[QWE]

Не все провайдеры готовы на своей сети обеспечить возможность работы dot1q-tunnel + l2protocol-tunnel stp, мне нужно гонять свои VLAN и (M)STP протокол.

VLANы и (M)STP через L3 или L2 арендованный канал каким образом можно пробросить?

[ChargeSet]

Eoip на обоих концах?

[QWE]

Eoip на обоих концах?

это исключительно Микротика фича?

[GrandPr1de]

это исключительно Микротика фича?

При чём не самая хорошая.

Уж лучше с бриджами игратся и всякими прокси-арп.

[mightyscv]

Поверх L2 без поддержки со стороны оператора - невозможно.

Поверх L3 - с применением туннелирования, со всеми вытекающими отсюда минусами. Должна подойти любая L2 over L3 технология. Я лично делал на Juniper SRX с применением MPLS over GRE over IPSEC.

[Saab95]

Поверх L2 без поддержки со стороны оператора - невозможно.

Поверх L3 - с применением туннелирования, со всеми вытекающими отсюда минусами. Должна подойти любая L2 over L3 технология. Я лично делал на Juniper SRX с применением MPLS over GRE over IPSEC.

 

IPSEC то тут зачем? Не нравятся микротики можете сделать на линуксе, залитом в дешевые роутеры длинка и т.п. Хотя EoIP отлично работает без каких-то проблем. Нужно сначала со скоростью определится, одно дело 100-500 мегабит гонять, другое более гигабита.

[g3fox]

недавно видел на хабре статью про l2 поверх l3 на линуксе, используется gretap.

[ChargeSet]

Eoip есть не только в микротиках, и там он не очень. Кто-то из наших поднимал между двумя линуксбоксами такой тоннель, попробую отыскать парня.

Просто ничего другого на ум не идет. А зачем вам именно.такой вариант? Отговаривать е собираюсь, чисто академический интерес

[s.lobanov]

недавно видел на хабре статью про l2 поверх l3 на линуксе, используется gretap.

 

зачем нужны эти извращения когда есть полностью стандартизированный vxlan (unicast mode тоже реализован в linux). да, ядро нужно довольно свежее

 

и как и при любом тунеле, встаёт вопрос об MTU

[mightyscv]

IPSEC то тут зачем?

Нужен ещё один уровень инкапсуляции. Так как MPLS не фрагментируется нативно(в PWE3 есть наработки, но насколько они жизнеспособны я не знаю), то просто запихать MPLS в IP пакет и передать невозможно из-за оверхеда. Поэтому MPLS пакуется в GRE, а уже GRE пакуется в IPSEC и именно GRE пакет фрагментируется внутри IPSEC. Для повышения производительности можно IPSEC с null encryption сделать.

Ну и дополнительный уровень безопасности - VPN всё ж таки.

[MonaxGT]

mightyscv, а проц не умрет перекладывать одно в другое?

[mightyscv]

MonaxGT

Я на этот вопрос вряд ли отвечу, это инженеров Juniper спрашивать надо.

[QWE]

Eoip есть не только в микротиках, и там он не очень. Кто-то из наших поднимал между двумя линуксбоксами такой тоннель, попробую отыскать парня.

Просто ничего другого на ум не идет. А зачем вам именно.такой вариант? Отговаривать е собираюсь, чисто академический интерес

 

До абонента нужно сделать резерв через другого оператора. В планируемом кольце будет 3 моих свича - свич у абонента и два на опорной сети. К абоненту приходит оптика с одного узла и резервный арендованный канал с другого узла. Свич узла с которого сейчас подаются услуги терминирует VLAN для подачи Интернета + через него идут несколько транзитных VLAN для объединения точек абонента включенных с других коммутаторов.

 

Кольцо резать планировалось резать с помощью MST т.к. уже он работает на сети в кольце разумеется. Т.е. вторая ячейка получается - полукольцо до абонента от основного магистрального кольца. Свич у абонента получается так же магистральным с точки зрения MST.

 

Схему с QinQ + l2tunnel STP на одном из линков на стенде собрали - работает. Вот так и возникли требования.

Edited July 2, 2014 by QWE

[g3fox]

недавно видел на хабре статью про l2 поверх l3 на линуксе, используется gretap.

 

зачем нужны эти извращения когда есть полностью стандартизированный vxlan (unicast mode тоже реализован в linux). да, ядро нужно довольно свежее

 

и как и при любом тунеле, встаёт вопрос об MTU

 

Я не настаивал на предложенном мной решении. Просто, кто-то ранее поинтересовался о наличии чего-то вроде EoIP в linux.

vxlan - интересно. Спасибо, гляну.

 

З.Ы: недавно перед глазами проскакивал некий OpenvSwitch. Насколько я понял продукт также позволяет гонять l2 поверх l3.

Edited July 2, 2014 by g3fox

[Saab95]

Нужен ещё один уровень инкапсуляции. Так как MPLS не фрагментируется нативно(в PWE3 есть наработки, но насколько они жизнеспособны я не знаю), то просто запихать MPLS в IP пакет и передать невозможно из-за оверхеда. Поэтому MPLS пакуется в GRE, а уже GRE пакуется в IPSEC и именно GRE пакет фрагментируется внутри IPSEC. Для повышения производительности можно IPSEC с null encryption сделать.

Ну и дополнительный уровень безопасности - VPN всё ж таки.

 

Есть еще L2 over PPP, его сразу сбриджевать можно без лишних действий. Получается по сложности настройки так:

 

1. L2 over PPP - но тут проблема с адресами для управления удаленным устройством и вероятность отказа линка при перегрузки трафиком - просто не получится зайти в настройки.

2. EoIP - требуется указывать 2 адреса для передачи данных, если белых нет требуется предварительно поднять PPP туннель.

3. MPLS - так же требуется предварительно поднять PPP туннель + настройка более сложная.

[reef]

топикстартер не указал требуемую полосу...

когда то настраивали для подобной задачи L2TPv3 на паре 2911,

вытягивали примерно 50Mbit/s

первый попавшийся пример из гугла http://munserat.blogspot.com/2013/05/l2tpv3-l2-tunnel-over-ip.html

[ollsanek]

dot1q-tunnel + l2protocol-tunnel stp, мне нужно гонять свои VLAN и (M)STP протокол.

VLANы и (M)STP через L3 или L2 арендованный канал каким образом можно пробросить?

 

Схему с QinQ + l2tunnel STP на одном из линков на стенде собрали - работает.

 

если арендовать Л2 канал, то настройте l2pt на своих свичах, физической петлёй заверните трафик туда и уже с переписаними заголовками пускайте через арендованый канал.

[QWE]

dot1q-tunnel + l2protocol-tunnel stp, мне нужно гонять свои VLAN и (M)STP протокол.

VLANы и (M)STP через L3 или L2 арендованный канал каким образом можно пробросить?

 

Схему с QinQ + l2tunnel STP на одном из линков на стенде собрали - работает.

 

если арендовать Л2 канал, то настройте l2pt на своих свичах, физической петлёй заверните трафик туда и уже с переписаними заголовками пускайте через арендованый канал.

 

ничего не понял.

Вы про это? http://zyxel.ru/kb/1897

[ollsanek]

Вы про это? http://zyxel.ru/kb/1897

или http://www.juniper.net/techpubs/en_US/junos13.3/topics/concept/l2pt-ex-series.html

только вам надо свои свичи на обоих точках настроить как "граничные коммутаторы провайдера",

а провайдеру отдавать уже инкапсулированые пакеты.

смысл, что если свич умеет l2pt, то делает это аппартно и со скоростью проблем не будет, в отличии от программных туннелей.

[zander]

+ Juniper SRX - MPLS over GRE over IPSec

 

PS: с MTU могут быть проблемы

[Konst]

Не все провайдеры готовы на своей сети обеспечить возможность работы dot1q-tunnel + l2protocol-tunnel stp, мне нужно гонять свои VLAN и (M)STP протокол.

VLANы и (M)STP через L3 или L2 арендованный канал каким образом можно пробросить?

То, что лично тестировал (без STP) и оно работает без проблем с mtu:

vlan через арендованный канал L3 - Cisco l2tpv3

vlan через арендованный канал L2 - Mikrotik vpls, Cisco l2tpv3, Mikrotik eoip, Extreme vpls