Q-in-Q через VPN L2 провайдера
-
- Сообщения: 3
- Зарегистрирован: 23 апр 2018, 15:48
Здравствуйте! Впервые заказали у провайдера услугу VPN L2 для объединения центрального офиса (MikroTik RB1100AHx2) с филиалом (MikroTik CRS328-24P). Необходимо, чтобы между объектами ходили несколько VLAN'ов, однако провайдер предупредил, что порты на обоих концах объектов должны быть нетегированными (access) и, если необходимо несколько VLAN'ов, то нужно использовать Q-in-Q. Информация по данной теме в Интернете довольно скудная, а настройку нужно будет произвести в короткие сроки. Правильно ли я понимаю, что вся настройка сводится к тому, что на линк-порты на обеих сторонах нужно будет повесить произвольный одинаковый VLAN, после чего в него вложить необходимые VLAN'ы и всё заработает?
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Долго думал и....
провайдер говорит - гоните трафик обычный, без тегов, а хотите тег, то делайте вилан в вилане,
но если сделать "первый" вилан, уже будет нарушение, ибо вилан, тег =! не равно access порт.
Если я ошибаюсь в трактовке, поправьте меня....
А лучше:
Позвоните и поговорите, так можно вилан запустить или нет, если можно вилан запустить, то уже
второй, третий думаю провайдеру будет уже не важно, а если нельзя, то нельзя.
Хотя микротик (если с двух сторон) стоит = позволяет в рамках физики L2 натянуть L3 и
уже в рамках L3 на микротиках, запустить сразу 2-3-4 параллельных L2/вилана.
(куда без технических извращений то).
Вот эти слова они как бы одно противоречит другому, то есть я понял фразу так:Expressimo писал(а): ↑15 мар 2019, 15:43 однако провайдер предупредил, что порты на обоих концах объектов должны быть нетегированными (access) и,
если необходимо несколько VLAN'ов, то нужно использовать Q-in-Q.
провайдер говорит - гоните трафик обычный, без тегов, а хотите тег, то делайте вилан в вилане,
но если сделать "первый" вилан, уже будет нарушение, ибо вилан, тег =! не равно access порт.
Если я ошибаюсь в трактовке, поправьте меня....
А лучше:
Позвоните и поговорите, так можно вилан запустить или нет, если можно вилан запустить, то уже
второй, третий думаю провайдеру будет уже не важно, а если нельзя, то нельзя.
Хотя микротик (если с двух сторон) стоит = позволяет в рамках физики L2 натянуть L3 и
уже в рамках L3 на микротиках, запустить сразу 2-3-4 параллельных L2/вилана.
(куда без технических извращений то).
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Да поднять тоннель eoip и гони чего хочешь, провайдеру будет фиолетово, для него это все будет какой-то непонятный трафик, а для вас только вырастет нагрузка на оба устройства, но зато будете гонять вланы как хотите.
Последний раз редактировалось KARaS'b 17 мар 2019, 16:46, всего редактировалось 1 раз.
-
- Сообщения: 3
- Зарегистрирован: 23 апр 2018, 15:48
Можно запустить произвольный VLAN в access, который будет совпадать на обоих концах линка - сейчас временно стоят Cisco 2960 на обоих концах и связь работает только когда порты в access с совпадающим VLAN - если порты в trunk, то связи нет. На этапе переговоров об услуге шла речь о MPLS L2VPN - как я понимаю, при MPLS L2VPN провайдеру вообще не важно access или trunk у клиента и какие VLAN он пробрасывает - получается по факту предоставили не ту услугу, которую обещали или я ошибаюсь? Вчера пытался поднять Q-in-Q уже на микротиках, но не получилось - правильно ли я понял, что порты коммутаторов (или маршрутизаторов) через которые сквозь провайдера передаётся/принимается VLAN с вложенными VLAN, обязательно должны быть тегированными (trunk)? Говоря о "в рамках физики L2 натянуть L3 и уже в рамках L3 на микротиках, запустить сразу 2-3-4 параллельных L2/вилана", Вы имеете ввиду EoIP?
Похоже, что так и придётся поступить. Однако, на сколько мне известно, у данного решения проблемы с масштабируемостью. Ранее я применял его, когда необходимо было объединить главный и удалённый офисы в одну подсеть через VPN - если подсети будут разные, то EoIP также подойдёт?
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Так вы eoip не объединяйте с сетями за роутерами, а используйте исключительно как костыль аля реальный линк, но со своей подсетью, а дальше маршрутизация и все дела-пироги, вы довольны, провайдер доволен и только железки чуть напряжены обработкой eoip.Expressimo писал(а): ↑17 мар 2019, 14:37 Похоже, что так и придётся поступить. Однако, на сколько мне известно, у данного решения проблемы с масштабируемостью. Ранее я применял его, когда необходимо было объединить главный и удалённый офисы в одну подсеть через VPN - если подсети будут разные, то EoIP также подойдёт?
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Я с роутерами циско не работал, не цисковед в этом направлении, но работаю со свитчами для среднего и малого бизнеса,Expressimo писал(а): ↑17 мар 2019, 14:37 услугу, которую обещали или я ошибаюсь? Вчера пытался поднять Q-in-Q уже на микротиках, но не получилось - правильно ли я понял, что порты коммутаторов (или маршрутизаторов) через которые сквозь провайдера передаётся/принимается VLAN с вложенными VLAN, обязательно должны быть тегированными (trunk)?
так там есть специальный режим порта для Q-in-Q, (скриншот)
Я имел ввиду сразу несколько вариаций, сначала может туннель обычный(на концах) чтобы былоExpressimo писал(а): ↑17 мар 2019, 14:37 Говоря о "в рамках физики L2 натянуть L3 и уже в рамках L3 на микротиках, запустить сразу 2-3-4 параллельных L2/вилана", Вы имеете ввиду EoIP?
проще видеть и отслеживать, а внутри уже этого канала, запустить 2-3 туннеля EoIP, где каждый
под свои задачи.
у EoIP есть минус в том, что он шлёт всё, бродкасты, штормы и так далее, а если каналы разные (UpLink) то ещё и с этимExpressimo писал(а): ↑17 мар 2019, 14:37 Похоже, что так и придётся поступить. Однако, на сколько мне известно, у данного решения проблемы с масштабируемостью. Ранее я применял его, когда необходимо было объединить главный и удалённый офисы в одну подсеть через VPN - если подсети будут разные, то EoIP также подойдёт?
будут проблемы, поэтому если можно, каждая сеть, лучше её условно "экранировать", то есть выделять на отдельные
бриджи/EoIP интерфейсы, уменьшать домен коллизий.
-
- Сообщения: 176
- Зарегистрирован: 27 фев 2016, 17:12
Такая будет схемаExpressimo писал(а): ↑15 мар 2019, 15:43 что порты на обоих концах объектов должны быть нетегированными (access) и, если необходимо несколько VLAN'ов, то нужно использовать Q-in-Q.
[Ваш порт trunk vlans 100-200 <- > ] ..... [порт провайдера енкапсуляция dot 1q tunnel vlan500 access - L2 -канал - порт провайдера енкапсуляция dot 1q tunnel vlan500 access] ..... [< -> Ваш порт trunk vlans 100-200 ]
Вланы 100-200 заворачиваем в 500 и передаем по сети, на обратной стороне распаковываем 500 в 100-200 вланы и раскидываем на микроте
Обладатель Mikrotik RB2011UAS-2HnD-IN
-
- Сообщения: 3
- Зарегистрирован: 03 июн 2019, 16:43
Добрый день. А можно пример инкапсуляции на входе и выходе? У меня микротик RB2011.seregaelcin писал(а): ↑18 мар 2019, 14:40Такая будет схемаExpressimo писал(а): ↑15 мар 2019, 15:43 что порты на обоих концах объектов должны быть нетегированными (access) и, если необходимо несколько VLAN'ов, то нужно использовать Q-in-Q.
[Ваш порт trunk vlans 100-200 <- > ] ..... [порт провайдера енкапсуляция dot 1q tunnel vlan500 access - L2 -канал - порт провайдера енкапсуляция dot 1q tunnel vlan500 access] ..... [< -> Ваш порт trunk vlans 100-200 ]
Вланы 100-200 заворачиваем в 500 и передаем по сети, на обратной стороне распаковываем 500 в 100-200 вланы и раскидываем на микроте
-
- Сообщения: 176
- Зарегистрирован: 27 фев 2016, 17:12
Нужен пример конфига?boris.frolov писал(а): ↑03 июн 2019, 16:45 Добрый день. А можно пример инкапсуляции на входе и выходе? У меня микротик RB2011.
Со стороны провайдера должно выглядеть так (пример для цисок), от вас обычный транковый порт
interface GigabitEthernet1/0/1
switchport access vlan 10
switchport mode dot1q-tunnel
на другой стороне нужно так же убрать верхнюю метку влан
Обладатель Mikrotik RB2011UAS-2HnD-IN
-
- Сообщения: 3
- Зарегистрирован: 03 июн 2019, 16:43