[noob2013]

Приобрели у оператора ВЧС, организовали к нему 2 канала 200 Мб/с и 100 Мб/с.

 

Начали гонять трафик, всё стопорнулось. Выяснилось, что сеть ограничена на пропускание максимум 10 mac адресов. Нормально ли это? С боем увеличили до 50 на один канал. Оператор предложил поставить на концах маршрутизаторы. Не совсем поняли что он имел ввиду.

 

Что посоветуете и как выйти из данной проблемы с минимальными затратами в плане ухудшения качества канала. Ведь получается что в уже организованном VPN нам придётся подымать свой VPN для прогона своего трафика. В сети где-то 300-600 mac адресов.

 

Очень ждём помощи от знатоков.

[mefer]

Так поставьте роутер. Хоть на основе компа разделите на две маршрутизируемые подсети.

[s.lobanov]

noob2013

Это нормальная ситуация, когда клиент(вы) подключены через цепочку L2 свитчей с одной или с обоих сторон mpls-тунеля, аппаратный ресурс мак-адресов(на L2-свитчах) у провайдера, через который вы подключены всё равно ограничен, поэтому нельзя не ограничивать кол-во маков. Некоторые свитчи(но, к сожаленью, не все) умеют выключать mac learning на vlan-е, тогда можно не ограничивать клиента в мак-адресах, покупающего L2, но это не удобно в плане модернизации сети("нестандартные" настройки оборудования).

[dsk]

Ограничивать надо, хотя бы для защиты от всяких флудов, но 10 маков это жлобство. Видимо оборудование там у провайдера совсем дерьмовое.

[shvlad1]

noob2013, а какую конкретно услугу купили: VPLS или EoMPLS?

По второй обычно не ограничивают кол-во маков, по первой-да, есть лимиты.

[Ivan_83]

ВПН поднимать не обязательно.

Либо ставятся роутеры и настраивается маршрутизация, тогда в туннеле будет 2 мака - маки роутеров.

Либо нужно эзернет пакеты инкапсулировать целиком и гнать дальше. Инкапсулировать можно много чем: l2tp, ipsec, eoip (микротиковская хрень), можно даже на фре с помощью нетграфа в юдп заворачивать. При инкапсуляции мту уменьшится, желательно об этом помнить и делать tcp mss fix.

[s.lobanov]

Ivan_83

Вы специально всегда предлагаете самый изощрённый способ? Вместо того, чтобы бросаться и делать mssfix сначала надо поговорить с провайдером об увеличении MTU.

 

noob2013, а какую конкретно услугу купили: VPLS или EoMPLS?

По второй обычно не ограничивают кол-во маков, по первой-да, есть лимиты.

 

В случае покупки канала точка-точка какой смысл заказывать VPLS? Да и в случае простого псевдопровода мак-адреса не ограничивают, если клиент включен напрямую в PE-маршрутизатор, а если на пути ещё транизитные L2-свитчи...

[noob2013]

Ivan_83

Вы специально всегда предлагаете самый изощрённый способ? Вместо того, чтобы бросаться и делать mssfix сначала надо поговорить с провайдером об увеличении MTU.

 

noob2013, а какую конкретно услугу купили: VPLS или EoMPLS?

По второй обычно не ограничивают кол-во маков, по первой-да, есть лимиты.

 

В случае покупки канала точка-точка какой смысл заказывать VPLS? Да и в случае простого псевдопровода мак-адреса не ограничивают, если клиент включен напрямую в PE-маршрутизатор, а если на пути ещё транизитные L2-свитчи...

 

Сейчас решили организацией туннеля на оборудовании Microtic. Брали L2VPN с организацией облака и с более чем двумя точками (сейчас 5 каналов в ВЧСе). Просто совсем было удивительно когда столкнулись с таким ограничением. Оператор связи - НКС (бренд Onlime). В итоге пришлось вставлять ещё доп оборудование, а следовательно 2 точки отказа прибавилось.

[Fduchun]

А почему не поговорить с Onlime и не попросить их увеличить MAC FIB в вашем VPLS?

[Ivan_83]

Вы специально всегда предлагаете самый изощрённый способ? Вместо того, чтобы бросаться и делать mssfix сначала надо поговорить с провайдером об увеличении MTU.

Потому что это можно сделать самостоятельно не вставая с места.

А так хз что у них там в сети и смогут ли они настроить, включить везде джамбо фреймы, и гарантировать их прохождение. А ещё потом поменяю оборудование через годик и забудут включить, и придётся долго думать что же случилось.

[Fduchun]

Ivan_83

Вообще-то, s.lobanov дело говорит. Вместо того, чтобы гадать - нужно сначала все выяснить у оператора и попытаться с ним договориться. Иначе смысл VPLS у оператора заказывать?

[Ivan_83]

Пакеты надо гонять уже вчера, а разговоры это на долго.

Можно решить своими силами и если останется желание дальше бодаться с оператором.

Установка роутеров / поднятие туннелей рабочие проверенные варианты, а "300-600" маков должны идти за другие деньги.

[zi_rus]

просто требования к каналу надо предъявлять до включения, а не после, и подключаться к тому кто готов удовлетворить эти требования

[noob2013]

просто требования к каналу надо предъявлять до включения, а не после, и подключаться к тому кто готов удовлетворить эти требования

 

Режим капитана очевидности - detected ))) Оно понятно, что так правильно, но вопрос задаётся исходя из сложившейся ситуации.

[s.lobanov]

noob2013

Если кол-во мак-адресов не хотят расширять, то у вас след. варианты:

1. терминировать трафик ваших абонентов до входа в L2VPN, через арендованный канал гонять уже L3 (тогда надо всего по одному маку с одной стороны). скорее всего, это неудобно для вас, ну по крайней мере если у вас политика "bras в центре".

2. попросить увеличить MTU(это вполне нормальное требование к услуге L2VPN) и поднять тунель

3. Сделать то, что предлагает Ivan_83, но только надо смотреть где удобнее делать mssfix. в случае если у вас pppoe, то можно подкрутить согласование mtu, тогда и mssfix почти не потребуется(потребуется только для тех абонентов, которое вручную выставят mss в роутере)

 

всё-таки mssfix это уродливый костыль и даже если вы к нему придёте, то надо будет думать как от него избавляться

[noob2013]

noob2013

Если кол-во мак-адресов не хотят расширять, то у вас след. варианты:

1. терминировать трафик ваших абонентов до входа в L2VPN, через арендованный канал гонять уже L3 (тогда надо всего по одному маку с одной стороны). скорее всего, это неудобно для вас, ну по крайней мере если у вас политика "bras в центре".

2. попросить увеличить MTU(это вполне нормальное требование к услуге L2VPN) и поднять тунель

3. Сделать то, что предлагает Ivan_83, но только надо смотреть где удобнее делать mssfix. в случае если у вас pppoe, то можно подкрутить согласование mtu, тогда и mssfix почти не потребуется(потребуется только для тех абонентов, которое вручную выставят mss в роутере)

 

всё-таки mssfix это уродливый костыль и даже если вы к нему придёте, то надо будет думать как от него избавляться

 

Сделали по второму пункту. Организовали туннель на оборудовании Microtik. Сейчас на канале ощущается серьёзная потеря пакетов. MTU еще не увеличили, только забросили это сделать (возможна проблема из-за этого?).

[White_Alex]

10 маков это жлобство. Видимо оборудование там у провайдера совсем дерьмовое.

 

ога ога :-)) мы в пределах нашей городской сети на такие подключения даем с ограничением 5-10 мак-адресов на порт, оборудование Cisco, vpls делают 76-е, мы жлобы какой ужас :-)

[zi_rus]

видимо да, потому что у нас также 76-е и мы ограничений в принципе не ставим

[noob2013]

Проблему так и не решили ((( сейчас на уровне организации туннеля между эти двумя точками. Наблюдается 20% потеря пакетов при нагрузке. Сейчас нарисуем схему оборудования и каналов, выложим. Уже два дня бьёмся. Может кто исходя из схемы что-нибудь предложит или другое направление/оборудование использовать.

[MMM]

Проблему так и не решили ((( сейчас на уровне организации туннеля между эти двумя точками. Наблюдается 20% потеря пакетов при нагрузке. Сейчас нарисуем схему оборудования и каналов, выложим. Уже два дня бьёмся. Может кто исходя из схемы что-нибудь предложит или другое направление/оборудование использовать.

у openvpn есть компенсация mtu (что-то вроде tun-mtu 1500, fragment 1300, mssfix), но не уверен, что микротик прокачает 200 мбит по openvpn

[noob2013]

Вот такую схему используем. Нужно передать интернет до пользователей. Повторюсь, что канал L2VPN имеет ограничение на 10 mac адресов, поэтому всквозную пользователей на m9 (куда идёт l2vpn) пустить не получилось.

 

Вопрос как быть дальше? Туннель на 2х микроииках работает не корректно. Задачи пропустить 200 Мб/с нет. Нужно до 100 Мб/с без потерь прокинуть по l2vpn. Может предложить другое решение или объясните что у нас сейчас не так? Сейчас при нагрузке бешено растут потери (до 20-30%).

 

Проблему так и не решили ((( сейчас на уровне организации туннеля между эти двумя точками. Наблюдается 20% потеря пакетов при нагрузке. Сейчас нарисуем схему оборудования и каналов, выложим. Уже два дня бьёмся. Может кто исходя из схемы что-нибудь предложит или другое направление/оборудование использовать.

у openvpn есть компенсация mtu (что-то вроде tun-mtu 1500, fragment 1300, mssfix), но не уверен, что микротик прокачает 200 мбит по openvpn

 

Ниже выложил схему сети с данной проблемой. 200 Мб/с гнать не нужно. Достаточно 100 Mb/s.

[MMM]

у меня на двух дешевых железках (десктопный комп с одной стороны, нетбук с другой) работает аналог l2vpn на основе openvpn между двумя точками поверх L3. Сильно не тестировал, но 60Мбит/c видел, потерь не наблюдается.

[MMM]

Судя по схеме, у вас там просится L3 на удалённой точке.

[noob2013]

Судя по схеме, у вас там просится L3 на удалённой точке.

 

Что вы имеете ввиду под "просится"?

 

у меня на двух дешевых железках (десктопный комп с одной стороны, нетбук с другой) работает аналог l2vpn на основе openvpn между двумя точками поверх L3. Сильно не тестировал, но 60Мбит/c видел, потерь не наблюдается.

 

А у нас не декстопы, но такое вытворяют...

[RomadinR]

у меня на двух дешевых железках (десктопный комп с одной стороны, нетбук с другой) работает аналог l2vpn на основе openvpn между двумя точками поверх L3

Аналогично. С обеих сторон работают ITX-платы на Atom D525. Используется OpenVPN. Интерфейс eth0 (включен во внутреннюю сетку) в бридже с tap. eth1 включен в сетку провайдера. Прозрачно проходят тегированные VLAN.

Изменено 12 января, 2013 пользователем RomadinR