QWE Posted July 2, 2014 Не все провайдеры готовы на своей сети обеспечить возможность работы dot1q-tunnel + l2protocol-tunnel stp, мне нужно гонять свои VLAN и (M)STP протокол. VLANы и (M)STP через L3 или L2 арендованный канал каким образом можно пробросить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted July 2, 2014 Eoip на обоих концах? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
QWE Posted July 2, 2014 Eoip на обоих концах? это исключительно Микротика фича? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted July 2, 2014 это исключительно Микротика фича? При чём не самая хорошая. Уж лучше с бриджами игратся и всякими прокси-арп. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mightyscv Posted July 2, 2014 Поверх L2 без поддержки со стороны оператора - невозможно. Поверх L3 - с применением туннелирования, со всеми вытекающими отсюда минусами. Должна подойти любая L2 over L3 технология. Я лично делал на Juniper SRX с применением MPLS over GRE over IPSEC. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted July 2, 2014 Поверх L2 без поддержки со стороны оператора - невозможно. Поверх L3 - с применением туннелирования, со всеми вытекающими отсюда минусами. Должна подойти любая L2 over L3 технология. Я лично делал на Juniper SRX с применением MPLS over GRE over IPSEC. IPSEC то тут зачем? Не нравятся микротики можете сделать на линуксе, залитом в дешевые роутеры длинка и т.п. Хотя EoIP отлично работает без каких-то проблем. Нужно сначала со скоростью определится, одно дело 100-500 мегабит гонять, другое более гигабита. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted July 2, 2014 недавно видел на хабре статью про l2 поверх l3 на линуксе, используется gretap. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted July 2, 2014 Eoip есть не только в микротиках, и там он не очень. Кто-то из наших поднимал между двумя линуксбоксами такой тоннель, попробую отыскать парня. Просто ничего другого на ум не идет. А зачем вам именно.такой вариант? Отговаривать е собираюсь, чисто академический интерес Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted July 2, 2014 недавно видел на хабре статью про l2 поверх l3 на линуксе, используется gretap. зачем нужны эти извращения когда есть полностью стандартизированный vxlan (unicast mode тоже реализован в linux). да, ядро нужно довольно свежее и как и при любом тунеле, встаёт вопрос об MTU Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mightyscv Posted July 2, 2014 IPSEC то тут зачем? Нужен ещё один уровень инкапсуляции. Так как MPLS не фрагментируется нативно(в PWE3 есть наработки, но насколько они жизнеспособны я не знаю), то просто запихать MPLS в IP пакет и передать невозможно из-за оверхеда. Поэтому MPLS пакуется в GRE, а уже GRE пакуется в IPSEC и именно GRE пакет фрагментируется внутри IPSEC. Для повышения производительности можно IPSEC с null encryption сделать. Ну и дополнительный уровень безопасности - VPN всё ж таки. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MonaxGT Posted July 2, 2014 mightyscv, а проц не умрет перекладывать одно в другое? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mightyscv Posted July 2, 2014 MonaxGT Я на этот вопрос вряд ли отвечу, это инженеров Juniper спрашивать надо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
QWE Posted July 2, 2014 (edited) Eoip есть не только в микротиках, и там он не очень. Кто-то из наших поднимал между двумя линуксбоксами такой тоннель, попробую отыскать парня. Просто ничего другого на ум не идет. А зачем вам именно.такой вариант? Отговаривать е собираюсь, чисто академический интерес До абонента нужно сделать резерв через другого оператора. В планируемом кольце будет 3 моих свича - свич у абонента и два на опорной сети. К абоненту приходит оптика с одного узла и резервный арендованный канал с другого узла. Свич узла с которого сейчас подаются услуги терминирует VLAN для подачи Интернета + через него идут несколько транзитных VLAN для объединения точек абонента включенных с других коммутаторов. Кольцо резать планировалось резать с помощью MST т.к. уже он работает на сети в кольце разумеется. Т.е. вторая ячейка получается - полукольцо до абонента от основного магистрального кольца. Свич у абонента получается так же магистральным с точки зрения MST. Схему с QinQ + l2tunnel STP на одном из линков на стенде собрали - работает. Вот так и возникли требования. Edited July 2, 2014 by QWE Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted July 2, 2014 (edited) недавно видел на хабре статью про l2 поверх l3 на линуксе, используется gretap. зачем нужны эти извращения когда есть полностью стандартизированный vxlan (unicast mode тоже реализован в linux). да, ядро нужно довольно свежее и как и при любом тунеле, встаёт вопрос об MTU Я не настаивал на предложенном мной решении. Просто, кто-то ранее поинтересовался о наличии чего-то вроде EoIP в linux. vxlan - интересно. Спасибо, гляну. З.Ы: недавно перед глазами проскакивал некий OpenvSwitch. Насколько я понял продукт также позволяет гонять l2 поверх l3. Edited July 2, 2014 by g3fox Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted July 3, 2014 Нужен ещё один уровень инкапсуляции. Так как MPLS не фрагментируется нативно(в PWE3 есть наработки, но насколько они жизнеспособны я не знаю), то просто запихать MPLS в IP пакет и передать невозможно из-за оверхеда. Поэтому MPLS пакуется в GRE, а уже GRE пакуется в IPSEC и именно GRE пакет фрагментируется внутри IPSEC. Для повышения производительности можно IPSEC с null encryption сделать. Ну и дополнительный уровень безопасности - VPN всё ж таки. Есть еще L2 over PPP, его сразу сбриджевать можно без лишних действий. Получается по сложности настройки так: 1. L2 over PPP - но тут проблема с адресами для управления удаленным устройством и вероятность отказа линка при перегрузки трафиком - просто не получится зайти в настройки. 2. EoIP - требуется указывать 2 адреса для передачи данных, если белых нет требуется предварительно поднять PPP туннель. 3. MPLS - так же требуется предварительно поднять PPP туннель + настройка более сложная. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
reef Posted July 3, 2014 топикстартер не указал требуемую полосу... когда то настраивали для подобной задачи L2TPv3 на паре 2911, вытягивали примерно 50Mbit/s первый попавшийся пример из гугла http://munserat.blogspot.com/2013/05/l2tpv3-l2-tunnel-over-ip.html Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ollsanek Posted July 4, 2014 dot1q-tunnel + l2protocol-tunnel stp, мне нужно гонять свои VLAN и (M)STP протокол. VLANы и (M)STP через L3 или L2 арендованный канал каким образом можно пробросить? Схему с QinQ + l2tunnel STP на одном из линков на стенде собрали - работает. если арендовать Л2 канал, то настройте l2pt на своих свичах, физической петлёй заверните трафик туда и уже с переписаними заголовками пускайте через арендованый канал. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
QWE Posted July 7, 2014 dot1q-tunnel + l2protocol-tunnel stp, мне нужно гонять свои VLAN и (M)STP протокол. VLANы и (M)STP через L3 или L2 арендованный канал каким образом можно пробросить? Схему с QinQ + l2tunnel STP на одном из линков на стенде собрали - работает. если арендовать Л2 канал, то настройте l2pt на своих свичах, физической петлёй заверните трафик туда и уже с переписаними заголовками пускайте через арендованый канал. ничего не понял. Вы про это? http://zyxel.ru/kb/1897 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ollsanek Posted July 7, 2014 Вы про это? http://zyxel.ru/kb/1897 или http://www.juniper.net/techpubs/en_US/junos13.3/topics/concept/l2pt-ex-series.html только вам надо свои свичи на обоих точках настроить как "граничные коммутаторы провайдера", а провайдеру отдавать уже инкапсулированые пакеты. смысл, что если свич умеет l2pt, то делает это аппартно и со скоростью проблем не будет, в отличии от программных туннелей. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zander Posted July 9, 2014 + Juniper SRX - MPLS over GRE over IPSec PS: с MTU могут быть проблемы Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Konst Posted July 9, 2014 Не все провайдеры готовы на своей сети обеспечить возможность работы dot1q-tunnel + l2protocol-tunnel stp, мне нужно гонять свои VLAN и (M)STP протокол. VLANы и (M)STP через L3 или L2 арендованный канал каким образом можно пробросить? То, что лично тестировал (без STP) и оно работает без проблем с mtu: vlan через арендованный канал L3 - Cisco l2tpv3 vlan через арендованный канал L2 - Mikrotik vpls, Cisco l2tpv3, Mikrotik eoip, Extreme vpls Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...