба Так поставьте роутер. Хоть на основе компа разделите на две маршрутизируемые подсети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 10 января, 2013 · Жалоба noob2013 Это нормальная ситуация, когда клиент(вы) подключены через цепочку L2 свитчей с одной или с обоих сторон mpls-тунеля, аппаратный ресурс мак-адресов(на L2-свитчах) у провайдера, через который вы подключены всё равно ограничен, поэтому нельзя не ограничивать кол-во маков. Некоторые свитчи(но, к сожаленью, не все) умеют выключать mac learning на vlan-е, тогда можно не ограничивать клиента в мак-адресах, покупающего L2, но это не удобно в плане модернизации сети("нестандартные" настройки оборудования). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 10 января, 2013 · Жалоба Ограничивать надо, хотя бы для защиты от всяких флудов, но 10 маков это жлобство. Видимо оборудование там у провайдера совсем дерьмовое. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shvlad1 Опубликовано 11 января, 2013 · Жалоба noob2013, а какую конкретно услугу купили: VPLS или EoMPLS? По второй обычно не ограничивают кол-во маков, по первой-да, есть лимиты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 января, 2013 · Жалоба ВПН поднимать не обязательно. Либо ставятся роутеры и настраивается маршрутизация, тогда в туннеле будет 2 мака - маки роутеров. Либо нужно эзернет пакеты инкапсулировать целиком и гнать дальше. Инкапсулировать можно много чем: l2tp, ipsec, eoip (микротиковская хрень), можно даже на фре с помощью нетграфа в юдп заворачивать. При инкапсуляции мту уменьшится, желательно об этом помнить и делать tcp mss fix. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 11 января, 2013 · Жалоба Ivan_83 Вы специально всегда предлагаете самый изощрённый способ? Вместо того, чтобы бросаться и делать mssfix сначала надо поговорить с провайдером об увеличении MTU. noob2013, а какую конкретно услугу купили: VPLS или EoMPLS? По второй обычно не ограничивают кол-во маков, по первой-да, есть лимиты. В случае покупки канала точка-точка какой смысл заказывать VPLS? Да и в случае простого псевдопровода мак-адреса не ограничивают, если клиент включен напрямую в PE-маршрутизатор, а если на пути ещё транизитные L2-свитчи... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
noob2013 Опубликовано 11 января, 2013 · Жалоба Ivan_83 Вы специально всегда предлагаете самый изощрённый способ? Вместо того, чтобы бросаться и делать mssfix сначала надо поговорить с провайдером об увеличении MTU. noob2013, а какую конкретно услугу купили: VPLS или EoMPLS? По второй обычно не ограничивают кол-во маков, по первой-да, есть лимиты. В случае покупки канала точка-точка какой смысл заказывать VPLS? Да и в случае простого псевдопровода мак-адреса не ограничивают, если клиент включен напрямую в PE-маршрутизатор, а если на пути ещё транизитные L2-свитчи... Сейчас решили организацией туннеля на оборудовании Microtic. Брали L2VPN с организацией облака и с более чем двумя точками (сейчас 5 каналов в ВЧСе). Просто совсем было удивительно когда столкнулись с таким ограничением. Оператор связи - НКС (бренд Onlime). В итоге пришлось вставлять ещё доп оборудование, а следовательно 2 точки отказа прибавилось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fduchun Опубликовано 11 января, 2013 · Жалоба А почему не поговорить с Onlime и не попросить их увеличить MAC FIB в вашем VPLS? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 января, 2013 · Жалоба Вы специально всегда предлагаете самый изощрённый способ? Вместо того, чтобы бросаться и делать mssfix сначала надо поговорить с провайдером об увеличении MTU. Потому что это можно сделать самостоятельно не вставая с места. А так хз что у них там в сети и смогут ли они настроить, включить везде джамбо фреймы, и гарантировать их прохождение. А ещё потом поменяю оборудование через годик и забудут включить, и придётся долго думать что же случилось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fduchun Опубликовано 11 января, 2013 · Жалоба Ivan_83 Вообще-то, s.lobanov дело говорит. Вместо того, чтобы гадать - нужно сначала все выяснить у оператора и попытаться с ним договориться. Иначе смысл VPLS у оператора заказывать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 января, 2013 · Жалоба Пакеты надо гонять уже вчера, а разговоры это на долго. Можно решить своими силами и если останется желание дальше бодаться с оператором. Установка роутеров / поднятие туннелей рабочие проверенные варианты, а "300-600" маков должны идти за другие деньги. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 12 января, 2013 · Жалоба просто требования к каналу надо предъявлять до включения, а не после, и подключаться к тому кто готов удовлетворить эти требования Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
noob2013 Опубликовано 12 января, 2013 · Жалоба просто требования к каналу надо предъявлять до включения, а не после, и подключаться к тому кто готов удовлетворить эти требования Режим капитана очевидности - detected ))) Оно понятно, что так правильно, но вопрос задаётся исходя из сложившейся ситуации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 12 января, 2013 · Жалоба noob2013 Если кол-во мак-адресов не хотят расширять, то у вас след. варианты: 1. терминировать трафик ваших абонентов до входа в L2VPN, через арендованный канал гонять уже L3 (тогда надо всего по одному маку с одной стороны). скорее всего, это неудобно для вас, ну по крайней мере если у вас политика "bras в центре". 2. попросить увеличить MTU(это вполне нормальное требование к услуге L2VPN) и поднять тунель 3. Сделать то, что предлагает Ivan_83, но только надо смотреть где удобнее делать mssfix. в случае если у вас pppoe, то можно подкрутить согласование mtu, тогда и mssfix почти не потребуется(потребуется только для тех абонентов, которое вручную выставят mss в роутере) всё-таки mssfix это уродливый костыль и даже если вы к нему придёте, то надо будет думать как от него избавляться Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
noob2013 Опубликовано 12 января, 2013 · Жалоба noob2013 Если кол-во мак-адресов не хотят расширять, то у вас след. варианты: 1. терминировать трафик ваших абонентов до входа в L2VPN, через арендованный канал гонять уже L3 (тогда надо всего по одному маку с одной стороны). скорее всего, это неудобно для вас, ну по крайней мере если у вас политика "bras в центре". 2. попросить увеличить MTU(это вполне нормальное требование к услуге L2VPN) и поднять тунель 3. Сделать то, что предлагает Ivan_83, но только надо смотреть где удобнее делать mssfix. в случае если у вас pppoe, то можно подкрутить согласование mtu, тогда и mssfix почти не потребуется(потребуется только для тех абонентов, которое вручную выставят mss в роутере) всё-таки mssfix это уродливый костыль и даже если вы к нему придёте, то надо будет думать как от него избавляться Сделали по второму пункту. Организовали туннель на оборудовании Microtik. Сейчас на канале ощущается серьёзная потеря пакетов. MTU еще не увеличили, только забросили это сделать (возможна проблема из-за этого?). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
White_Alex Опубликовано 12 января, 2013 · Жалоба 10 маков это жлобство. Видимо оборудование там у провайдера совсем дерьмовое. ога ога :-)) мы в пределах нашей городской сети на такие подключения даем с ограничением 5-10 мак-адресов на порт, оборудование Cisco, vpls делают 76-е, мы жлобы какой ужас :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 12 января, 2013 · Жалоба видимо да, потому что у нас также 76-е и мы ограничений в принципе не ставим Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
noob2013 Опубликовано 12 января, 2013 · Жалоба Проблему так и не решили ((( сейчас на уровне организации туннеля между эти двумя точками. Наблюдается 20% потеря пакетов при нагрузке. Сейчас нарисуем схему оборудования и каналов, выложим. Уже два дня бьёмся. Может кто исходя из схемы что-нибудь предложит или другое направление/оборудование использовать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MMM Опубликовано 12 января, 2013 · Жалоба Проблему так и не решили ((( сейчас на уровне организации туннеля между эти двумя точками. Наблюдается 20% потеря пакетов при нагрузке. Сейчас нарисуем схему оборудования и каналов, выложим. Уже два дня бьёмся. Может кто исходя из схемы что-нибудь предложит или другое направление/оборудование использовать. у openvpn есть компенсация mtu (что-то вроде tun-mtu 1500, fragment 1300, mssfix), но не уверен, что микротик прокачает 200 мбит по openvpn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
noob2013 Опубликовано 12 января, 2013 · Жалоба Вот такую схему используем. Нужно передать интернет до пользователей. Повторюсь, что канал L2VPN имеет ограничение на 10 mac адресов, поэтому всквозную пользователей на m9 (куда идёт l2vpn) пустить не получилось. Вопрос как быть дальше? Туннель на 2х микроииках работает не корректно. Задачи пропустить 200 Мб/с нет. Нужно до 100 Мб/с без потерь прокинуть по l2vpn. Может предложить другое решение или объясните что у нас сейчас не так? Сейчас при нагрузке бешено растут потери (до 20-30%). Проблему так и не решили ((( сейчас на уровне организации туннеля между эти двумя точками. Наблюдается 20% потеря пакетов при нагрузке. Сейчас нарисуем схему оборудования и каналов, выложим. Уже два дня бьёмся. Может кто исходя из схемы что-нибудь предложит или другое направление/оборудование использовать. у openvpn есть компенсация mtu (что-то вроде tun-mtu 1500, fragment 1300, mssfix), но не уверен, что микротик прокачает 200 мбит по openvpn Ниже выложил схему сети с данной проблемой. 200 Мб/с гнать не нужно. Достаточно 100 Mb/s. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MMM Опубликовано 12 января, 2013 · Жалоба у меня на двух дешевых железках (десктопный комп с одной стороны, нетбук с другой) работает аналог l2vpn на основе openvpn между двумя точками поверх L3. Сильно не тестировал, но 60Мбит/c видел, потерь не наблюдается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MMM Опубликовано 12 января, 2013 · Жалоба Судя по схеме, у вас там просится L3 на удалённой точке. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
noob2013 Опубликовано 12 января, 2013 · Жалоба Судя по схеме, у вас там просится L3 на удалённой точке. Что вы имеете ввиду под "просится"? у меня на двух дешевых железках (десктопный комп с одной стороны, нетбук с другой) работает аналог l2vpn на основе openvpn между двумя точками поверх L3. Сильно не тестировал, но 60Мбит/c видел, потерь не наблюдается. А у нас не декстопы, но такое вытворяют... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RomadinR Опубликовано 12 января, 2013 (изменено) · Жалоба у меня на двух дешевых железках (десктопный комп с одной стороны, нетбук с другой) работает аналог l2vpn на основе openvpn между двумя точками поверх L3 Аналогично. С обеих сторон работают ITX-платы на Atom D525. Используется OpenVPN. Интерфейс eth0 (включен во внутреннюю сетку) в бридже с tap. eth1 включен в сетку провайдера. Прозрачно проходят тегированные VLAN. Изменено 12 января, 2013 пользователем RomadinR Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...