Страница 1 из 1

Q-in-Q через VPN L2 провайдера

Добавлено: 15 мар 2019, 15:43
Expressimo
Здравствуйте! Впервые заказали у провайдера услугу VPN L2 для объединения центрального офиса (MikroTik RB1100AHx2) с филиалом (MikroTik CRS328-24P). Необходимо, чтобы между объектами ходили несколько VLAN'ов, однако провайдер предупредил, что порты на обоих концах объектов должны быть нетегированными (access) и, если необходимо несколько VLAN'ов, то нужно использовать Q-in-Q. Информация по данной теме в Интернете довольно скудная, а настройку нужно будет произвести в короткие сроки. Правильно ли я понимаю, что вся настройка сводится к тому, что на линк-порты на обеих сторонах нужно будет повесить произвольный одинаковый VLAN, после чего в него вложить необходимые VLAN'ы и всё заработает?

Re: Q-in-Q через VPN L2 провайдера

Добавлено: 15 мар 2019, 19:05
Vlad-2
Долго думал и....
Expressimo писал(а): 15 мар 2019, 15:43 однако провайдер предупредил, что порты на обоих концах объектов должны быть нетегированными (access) и,
если необходимо несколько VLAN'ов, то нужно использовать Q-in-Q.
Вот эти слова они как бы одно противоречит другому, то есть я понял фразу так:
провайдер говорит - гоните трафик обычный, без тегов, а хотите тег, то делайте вилан в вилане,
но если сделать "первый" вилан, уже будет нарушение, ибо вилан, тег =! не равно access порт.
Если я ошибаюсь в трактовке, поправьте меня....

А лучше:
Позвоните и поговорите, так можно вилан запустить или нет, если можно вилан запустить, то уже
второй, третий думаю провайдеру будет уже не важно, а если нельзя, то нельзя.
Хотя микротик (если с двух сторон) стоит = позволяет в рамках физики L2 натянуть L3 и
уже в рамках L3 на микротиках, запустить сразу 2-3-4 параллельных L2/вилана.

(куда без технических извращений то). ;;-)))

Re: Q-in-Q через VPN L2 провайдера

Добавлено: 16 мар 2019, 01:48
KARaS'b
Да поднять тоннель eoip и гони чего хочешь, провайдеру будет фиолетово, для него это все будет какой-то непонятный трафик, а для вас только вырастет нагрузка на оба устройства, но зато будете гонять вланы как хотите.

Re: Q-in-Q через VPN L2 провайдера

Добавлено: 17 мар 2019, 14:37
Expressimo
Vlad-2 писал(а): 15 мар 2019, 19:05 Долго думал и....
 
Expressimo писал(а): 15 мар 2019, 15:43 однако провайдер предупредил, что порты на обоих концах объектов должны быть нетегированными (access) и,
если необходимо несколько VLAN'ов, то нужно использовать Q-in-Q.
Вот эти слова они как бы одно противоречит другому, то есть я понял фразу так:
провайдер говорит - гоните трафик обычный, без тегов, а хотите тег, то делайте вилан в вилане,
но если сделать "первый" вилан, уже будет нарушение, ибо вилан, тег =! не равно access порт.
Если я ошибаюсь в трактовке, поправьте меня....

А лучше:
Позвоните и поговорите, так можно вилан запустить или нет, если можно вилан запустить, то уже
второй, третий думаю провайдеру будет уже не важно, а если нельзя, то нельзя.
Хотя микротик (если с двух сторон) стоит = позволяет в рамках физики L2 натянуть L3 и
уже в рамках L3 на микротиках, запустить сразу 2-3-4 параллельных L2/вилана.

(куда без технических извращений то). ;;-)))

Можно запустить произвольный VLAN в access, который будет совпадать на обоих концах линка - сейчас временно стоят Cisco 2960 на обоих концах и связь работает только когда порты в access с совпадающим VLAN - если порты в trunk, то связи нет. На этапе переговоров об услуге шла речь о MPLS L2VPN - как я понимаю, при MPLS L2VPN провайдеру вообще не важно access или trunk у клиента и какие VLAN он пробрасывает - получается по факту предоставили не ту услугу, которую обещали или я ошибаюсь? Вчера пытался поднять Q-in-Q уже на микротиках, но не получилось - правильно ли я понял, что порты коммутаторов (или маршрутизаторов) через которые сквозь провайдера передаётся/принимается VLAN с вложенными VLAN, обязательно должны быть тегированными (trunk)? Говоря о "в рамках физики L2 натянуть L3 и уже в рамках L3 на микротиках, запустить сразу 2-3-4 параллельных L2/вилана", Вы имеете ввиду EoIP?
KARaS'b писал(а): 16 мар 2019, 01:48 Да поднять тоннель eoip и гони чего хочешь, провайдеру будет фиолетово, для него это все будет какой-то непонятный трафик, а для вас только вырастит нагрузка на оба устройства, но зато будете гонять вланы как хотите.
Похоже, что так и придётся поступить. Однако, на сколько мне известно, у данного решения проблемы с масштабируемостью. Ранее я применял его, когда необходимо было объединить главный и удалённый офисы в одну подсеть через VPN - если подсети будут разные, то EoIP также подойдёт?

Re: Q-in-Q через VPN L2 провайдера

Добавлено: 17 мар 2019, 14:46
KARaS'b
Expressimo писал(а): 17 мар 2019, 14:37 Похоже, что так и придётся поступить. Однако, на сколько мне известно, у данного решения проблемы с масштабируемостью. Ранее я применял его, когда необходимо было объединить главный и удалённый офисы в одну подсеть через VPN - если подсети будут разные, то EoIP также подойдёт?
Так вы eoip не объединяйте с сетями за роутерами, а используйте исключительно как костыль аля реальный линк, но со своей подсетью, а дальше маршрутизация и все дела-пироги, вы довольны, провайдер доволен и только железки чуть напряжены обработкой eoip.

Re: Q-in-Q через VPN L2 провайдера

Добавлено: 17 мар 2019, 15:48
Vlad-2
Expressimo писал(а): 17 мар 2019, 14:37 услугу, которую обещали или я ошибаюсь? Вчера пытался поднять Q-in-Q уже на микротиках, но не получилось - правильно ли я понял, что порты коммутаторов (или маршрутизаторов) через которые сквозь провайдера передаётся/принимается VLAN с вложенными VLAN, обязательно должны быть тегированными (trunk)?
Я с роутерами циско не работал, не цисковед в этом направлении, но работаю со свитчами для среднего и малого бизнеса,
так там есть специальный режим порта для Q-in-Q, (скриншот)

Изображение
Expressimo писал(а): 17 мар 2019, 14:37 Говоря о "в рамках физики L2 натянуть L3 и уже в рамках L3 на микротиках, запустить сразу 2-3-4 параллельных L2/вилана", Вы имеете ввиду EoIP?
Я имел ввиду сразу несколько вариаций, сначала может туннель обычный(на концах) чтобы было
проще видеть и отслеживать, а внутри уже этого канала, запустить 2-3 туннеля EoIP, где каждый
под свои задачи.
Expressimo писал(а): 17 мар 2019, 14:37 Похоже, что так и придётся поступить. Однако, на сколько мне известно, у данного решения проблемы с масштабируемостью. Ранее я применял его, когда необходимо было объединить главный и удалённый офисы в одну подсеть через VPN - если подсети будут разные, то EoIP также подойдёт?
у EoIP есть минус в том, что он шлёт всё, бродкасты, штормы и так далее, а если каналы разные (UpLink) то ещё и с этим
будут проблемы, поэтому если можно, каждая сеть, лучше её условно "экранировать", то есть выделять на отдельные
бриджи/EoIP интерфейсы, уменьшать домен коллизий.

Re: Q-in-Q через VPN L2 провайдера

Добавлено: 18 мар 2019, 14:40
seregaelcin
Expressimo писал(а): 15 мар 2019, 15:43 что порты на обоих концах объектов должны быть нетегированными (access) и, если необходимо несколько VLAN'ов, то нужно использовать Q-in-Q.
Такая будет схема

[Ваш порт trunk vlans 100-200 <- > ] ..... [порт провайдера енкапсуляция dot 1q tunnel vlan500 access - L2 -канал - порт провайдера енкапсуляция dot 1q tunnel vlan500 access] ..... [< -> Ваш порт trunk vlans 100-200 ]

Вланы 100-200 заворачиваем в 500 и передаем по сети, на обратной стороне распаковываем 500 в 100-200 вланы и раскидываем на микроте

Re: Q-in-Q через VPN L2 провайдера

Добавлено: 03 июн 2019, 16:45
boris.frolov
seregaelcin писал(а): 18 мар 2019, 14:40
Expressimo писал(а): 15 мар 2019, 15:43 что порты на обоих концах объектов должны быть нетегированными (access) и, если необходимо несколько VLAN'ов, то нужно использовать Q-in-Q.
Такая будет схема

[Ваш порт trunk vlans 100-200 <- > ] ..... [порт провайдера енкапсуляция dot 1q tunnel vlan500 access - L2 -канал - порт провайдера енкапсуляция dot 1q tunnel vlan500 access] ..... [< -> Ваш порт trunk vlans 100-200 ]

Вланы 100-200 заворачиваем в 500 и передаем по сети, на обратной стороне распаковываем 500 в 100-200 вланы и раскидываем на микроте
Добрый день. А можно пример инкапсуляции на входе и выходе? У меня микротик RB2011.

Re: Q-in-Q через VPN L2 провайдера

Добавлено: 04 июн 2019, 18:31
seregaelcin
boris.frolov писал(а): 03 июн 2019, 16:45 Добрый день. А можно пример инкапсуляции на входе и выходе? У меня микротик RB2011.
Нужен пример конфига?
Со стороны провайдера должно выглядеть так (пример для цисок), от вас обычный транковый порт

interface GigabitEthernet1/0/1
switchport access vlan 10
switchport mode dot1q-tunnel

на другой стороне нужно так же убрать верхнюю метку влан

Re: Q-in-Q через VPN L2 провайдера

Добавлено: 05 июн 2019, 11:53
boris.frolov
Спасибо за ответ. Создал свою тему, чтобы здесь не было сумбурно =) viewtopic.php?f=1&t=10400