Есть задача сделать VPN канал на границе сети. Вся проблема в том, что дальше этот трафик должен пройти через оч. большое количество разнородных свичей (тут и 2950 и 3550 и 3750 и 6500), и сетей (!) чтобы дойти до адресата.
В первую очередь напрашивается запустить VPN трафик в отдельный VLAN и дальше этот vlan везде прописать.
Как это сделать?
Или может какое то другое решение посоветуете?
погуглите на тему q-in-q, это ваш случай.
>Есть задача сделать VPN канал на границе сети. Вся проблема в том,
>что дальше этот трафик должен пройти через оч. большое количество разнородных
>свичей (тут и 2950 и 3550 и 3750 и 6500), и
>сетей (!) чтобы дойти до адресата.
>В первую очередь напрашивается запустить VPN трафик в отдельный VLAN и дальше
>этот vlan везде прописать.
>Как это сделать?
>Или может какое то другое решение посоветуете?
>Есть задача сделать VPN канал на границе сети. Вся проблема в том,
>что дальше этот трафик должен пройти через оч. большое количество разнородных
>свичей (тут и 2950 и 3550 и 3750 и 6500), и
>сетей (!) чтобы дойти до адресата.
>В первую очередь напрашивается запустить VPN трафик в отдельный VLAN и дальше
>этот vlan везде прописать.
>Как это сделать?
>Или может какое то другое решение посоветуете?Если по дороге от начала VPN до конца только L2-оборудование (или настроенное только как L2) - то VLAN.
Другие варианты зависят от того, что именно подключено к этим коммутаторам (Может там есть PE-рутеры MPLS сети, подключенные к этим коммутаторам :) ).
>Если по дороге от начала VPN до конца только L2-оборудование (или настроенное
>только как L2) - то VLAN.а как в Vlan загнать vpn?
>
>>Если по дороге от начала VPN до конца только L2-оборудование (или настроенное
>>только как L2) - то VLAN.
>
>а как в Vlan загнать vpn?в Vlan вы загоните L2 уровень, а что там поверх L2 бегает свичам будет фиолетово, и отдадите на другой стороне тоже L2.
Пожалуй единственное на что можно нарваться - это MTU, или если вам отдают MPLS over Ethernet то какой-нить свич из вашего "зоопарка" может его распознать как битый Ethernet фрейм.
>в Vlan вы загоните L2 уровень, а что там поверх L2 бегает
>свичам будет фиолетово, и отдадите на другой стороне тоже L2.ну это понятно. Как технически это сделать?
>
>>в Vlan вы загоните L2 уровень, а что там поверх L2 бегает
>>свичам будет фиолетово, и отдадите на другой стороне тоже L2.
>
>ну это понятно. Как технически это сделать?Взаимоподключение у вас с заказчиком какое?
Если Ethernet - то вот вам и вся техника, VLAN прокинули и все.
Если иное (FR? V35? E1 и.т.д.) то хоть укажите чтоли....
>>
>>>в Vlan вы загоните L2 уровень, а что там поверх L2 бегает
>>>свичам будет фиолетово, и отдадите на другой стороне тоже L2.
>>
>>ну это понятно. Как технически это сделать?
>
>Взаимоподключение у вас с заказчиком какое?
>Если Ethernet - то вот вам и вся техника, VLAN прокинули и
>все.Ethernet. Что то я не пойму как это: "прокинули вилан и все".
Есть роутер граничный, который весь трафик обрабатывает, вот как мне отделить vpn трафик для закидывания его в vlan.
>[оверквотинг удален]
>>>ну это понятно. Как технически это сделать?
>>
>>Взаимоподключение у вас с заказчиком какое?
>>Если Ethernet - то вот вам и вся техника, VLAN прокинули и
>>все.
>
>Ethernet. Что то я не пойму как это: "прокинули вилан и все".
>
>Есть роутер граничный, который весь трафик обрабатывает, вот как мне отделить vpn
>трафик для закидывания его в vlan.Вам нужно VPN сквозь рутер прокинуть или с него??? И вообще не совсем понятно набросайте примерную схему, если хотите что б вам помогли.
>[оверквотинг удален]
>>>ну это понятно. Как технически это сделать?
>>
>>Взаимоподключение у вас с заказчиком какое?
>>Если Ethernet - то вот вам и вся техника, VLAN прокинули и
>>все.
>
>Ethernet. Что то я не пойму как это: "прокинули вилан и все".
>
>Есть роутер граничный, который весь трафик обрабатывает, вот как мне отделить vpn
>трафик для закидывания его в vlan.Заказчик у вас берет L3 VPN или L2?
Попробуйте сформулировать начальную задачу:
у заказчика есть 2 точки, вы обе эти точки подключаете к своей сети, и заказчик хочет связь между этими 2-мя точками на уровне L2 или L3?
Если L2 - то
1. от одной точки до другой прокидываете VLAN (если сеть позволяет) и маршрутизаторы тут вообще не участвуют.
2. Если граничные маршрутизаторы cisco, и нет необходимости (или желания или возможности) строить или проверять Ethernet over MPLS - то l2tpv3 позволяет прокинуть Ethernet поверх IP транспорта.
3. Если MPLS уже поднят и пограничники поддерживают Ethernet over MPLS - то пихаете все это в MPLS.
(пункты 2 и 3 на форуме обсуждались)Если L3 - то нормальным решением будет наверное организация MPLS.
Схема такая:
not my router ----- ( INET ) ------ my router ------switch 1------sw2---.....---sw-----server
V P N
>Схема такая:
>
>
>not my router ----- ( INET )
>------ my router ------switch 1------sw2---.....---sw-----server
>
>
>
> V
>P NО!
Если роутер "my router" MPLS умеет:ip vrf VPN_SERV
rd 123:321
route-target export 123:321
route-target import 123:321VPN у тебя приземлен на штеукфейс какой-то:
int Tun 10
ip vrf forwarding VPN_SERV
ip addr <ip_mask_1>int FastEth0/0.123
description To_Server
encapsulation dot1Q 123
ip vrf forwarding VPN_SERV
ip addr <ip_mask_2>ip route vrf VPN_SERV 0.0.0.0 0.0.0.0 <IP_3>
где <IP_3> - IP второго конца VPN-а
а VLAN 123 дотягиваешь до сервера.
на "not my router" надо будет прописать маршрут на подсеть в каторой сидит "server" на <ip_mask_1> , а на "server" прописать соотв. маршруты через <ip_mask_2> .
ага. пасиб.
а без использования mpls никак?
>ага. пасиб.
>а без использования mpls никак?Без MPLS-а тоже можно, но тада гемора много с пересечением IP-ов и взаимным доступом к сетям.
А с MPLS-ом (он у тебя жить-то будет всего на одном роутере) ты полностью изолируешь сети друг от друга.