Q-in-Q через VPN L2 провайдера

Обсуждение ПО и его настройки
Ответить
Expressimo
Сообщения: 3
Зарегистрирован: 23 апр 2018, 15:48

Здравствуйте! Впервые заказали у провайдера услугу VPN L2 для объединения центрального офиса (MikroTik RB1100AHx2) с филиалом (MikroTik CRS328-24P). Необходимо, чтобы между объектами ходили несколько VLAN'ов, однако провайдер предупредил, что порты на обоих концах объектов должны быть нетегированными (access) и, если необходимо несколько VLAN'ов, то нужно использовать Q-in-Q. Информация по данной теме в Интернете довольно скудная, а настройку нужно будет произвести в короткие сроки. Правильно ли я понимаю, что вся настройка сводится к тому, что на линк-порты на обеих сторонах нужно будет повесить произвольный одинаковый VLAN, после чего в него вложить необходимые VLAN'ы и всё заработает?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Долго думал и....
Expressimo писал(а): 15 мар 2019, 15:43 однако провайдер предупредил, что порты на обоих концах объектов должны быть нетегированными (access) и,
если необходимо несколько VLAN'ов, то нужно использовать Q-in-Q.
Вот эти слова они как бы одно противоречит другому, то есть я понял фразу так:
провайдер говорит - гоните трафик обычный, без тегов, а хотите тег, то делайте вилан в вилане,
но если сделать "первый" вилан, уже будет нарушение, ибо вилан, тег =! не равно access порт.
Если я ошибаюсь в трактовке, поправьте меня....

А лучше:
Позвоните и поговорите, так можно вилан запустить или нет, если можно вилан запустить, то уже
второй, третий думаю провайдеру будет уже не важно, а если нельзя, то нельзя.
Хотя микротик (если с двух сторон) стоит = позволяет в рамках физики L2 натянуть L3 и
уже в рамках L3 на микротиках, запустить сразу 2-3-4 параллельных L2/вилана.

(куда без технических извращений то). ;;-)))



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Да поднять тоннель eoip и гони чего хочешь, провайдеру будет фиолетово, для него это все будет какой-то непонятный трафик, а для вас только вырастет нагрузка на оба устройства, но зато будете гонять вланы как хотите.
Последний раз редактировалось KARaS'b 17 мар 2019, 16:46, всего редактировалось 1 раз.


Expressimo
Сообщения: 3
Зарегистрирован: 23 апр 2018, 15:48

Vlad-2 писал(а): 15 мар 2019, 19:05 Долго думал и....
 
Expressimo писал(а): 15 мар 2019, 15:43 однако провайдер предупредил, что порты на обоих концах объектов должны быть нетегированными (access) и,
если необходимо несколько VLAN'ов, то нужно использовать Q-in-Q.
Вот эти слова они как бы одно противоречит другому, то есть я понял фразу так:
провайдер говорит - гоните трафик обычный, без тегов, а хотите тег, то делайте вилан в вилане,
но если сделать "первый" вилан, уже будет нарушение, ибо вилан, тег =! не равно access порт.
Если я ошибаюсь в трактовке, поправьте меня....

А лучше:
Позвоните и поговорите, так можно вилан запустить или нет, если можно вилан запустить, то уже
второй, третий думаю провайдеру будет уже не важно, а если нельзя, то нельзя.
Хотя микротик (если с двух сторон) стоит = позволяет в рамках физики L2 натянуть L3 и
уже в рамках L3 на микротиках, запустить сразу 2-3-4 параллельных L2/вилана.

(куда без технических извращений то). ;;-)))

Можно запустить произвольный VLAN в access, который будет совпадать на обоих концах линка - сейчас временно стоят Cisco 2960 на обоих концах и связь работает только когда порты в access с совпадающим VLAN - если порты в trunk, то связи нет. На этапе переговоров об услуге шла речь о MPLS L2VPN - как я понимаю, при MPLS L2VPN провайдеру вообще не важно access или trunk у клиента и какие VLAN он пробрасывает - получается по факту предоставили не ту услугу, которую обещали или я ошибаюсь? Вчера пытался поднять Q-in-Q уже на микротиках, но не получилось - правильно ли я понял, что порты коммутаторов (или маршрутизаторов) через которые сквозь провайдера передаётся/принимается VLAN с вложенными VLAN, обязательно должны быть тегированными (trunk)? Говоря о "в рамках физики L2 натянуть L3 и уже в рамках L3 на микротиках, запустить сразу 2-3-4 параллельных L2/вилана", Вы имеете ввиду EoIP?
KARaS'b писал(а): 16 мар 2019, 01:48 Да поднять тоннель eoip и гони чего хочешь, провайдеру будет фиолетово, для него это все будет какой-то непонятный трафик, а для вас только вырастит нагрузка на оба устройства, но зато будете гонять вланы как хотите.
Похоже, что так и придётся поступить. Однако, на сколько мне известно, у данного решения проблемы с масштабируемостью. Ранее я применял его, когда необходимо было объединить главный и удалённый офисы в одну подсеть через VPN - если подсети будут разные, то EoIP также подойдёт?


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Expressimo писал(а): 17 мар 2019, 14:37 Похоже, что так и придётся поступить. Однако, на сколько мне известно, у данного решения проблемы с масштабируемостью. Ранее я применял его, когда необходимо было объединить главный и удалённый офисы в одну подсеть через VPN - если подсети будут разные, то EoIP также подойдёт?
Так вы eoip не объединяйте с сетями за роутерами, а используйте исключительно как костыль аля реальный линк, но со своей подсетью, а дальше маршрутизация и все дела-пироги, вы довольны, провайдер доволен и только железки чуть напряжены обработкой eoip.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Expressimo писал(а): 17 мар 2019, 14:37 услугу, которую обещали или я ошибаюсь? Вчера пытался поднять Q-in-Q уже на микротиках, но не получилось - правильно ли я понял, что порты коммутаторов (или маршрутизаторов) через которые сквозь провайдера передаётся/принимается VLAN с вложенными VLAN, обязательно должны быть тегированными (trunk)?
Я с роутерами циско не работал, не цисковед в этом направлении, но работаю со свитчами для среднего и малого бизнеса,
так там есть специальный режим порта для Q-in-Q, (скриншот)

Изображение
Expressimo писал(а): 17 мар 2019, 14:37 Говоря о "в рамках физики L2 натянуть L3 и уже в рамках L3 на микротиках, запустить сразу 2-3-4 параллельных L2/вилана", Вы имеете ввиду EoIP?
Я имел ввиду сразу несколько вариаций, сначала может туннель обычный(на концах) чтобы было
проще видеть и отслеживать, а внутри уже этого канала, запустить 2-3 туннеля EoIP, где каждый
под свои задачи.
Expressimo писал(а): 17 мар 2019, 14:37 Похоже, что так и придётся поступить. Однако, на сколько мне известно, у данного решения проблемы с масштабируемостью. Ранее я применял его, когда необходимо было объединить главный и удалённый офисы в одну подсеть через VPN - если подсети будут разные, то EoIP также подойдёт?
у EoIP есть минус в том, что он шлёт всё, бродкасты, штормы и так далее, а если каналы разные (UpLink) то ещё и с этим
будут проблемы, поэтому если можно, каждая сеть, лучше её условно "экранировать", то есть выделять на отдельные
бриджи/EoIP интерфейсы, уменьшать домен коллизий.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
seregaelcin
Сообщения: 176
Зарегистрирован: 27 фев 2016, 17:12

Expressimo писал(а): 15 мар 2019, 15:43 что порты на обоих концах объектов должны быть нетегированными (access) и, если необходимо несколько VLAN'ов, то нужно использовать Q-in-Q.
Такая будет схема

[Ваш порт trunk vlans 100-200 <- > ] ..... [порт провайдера енкапсуляция dot 1q tunnel vlan500 access - L2 -канал - порт провайдера енкапсуляция dot 1q tunnel vlan500 access] ..... [< -> Ваш порт trunk vlans 100-200 ]

Вланы 100-200 заворачиваем в 500 и передаем по сети, на обратной стороне распаковываем 500 в 100-200 вланы и раскидываем на микроте


Обладатель Mikrotik RB2011UAS-2HnD-IN
boris.frolov
Сообщения: 3
Зарегистрирован: 03 июн 2019, 16:43

seregaelcin писал(а): 18 мар 2019, 14:40
Expressimo писал(а): 15 мар 2019, 15:43 что порты на обоих концах объектов должны быть нетегированными (access) и, если необходимо несколько VLAN'ов, то нужно использовать Q-in-Q.
Такая будет схема

[Ваш порт trunk vlans 100-200 <- > ] ..... [порт провайдера енкапсуляция dot 1q tunnel vlan500 access - L2 -канал - порт провайдера енкапсуляция dot 1q tunnel vlan500 access] ..... [< -> Ваш порт trunk vlans 100-200 ]

Вланы 100-200 заворачиваем в 500 и передаем по сети, на обратной стороне распаковываем 500 в 100-200 вланы и раскидываем на микроте
Добрый день. А можно пример инкапсуляции на входе и выходе? У меня микротик RB2011.


seregaelcin
Сообщения: 176
Зарегистрирован: 27 фев 2016, 17:12

boris.frolov писал(а): 03 июн 2019, 16:45 Добрый день. А можно пример инкапсуляции на входе и выходе? У меня микротик RB2011.
Нужен пример конфига?
Со стороны провайдера должно выглядеть так (пример для цисок), от вас обычный транковый порт

interface GigabitEthernet1/0/1
switchport access vlan 10
switchport mode dot1q-tunnel

на другой стороне нужно так же убрать верхнюю метку влан


Обладатель Mikrotik RB2011UAS-2HnD-IN
boris.frolov
Сообщения: 3
Зарегистрирован: 03 июн 2019, 16:43

Спасибо за ответ. Создал свою тему, чтобы здесь не было сумбурно =) viewtopic.php?f=1&t=10400


Ответить