[shafiev]

Здравствуйте . Насколько мне известно (прошу поправить ) без шифрации туннели можно делать или посредством VXLAN или Mikrotik EoIP или gre .

Коллеги исходя с боевого опыта что посоветуете использовать?

 

Железки tplink/openwrt или обычные маломощные тазики. Траф маленький.

[s.lobanov]

я бы порекомендовал l2tpv3 или vxlan. nv-gre имеет шанс умереть, а vxlan все потихоньку признают. l2tpv3 это то, что сейчас работает на нескольких вендорах, включая linux. vxlan относительно новая штука, могут всплыть баги реализацим

 

mikrotik eoip это привязка к вендору, что всегда плохо

[shafiev]

я бы порекомендовал l2tpv3 или vxlan. nv-gre имеет шанс умереть, а vxlan все потихоньку признают. l2tpv3 это то, что сейчас работает на нескольких вендорах, включая linux. vxlan относительно новая штука, могут всплыть баги реализацим

 

mikrotik eoip это привязка к вендору, что всегда плохо

Спасибо nuclearcat за реализацию eoip в опенсорсе .

L2tpv3 разве умеет просто делать нешифрованный туннель и чем она лучше чем тот же openvpn

Просто вопрос ещё в том насколько они позволяют автор переподключение при дропах или при обрыве канала?

[VVSina]

ipip ?

[s.lobanov]

ipip ?

речь же шла про ethernet over ip, а не про ip over ip

[s.lobanov]

Спасибо nuclearcat за реализацию eoip в опенсорсе .

 

оно юзерспейс? если да, то оно заведомо проигрывает ядерным тунелям. а если оно kernel-space, то со временем может перестать собираться ибо не закоммичено в апстрим.

 

L2tpv3 разве умеет просто делать нешифрованный туннель

оно вообще не умеет шифровать. для шифрования при использовании l2tp/v3 нужно использовать сторонние средства

 

и чем она лучше чем тот же openvpn

тем, что kernel-space в linux-е, а значит можно получить тунели задёшево на всяком soho-барахле

[shafiev]

Спасибо nuclearcat за реализацию eoip в опенсорсе .

 

оно юзерспейс? если да, то оно заведомо проигрывает ядерным тунелям. а если оно kernel-space, то со временем может перестать собираться ибо не закоммичено в апстрим.

 

L2tpv3 разве умеет просто делать нешифрованный туннель

оно вообще не умеет шифровать. для шифрования при использовании l2tp/v3 нужно использовать сторонние средства

 

и чем она лучше чем тот же openvpn

тем, что kernel-space в linux-е, а значит можно получить тунели задёшево на всяком soho-барахле

 

да оно юзерспейс .

Насколько стабилен этот l2tp если потоки будут сходиться в центр , просто главное чтобы при сессии залипание сессий не было , как с тем же ipsec ?

[Saab95]

Проблемы с L2 потоками в центр по туннелям бывают тогда, когда их много объединяют между собой, и при этом у всех разные скорости и параметры задержки. Приходит какой-то поток данных, который должен попасть во все L2 порты с центральной железки по туннелям, но данные успевают пролезать не ко всем, часть отбрасывается, часть буферизуется, а со стороны сетевого порта идет трафик такого объема, который, порой, и в скорость интернет подключения упирается - вот от этого и идут все проблемы. Поэтому нельзя объединять много L2 туннелей с разными характеристиками на одной железке.

[shafiev]

Проблемы с L2 потоками в центр по туннелям бывают тогда, когда их много объединяют между собой, и при этом у всех разные скорости и параметры задержки. Приходит какой-то поток данных, который должен попасть во все L2 порты с центральной железки по туннелям, но данные успевают пролезать не ко всем, часть отбрасывается, часть буферизуется, а со стороны сетевого порта идет трафик такого объема, который, порой, и в скорость интернет подключения упирается - вот от этого и идут все проблемы. Поэтому нельзя объединять много L2 туннелей с разными характеристиками на одной железке.

 

Ок. При насколько больших задержек и джиттеров начинаються проблемы ?

[Saab95]

Ок. При насколько больших задержек и джиттеров начинаються проблемы ?

 

Когда я в последний раз реализовывал такую схему, то разница в задержках была порядка 40мс между самым быстрым и медленным каналом. Скорость основного канала интернета была 100 мегабит, сами каналы в офисах по 10-20-50, где как.

 

Наверное все знают, что если запустить поток передачи данных на определенный IP адрес, и выдернуть кабель из этого компьютера, направленные в его сторону данные полетят по всей сети, т.к. никто не знает где находится этот мак адрес. Соответственно такого рода проблема и возникала - например кто-то печатал на сетевом принтере, который догадались подключить по вайфаю, он от большого потока данных потерял доступ к беспроводной сети, и эти данные полетели на все маки, в том числе и в другие офисы, соответственно сам поток данных около 5-7 мегабит, но при количестве туннелей более 10, он расходился по всем, следовательно в каждый офис по 5-7 мегабит, естественно канал интернета на центральном устройстве перегружался, часть данных он успевал отправлять, а часть хранил в буфере и дропал. Соответственно под дропы попадал не только мусорный трафик, но и служебный, что могло и вносить неполадки, которые приводили к остановке передачи данных.

 

Когда сеть перевели на L3 - все проблемы ушли. В каждом офисе установили уникальную подсеть, а раздача белых адресов осуществляется поштучно так же через L3 по OSPF.

[GrandPr1de]

MPLS не хватает в этой истории.

[shafiev]

MPLS не хватает в этой истории.

 

) Ну это будет тут очень жирно , не ?

[Saab95]

) Ну это будет тут очень жирно , не ?

 

MPLS имеет смысл использовать когда есть большие потоки трафика, порядка 10Г, которые нельзя утилизировать микротиком, тогда используют серьезные железки. Если же скорости не высокие, и предоставлять ничего кроме L2VPN не требуется, то простая L3 сеть с OSPF и EoIP туннели является лучшим решением.

[shafiev]

) Ну это будет тут очень жирно , не ?

 

MPLS имеет смысл использовать когда есть большие потоки трафика, порядка 10Г, которые нельзя утилизировать микротиком, тогда используют серьезные железки. Если же скорости не высокие, и предоставлять ничего кроме L2VPN не требуется, то простая L3 сеть с OSPF и EoIP туннели является лучшим решением.

 

Она лучше просто потому что проще и легче поддерживать?