Jump to content
Калькуляторы

VLANы и (M)STP через L3 или L2 арендованный канал каким образом можно пробросить?

Не все провайдеры готовы на своей сети обеспечить возможность работы dot1q-tunnel + l2protocol-tunnel stp, мне нужно гонять свои VLAN и (M)STP протокол.

VLANы и (M)STP через L3 или L2 арендованный канал каким образом можно пробросить?

Share this post


Link to post
Share on other sites

Eoip на обоих концах?

это исключительно Микротика фича?

Share this post


Link to post
Share on other sites

это исключительно Микротика фича?

При чём не самая хорошая.

Уж лучше с бриджами игратся и всякими прокси-арп.

Share this post


Link to post
Share on other sites

Поверх L2 без поддержки со стороны оператора - невозможно.

Поверх L3 - с применением туннелирования, со всеми вытекающими отсюда минусами. Должна подойти любая L2 over L3 технология. Я лично делал на Juniper SRX с применением MPLS over GRE over IPSEC.

Share this post


Link to post
Share on other sites

Поверх L2 без поддержки со стороны оператора - невозможно.

Поверх L3 - с применением туннелирования, со всеми вытекающими отсюда минусами. Должна подойти любая L2 over L3 технология. Я лично делал на Juniper SRX с применением MPLS over GRE over IPSEC.

 

IPSEC то тут зачем? Не нравятся микротики можете сделать на линуксе, залитом в дешевые роутеры длинка и т.п. Хотя EoIP отлично работает без каких-то проблем. Нужно сначала со скоростью определится, одно дело 100-500 мегабит гонять, другое более гигабита.

Share this post


Link to post
Share on other sites

недавно видел на хабре статью про l2 поверх l3 на линуксе, используется gretap.

Share this post


Link to post
Share on other sites

Eoip есть не только в микротиках, и там он не очень. Кто-то из наших поднимал между двумя линуксбоксами такой тоннель, попробую отыскать парня.

Просто ничего другого на ум не идет. А зачем вам именно.такой вариант? Отговаривать е собираюсь, чисто академический интерес

Share this post


Link to post
Share on other sites

недавно видел на хабре статью про l2 поверх l3 на линуксе, используется gretap.

 

зачем нужны эти извращения когда есть полностью стандартизированный vxlan (unicast mode тоже реализован в linux). да, ядро нужно довольно свежее

 

и как и при любом тунеле, встаёт вопрос об MTU

Share this post


Link to post
Share on other sites

IPSEC то тут зачем?

Нужен ещё один уровень инкапсуляции. Так как MPLS не фрагментируется нативно(в PWE3 есть наработки, но насколько они жизнеспособны я не знаю), то просто запихать MPLS в IP пакет и передать невозможно из-за оверхеда. Поэтому MPLS пакуется в GRE, а уже GRE пакуется в IPSEC и именно GRE пакет фрагментируется внутри IPSEC. Для повышения производительности можно IPSEC с null encryption сделать.

Ну и дополнительный уровень безопасности - VPN всё ж таки.

Share this post


Link to post
Share on other sites

mightyscv, а проц не умрет перекладывать одно в другое?

Share this post


Link to post
Share on other sites

MonaxGT

Я на этот вопрос вряд ли отвечу, это инженеров Juniper спрашивать надо.

Share this post


Link to post
Share on other sites

Eoip есть не только в микротиках, и там он не очень. Кто-то из наших поднимал между двумя линуксбоксами такой тоннель, попробую отыскать парня.

Просто ничего другого на ум не идет. А зачем вам именно.такой вариант? Отговаривать е собираюсь, чисто академический интерес

 

До абонента нужно сделать резерв через другого оператора. В планируемом кольце будет 3 моих свича - свич у абонента и два на опорной сети. К абоненту приходит оптика с одного узла и резервный арендованный канал с другого узла. Свич узла с которого сейчас подаются услуги терминирует VLAN для подачи Интернета + через него идут несколько транзитных VLAN для объединения точек абонента включенных с других коммутаторов.

 

Кольцо резать планировалось резать с помощью MST т.к. уже он работает на сети в кольце разумеется. Т.е. вторая ячейка получается - полукольцо до абонента от основного магистрального кольца. Свич у абонента получается так же магистральным с точки зрения MST.

 

Схему с QinQ + l2tunnel STP на одном из линков на стенде собрали - работает. Вот так и возникли требования.

Edited by QWE

Share this post


Link to post
Share on other sites

недавно видел на хабре статью про l2 поверх l3 на линуксе, используется gretap.

 

зачем нужны эти извращения когда есть полностью стандартизированный vxlan (unicast mode тоже реализован в linux). да, ядро нужно довольно свежее

 

и как и при любом тунеле, встаёт вопрос об MTU

 

Я не настаивал на предложенном мной решении. Просто, кто-то ранее поинтересовался о наличии чего-то вроде EoIP в linux.

vxlan - интересно. Спасибо, гляну.

 

З.Ы: недавно перед глазами проскакивал некий OpenvSwitch. Насколько я понял продукт также позволяет гонять l2 поверх l3.

Edited by g3fox

Share this post


Link to post
Share on other sites

Нужен ещё один уровень инкапсуляции. Так как MPLS не фрагментируется нативно(в PWE3 есть наработки, но насколько они жизнеспособны я не знаю), то просто запихать MPLS в IP пакет и передать невозможно из-за оверхеда. Поэтому MPLS пакуется в GRE, а уже GRE пакуется в IPSEC и именно GRE пакет фрагментируется внутри IPSEC. Для повышения производительности можно IPSEC с null encryption сделать.

Ну и дополнительный уровень безопасности - VPN всё ж таки.

 

Есть еще L2 over PPP, его сразу сбриджевать можно без лишних действий. Получается по сложности настройки так:

 

1. L2 over PPP - но тут проблема с адресами для управления удаленным устройством и вероятность отказа линка при перегрузки трафиком - просто не получится зайти в настройки.

2. EoIP - требуется указывать 2 адреса для передачи данных, если белых нет требуется предварительно поднять PPP туннель.

3. MPLS - так же требуется предварительно поднять PPP туннель + настройка более сложная.

Share this post


Link to post
Share on other sites

топикстартер не указал требуемую полосу...

когда то настраивали для подобной задачи L2TPv3 на паре 2911,

вытягивали примерно 50Mbit/s

первый попавшийся пример из гугла http://munserat.blogspot.com/2013/05/l2tpv3-l2-tunnel-over-ip.html

Share this post


Link to post
Share on other sites

dot1q-tunnel + l2protocol-tunnel stp, мне нужно гонять свои VLAN и (M)STP протокол.

VLANы и (M)STP через L3 или L2 арендованный канал каким образом можно пробросить?

 

Схему с QinQ + l2tunnel STP на одном из линков на стенде собрали - работает.

 

если арендовать Л2 канал, то настройте l2pt на своих свичах, физической петлёй заверните трафик туда и уже с переписаними заголовками пускайте через арендованый канал.

Share this post


Link to post
Share on other sites

dot1q-tunnel + l2protocol-tunnel stp, мне нужно гонять свои VLAN и (M)STP протокол.

VLANы и (M)STP через L3 или L2 арендованный канал каким образом можно пробросить?

 

Схему с QinQ + l2tunnel STP на одном из линков на стенде собрали - работает.

 

если арендовать Л2 канал, то настройте l2pt на своих свичах, физической петлёй заверните трафик туда и уже с переписаними заголовками пускайте через арендованый канал.

 

ничего не понял.

Вы про это? http://zyxel.ru/kb/1897

Share this post


Link to post
Share on other sites

Вы про это? http://zyxel.ru/kb/1897

или http://www.juniper.net/techpubs/en_US/junos13.3/topics/concept/l2pt-ex-series.html

только вам надо свои свичи на обоих точках настроить как "граничные коммутаторы провайдера",

а провайдеру отдавать уже инкапсулированые пакеты.

смысл, что если свич умеет l2pt, то делает это аппартно и со скоростью проблем не будет, в отличии от программных туннелей.

Share this post


Link to post
Share on other sites

+ Juniper SRX - MPLS over GRE over IPSec

 

PS: с MTU могут быть проблемы

Share this post


Link to post
Share on other sites

Не все провайдеры готовы на своей сети обеспечить возможность работы dot1q-tunnel + l2protocol-tunnel stp, мне нужно гонять свои VLAN и (M)STP протокол.

VLANы и (M)STP через L3 или L2 арендованный канал каким образом можно пробросить?

То, что лично тестировал (без STP) и оно работает без проблем с mtu:

vlan через арендованный канал L3 - Cisco l2tpv3

vlan через арендованный канал L2 - Mikrotik vpls, Cisco l2tpv3, Mikrotik eoip, Extreme vpls

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this