QWE Posted July 2, 2014 · Report post Не все провайдеры готовы на своей сети обеспечить возможность работы dot1q-tunnel + l2protocol-tunnel stp, мне нужно гонять свои VLAN и (M)STP протокол. VLANы и (M)STP через L3 или L2 арендованный канал каким образом можно пробросить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted July 2, 2014 · Report post Eoip на обоих концах? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
QWE Posted July 2, 2014 · Report post Eoip на обоих концах? это исключительно Микротика фича? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted July 2, 2014 · Report post это исключительно Микротика фича? При чём не самая хорошая. Уж лучше с бриджами игратся и всякими прокси-арп. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mightyscv Posted July 2, 2014 · Report post Поверх L2 без поддержки со стороны оператора - невозможно. Поверх L3 - с применением туннелирования, со всеми вытекающими отсюда минусами. Должна подойти любая L2 over L3 технология. Я лично делал на Juniper SRX с применением MPLS over GRE over IPSEC. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted July 2, 2014 · Report post Поверх L2 без поддержки со стороны оператора - невозможно. Поверх L3 - с применением туннелирования, со всеми вытекающими отсюда минусами. Должна подойти любая L2 over L3 технология. Я лично делал на Juniper SRX с применением MPLS over GRE over IPSEC. IPSEC то тут зачем? Не нравятся микротики можете сделать на линуксе, залитом в дешевые роутеры длинка и т.п. Хотя EoIP отлично работает без каких-то проблем. Нужно сначала со скоростью определится, одно дело 100-500 мегабит гонять, другое более гигабита. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted July 2, 2014 · Report post недавно видел на хабре статью про l2 поверх l3 на линуксе, используется gretap. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted July 2, 2014 · Report post Eoip есть не только в микротиках, и там он не очень. Кто-то из наших поднимал между двумя линуксбоксами такой тоннель, попробую отыскать парня. Просто ничего другого на ум не идет. А зачем вам именно.такой вариант? Отговаривать е собираюсь, чисто академический интерес Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted July 2, 2014 · Report post недавно видел на хабре статью про l2 поверх l3 на линуксе, используется gretap. зачем нужны эти извращения когда есть полностью стандартизированный vxlan (unicast mode тоже реализован в linux). да, ядро нужно довольно свежее и как и при любом тунеле, встаёт вопрос об MTU Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mightyscv Posted July 2, 2014 · Report post IPSEC то тут зачем? Нужен ещё один уровень инкапсуляции. Так как MPLS не фрагментируется нативно(в PWE3 есть наработки, но насколько они жизнеспособны я не знаю), то просто запихать MPLS в IP пакет и передать невозможно из-за оверхеда. Поэтому MPLS пакуется в GRE, а уже GRE пакуется в IPSEC и именно GRE пакет фрагментируется внутри IPSEC. Для повышения производительности можно IPSEC с null encryption сделать. Ну и дополнительный уровень безопасности - VPN всё ж таки. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MonaxGT Posted July 2, 2014 · Report post mightyscv, а проц не умрет перекладывать одно в другое? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mightyscv Posted July 2, 2014 · Report post MonaxGT Я на этот вопрос вряд ли отвечу, это инженеров Juniper спрашивать надо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
QWE Posted July 2, 2014 (edited) · Report post Eoip есть не только в микротиках, и там он не очень. Кто-то из наших поднимал между двумя линуксбоксами такой тоннель, попробую отыскать парня. Просто ничего другого на ум не идет. А зачем вам именно.такой вариант? Отговаривать е собираюсь, чисто академический интерес До абонента нужно сделать резерв через другого оператора. В планируемом кольце будет 3 моих свича - свич у абонента и два на опорной сети. К абоненту приходит оптика с одного узла и резервный арендованный канал с другого узла. Свич узла с которого сейчас подаются услуги терминирует VLAN для подачи Интернета + через него идут несколько транзитных VLAN для объединения точек абонента включенных с других коммутаторов. Кольцо резать планировалось резать с помощью MST т.к. уже он работает на сети в кольце разумеется. Т.е. вторая ячейка получается - полукольцо до абонента от основного магистрального кольца. Свич у абонента получается так же магистральным с точки зрения MST. Схему с QinQ + l2tunnel STP на одном из линков на стенде собрали - работает. Вот так и возникли требования. Edited July 2, 2014 by QWE Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted July 2, 2014 (edited) · Report post недавно видел на хабре статью про l2 поверх l3 на линуксе, используется gretap. зачем нужны эти извращения когда есть полностью стандартизированный vxlan (unicast mode тоже реализован в linux). да, ядро нужно довольно свежее и как и при любом тунеле, встаёт вопрос об MTU Я не настаивал на предложенном мной решении. Просто, кто-то ранее поинтересовался о наличии чего-то вроде EoIP в linux. vxlan - интересно. Спасибо, гляну. З.Ы: недавно перед глазами проскакивал некий OpenvSwitch. Насколько я понял продукт также позволяет гонять l2 поверх l3. Edited July 2, 2014 by g3fox Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted July 3, 2014 · Report post Нужен ещё один уровень инкапсуляции. Так как MPLS не фрагментируется нативно(в PWE3 есть наработки, но насколько они жизнеспособны я не знаю), то просто запихать MPLS в IP пакет и передать невозможно из-за оверхеда. Поэтому MPLS пакуется в GRE, а уже GRE пакуется в IPSEC и именно GRE пакет фрагментируется внутри IPSEC. Для повышения производительности можно IPSEC с null encryption сделать. Ну и дополнительный уровень безопасности - VPN всё ж таки. Есть еще L2 over PPP, его сразу сбриджевать можно без лишних действий. Получается по сложности настройки так: 1. L2 over PPP - но тут проблема с адресами для управления удаленным устройством и вероятность отказа линка при перегрузки трафиком - просто не получится зайти в настройки. 2. EoIP - требуется указывать 2 адреса для передачи данных, если белых нет требуется предварительно поднять PPP туннель. 3. MPLS - так же требуется предварительно поднять PPP туннель + настройка более сложная. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
reef Posted July 3, 2014 · Report post топикстартер не указал требуемую полосу... когда то настраивали для подобной задачи L2TPv3 на паре 2911, вытягивали примерно 50Mbit/s первый попавшийся пример из гугла http://munserat.blogspot.com/2013/05/l2tpv3-l2-tunnel-over-ip.html Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ollsanek Posted July 4, 2014 · Report post dot1q-tunnel + l2protocol-tunnel stp, мне нужно гонять свои VLAN и (M)STP протокол. VLANы и (M)STP через L3 или L2 арендованный канал каким образом можно пробросить? Схему с QinQ + l2tunnel STP на одном из линков на стенде собрали - работает. если арендовать Л2 канал, то настройте l2pt на своих свичах, физической петлёй заверните трафик туда и уже с переписаними заголовками пускайте через арендованый канал. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
QWE Posted July 7, 2014 · Report post dot1q-tunnel + l2protocol-tunnel stp, мне нужно гонять свои VLAN и (M)STP протокол. VLANы и (M)STP через L3 или L2 арендованный канал каким образом можно пробросить? Схему с QinQ + l2tunnel STP на одном из линков на стенде собрали - работает. если арендовать Л2 канал, то настройте l2pt на своих свичах, физической петлёй заверните трафик туда и уже с переписаними заголовками пускайте через арендованый канал. ничего не понял. Вы про это? http://zyxel.ru/kb/1897 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ollsanek Posted July 7, 2014 · Report post Вы про это? http://zyxel.ru/kb/1897 или http://www.juniper.net/techpubs/en_US/junos13.3/topics/concept/l2pt-ex-series.html только вам надо свои свичи на обоих точках настроить как "граничные коммутаторы провайдера", а провайдеру отдавать уже инкапсулированые пакеты. смысл, что если свич умеет l2pt, то делает это аппартно и со скоростью проблем не будет, в отличии от программных туннелей. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zander Posted July 9, 2014 · Report post + Juniper SRX - MPLS over GRE over IPSec PS: с MTU могут быть проблемы Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Konst Posted July 9, 2014 · Report post Не все провайдеры готовы на своей сети обеспечить возможность работы dot1q-tunnel + l2protocol-tunnel stp, мне нужно гонять свои VLAN и (M)STP протокол. VLANы и (M)STP через L3 или L2 арендованный канал каким образом можно пробросить? То, что лично тестировал (без STP) и оно работает без проблем с mtu: vlan через арендованный канал L3 - Cisco l2tpv3 vlan через арендованный канал L2 - Mikrotik vpls, Cisco l2tpv3, Mikrotik eoip, Extreme vpls Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...