shafiev Posted September 18, 2014 · Report post Здравствуйте . Насколько мне известно (прошу поправить ) без шифрации туннели можно делать или посредством VXLAN или Mikrotik EoIP или gre . Коллеги исходя с боевого опыта что посоветуете использовать? Железки tplink/openwrt или обычные маломощные тазики. Траф маленький. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted September 18, 2014 · Report post я бы порекомендовал l2tpv3 или vxlan. nv-gre имеет шанс умереть, а vxlan все потихоньку признают. l2tpv3 это то, что сейчас работает на нескольких вендорах, включая linux. vxlan относительно новая штука, могут всплыть баги реализацим mikrotik eoip это привязка к вендору, что всегда плохо Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shafiev Posted September 18, 2014 · Report post я бы порекомендовал l2tpv3 или vxlan. nv-gre имеет шанс умереть, а vxlan все потихоньку признают. l2tpv3 это то, что сейчас работает на нескольких вендорах, включая linux. vxlan относительно новая штука, могут всплыть баги реализацим mikrotik eoip это привязка к вендору, что всегда плохо Спасибо nuclearcat за реализацию eoip в опенсорсе . L2tpv3 разве умеет просто делать нешифрованный туннель и чем она лучше чем тот же openvpn Просто вопрос ещё в том насколько они позволяют автор переподключение при дропах или при обрыве канала? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VVSina Posted September 18, 2014 · Report post ipip ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted September 18, 2014 · Report post ipip ? речь же шла про ethernet over ip, а не про ip over ip Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted September 18, 2014 · Report post Спасибо nuclearcat за реализацию eoip в опенсорсе . оно юзерспейс? если да, то оно заведомо проигрывает ядерным тунелям. а если оно kernel-space, то со временем может перестать собираться ибо не закоммичено в апстрим. L2tpv3 разве умеет просто делать нешифрованный туннель оно вообще не умеет шифровать. для шифрования при использовании l2tp/v3 нужно использовать сторонние средства и чем она лучше чем тот же openvpn тем, что kernel-space в linux-е, а значит можно получить тунели задёшево на всяком soho-барахле Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shafiev Posted September 18, 2014 · Report post Спасибо nuclearcat за реализацию eoip в опенсорсе . оно юзерспейс? если да, то оно заведомо проигрывает ядерным тунелям. а если оно kernel-space, то со временем может перестать собираться ибо не закоммичено в апстрим. L2tpv3 разве умеет просто делать нешифрованный туннель оно вообще не умеет шифровать. для шифрования при использовании l2tp/v3 нужно использовать сторонние средства и чем она лучше чем тот же openvpn тем, что kernel-space в linux-е, а значит можно получить тунели задёшево на всяком soho-барахле да оно юзерспейс . Насколько стабилен этот l2tp если потоки будут сходиться в центр , просто главное чтобы при сессии залипание сессий не было , как с тем же ipsec ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted September 20, 2014 · Report post Проблемы с L2 потоками в центр по туннелям бывают тогда, когда их много объединяют между собой, и при этом у всех разные скорости и параметры задержки. Приходит какой-то поток данных, который должен попасть во все L2 порты с центральной железки по туннелям, но данные успевают пролезать не ко всем, часть отбрасывается, часть буферизуется, а со стороны сетевого порта идет трафик такого объема, который, порой, и в скорость интернет подключения упирается - вот от этого и идут все проблемы. Поэтому нельзя объединять много L2 туннелей с разными характеристиками на одной железке. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shafiev Posted September 21, 2014 · Report post Проблемы с L2 потоками в центр по туннелям бывают тогда, когда их много объединяют между собой, и при этом у всех разные скорости и параметры задержки. Приходит какой-то поток данных, который должен попасть во все L2 порты с центральной железки по туннелям, но данные успевают пролезать не ко всем, часть отбрасывается, часть буферизуется, а со стороны сетевого порта идет трафик такого объема, который, порой, и в скорость интернет подключения упирается - вот от этого и идут все проблемы. Поэтому нельзя объединять много L2 туннелей с разными характеристиками на одной железке. Ок. При насколько больших задержек и джиттеров начинаються проблемы ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted September 21, 2014 · Report post Ок. При насколько больших задержек и джиттеров начинаються проблемы ? Когда я в последний раз реализовывал такую схему, то разница в задержках была порядка 40мс между самым быстрым и медленным каналом. Скорость основного канала интернета была 100 мегабит, сами каналы в офисах по 10-20-50, где как. Наверное все знают, что если запустить поток передачи данных на определенный IP адрес, и выдернуть кабель из этого компьютера, направленные в его сторону данные полетят по всей сети, т.к. никто не знает где находится этот мак адрес. Соответственно такого рода проблема и возникала - например кто-то печатал на сетевом принтере, который догадались подключить по вайфаю, он от большого потока данных потерял доступ к беспроводной сети, и эти данные полетели на все маки, в том числе и в другие офисы, соответственно сам поток данных около 5-7 мегабит, но при количестве туннелей более 10, он расходился по всем, следовательно в каждый офис по 5-7 мегабит, естественно канал интернета на центральном устройстве перегружался, часть данных он успевал отправлять, а часть хранил в буфере и дропал. Соответственно под дропы попадал не только мусорный трафик, но и служебный, что могло и вносить неполадки, которые приводили к остановке передачи данных. Когда сеть перевели на L3 - все проблемы ушли. В каждом офисе установили уникальную подсеть, а раздача белых адресов осуществляется поштучно так же через L3 по OSPF. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted September 22, 2014 · Report post MPLS не хватает в этой истории. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shafiev Posted September 22, 2014 · Report post MPLS не хватает в этой истории. ) Ну это будет тут очень жирно , не ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted September 22, 2014 · Report post ) Ну это будет тут очень жирно , не ? MPLS имеет смысл использовать когда есть большие потоки трафика, порядка 10Г, которые нельзя утилизировать микротиком, тогда используют серьезные железки. Если же скорости не высокие, и предоставлять ничего кроме L2VPN не требуется, то простая L3 сеть с OSPF и EoIP туннели является лучшим решением. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shafiev Posted September 22, 2014 · Report post ) Ну это будет тут очень жирно , не ? MPLS имеет смысл использовать когда есть большие потоки трафика, порядка 10Г, которые нельзя утилизировать микротиком, тогда используют серьезные железки. Если же скорости не высокие, и предоставлять ничего кроме L2VPN не требуется, то простая L3 сеть с OSPF и EoIP туннели является лучшим решением. Она лучше просто потому что проще и легче поддерживать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...