QWE Опубликовано 2 июля, 2014 · Жалоба Не все провайдеры готовы на своей сети обеспечить возможность работы dot1q-tunnel + l2protocol-tunnel stp, мне нужно гонять свои VLAN и (M)STP протокол. VLANы и (M)STP через L3 или L2 арендованный канал каким образом можно пробросить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ChargeSet Опубликовано 2 июля, 2014 · Жалоба Eoip на обоих концах? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
QWE Опубликовано 2 июля, 2014 · Жалоба Eoip на обоих концах? это исключительно Микротика фича? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 2 июля, 2014 · Жалоба это исключительно Микротика фича? При чём не самая хорошая. Уж лучше с бриджами игратся и всякими прокси-арп. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mightyscv Опубликовано 2 июля, 2014 · Жалоба Поверх L2 без поддержки со стороны оператора - невозможно. Поверх L3 - с применением туннелирования, со всеми вытекающими отсюда минусами. Должна подойти любая L2 over L3 технология. Я лично делал на Juniper SRX с применением MPLS over GRE over IPSEC. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 2 июля, 2014 · Жалоба Поверх L2 без поддержки со стороны оператора - невозможно. Поверх L3 - с применением туннелирования, со всеми вытекающими отсюда минусами. Должна подойти любая L2 over L3 технология. Я лично делал на Juniper SRX с применением MPLS over GRE over IPSEC. IPSEC то тут зачем? Не нравятся микротики можете сделать на линуксе, залитом в дешевые роутеры длинка и т.п. Хотя EoIP отлично работает без каких-то проблем. Нужно сначала со скоростью определится, одно дело 100-500 мегабит гонять, другое более гигабита. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 2 июля, 2014 · Жалоба недавно видел на хабре статью про l2 поверх l3 на линуксе, используется gretap. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ChargeSet Опубликовано 2 июля, 2014 · Жалоба Eoip есть не только в микротиках, и там он не очень. Кто-то из наших поднимал между двумя линуксбоксами такой тоннель, попробую отыскать парня. Просто ничего другого на ум не идет. А зачем вам именно.такой вариант? Отговаривать е собираюсь, чисто академический интерес Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 2 июля, 2014 · Жалоба недавно видел на хабре статью про l2 поверх l3 на линуксе, используется gretap. зачем нужны эти извращения когда есть полностью стандартизированный vxlan (unicast mode тоже реализован в linux). да, ядро нужно довольно свежее и как и при любом тунеле, встаёт вопрос об MTU Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mightyscv Опубликовано 2 июля, 2014 · Жалоба IPSEC то тут зачем? Нужен ещё один уровень инкапсуляции. Так как MPLS не фрагментируется нативно(в PWE3 есть наработки, но насколько они жизнеспособны я не знаю), то просто запихать MPLS в IP пакет и передать невозможно из-за оверхеда. Поэтому MPLS пакуется в GRE, а уже GRE пакуется в IPSEC и именно GRE пакет фрагментируется внутри IPSEC. Для повышения производительности можно IPSEC с null encryption сделать. Ну и дополнительный уровень безопасности - VPN всё ж таки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MonaxGT Опубликовано 2 июля, 2014 · Жалоба mightyscv, а проц не умрет перекладывать одно в другое? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mightyscv Опубликовано 2 июля, 2014 · Жалоба MonaxGT Я на этот вопрос вряд ли отвечу, это инженеров Juniper спрашивать надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
QWE Опубликовано 2 июля, 2014 (изменено) · Жалоба Eoip есть не только в микротиках, и там он не очень. Кто-то из наших поднимал между двумя линуксбоксами такой тоннель, попробую отыскать парня. Просто ничего другого на ум не идет. А зачем вам именно.такой вариант? Отговаривать е собираюсь, чисто академический интерес До абонента нужно сделать резерв через другого оператора. В планируемом кольце будет 3 моих свича - свич у абонента и два на опорной сети. К абоненту приходит оптика с одного узла и резервный арендованный канал с другого узла. Свич узла с которого сейчас подаются услуги терминирует VLAN для подачи Интернета + через него идут несколько транзитных VLAN для объединения точек абонента включенных с других коммутаторов. Кольцо резать планировалось резать с помощью MST т.к. уже он работает на сети в кольце разумеется. Т.е. вторая ячейка получается - полукольцо до абонента от основного магистрального кольца. Свич у абонента получается так же магистральным с точки зрения MST. Схему с QinQ + l2tunnel STP на одном из линков на стенде собрали - работает. Вот так и возникли требования. Изменено 2 июля, 2014 пользователем QWE Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 2 июля, 2014 (изменено) · Жалоба недавно видел на хабре статью про l2 поверх l3 на линуксе, используется gretap. зачем нужны эти извращения когда есть полностью стандартизированный vxlan (unicast mode тоже реализован в linux). да, ядро нужно довольно свежее и как и при любом тунеле, встаёт вопрос об MTU Я не настаивал на предложенном мной решении. Просто, кто-то ранее поинтересовался о наличии чего-то вроде EoIP в linux. vxlan - интересно. Спасибо, гляну. З.Ы: недавно перед глазами проскакивал некий OpenvSwitch. Насколько я понял продукт также позволяет гонять l2 поверх l3. Изменено 2 июля, 2014 пользователем g3fox Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 3 июля, 2014 · Жалоба Нужен ещё один уровень инкапсуляции. Так как MPLS не фрагментируется нативно(в PWE3 есть наработки, но насколько они жизнеспособны я не знаю), то просто запихать MPLS в IP пакет и передать невозможно из-за оверхеда. Поэтому MPLS пакуется в GRE, а уже GRE пакуется в IPSEC и именно GRE пакет фрагментируется внутри IPSEC. Для повышения производительности можно IPSEC с null encryption сделать. Ну и дополнительный уровень безопасности - VPN всё ж таки. Есть еще L2 over PPP, его сразу сбриджевать можно без лишних действий. Получается по сложности настройки так: 1. L2 over PPP - но тут проблема с адресами для управления удаленным устройством и вероятность отказа линка при перегрузки трафиком - просто не получится зайти в настройки. 2. EoIP - требуется указывать 2 адреса для передачи данных, если белых нет требуется предварительно поднять PPP туннель. 3. MPLS - так же требуется предварительно поднять PPP туннель + настройка более сложная. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
reef Опубликовано 3 июля, 2014 · Жалоба топикстартер не указал требуемую полосу... когда то настраивали для подобной задачи L2TPv3 на паре 2911, вытягивали примерно 50Mbit/s первый попавшийся пример из гугла http://munserat.blogspot.com/2013/05/l2tpv3-l2-tunnel-over-ip.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ollsanek Опубликовано 4 июля, 2014 · Жалоба dot1q-tunnel + l2protocol-tunnel stp, мне нужно гонять свои VLAN и (M)STP протокол. VLANы и (M)STP через L3 или L2 арендованный канал каким образом можно пробросить? Схему с QinQ + l2tunnel STP на одном из линков на стенде собрали - работает. если арендовать Л2 канал, то настройте l2pt на своих свичах, физической петлёй заверните трафик туда и уже с переписаними заголовками пускайте через арендованый канал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
QWE Опубликовано 7 июля, 2014 · Жалоба dot1q-tunnel + l2protocol-tunnel stp, мне нужно гонять свои VLAN и (M)STP протокол. VLANы и (M)STP через L3 или L2 арендованный канал каким образом можно пробросить? Схему с QinQ + l2tunnel STP на одном из линков на стенде собрали - работает. если арендовать Л2 канал, то настройте l2pt на своих свичах, физической петлёй заверните трафик туда и уже с переписаними заголовками пускайте через арендованый канал. ничего не понял. Вы про это? http://zyxel.ru/kb/1897 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ollsanek Опубликовано 7 июля, 2014 · Жалоба Вы про это? http://zyxel.ru/kb/1897 или http://www.juniper.net/techpubs/en_US/junos13.3/topics/concept/l2pt-ex-series.html только вам надо свои свичи на обоих точках настроить как "граничные коммутаторы провайдера", а провайдеру отдавать уже инкапсулированые пакеты. смысл, что если свич умеет l2pt, то делает это аппартно и со скоростью проблем не будет, в отличии от программных туннелей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zander Опубликовано 9 июля, 2014 · Жалоба + Juniper SRX - MPLS over GRE over IPSec PS: с MTU могут быть проблемы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konst Опубликовано 9 июля, 2014 · Жалоба Не все провайдеры готовы на своей сети обеспечить возможность работы dot1q-tunnel + l2protocol-tunnel stp, мне нужно гонять свои VLAN и (M)STP протокол. VLANы и (M)STP через L3 или L2 арендованный канал каким образом можно пробросить? То, что лично тестировал (без STP) и оно работает без проблем с mtu: vlan через арендованный канал L3 - Cisco l2tpv3 vlan через арендованный канал L2 - Mikrotik vpls, Cisco l2tpv3, Mikrotik eoip, Extreme vpls Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...