Как передать vlan по l2tp?

Question

[Иван Елисеев]

Привет!

Стоит задача, передать по l2tp vlan.
Криво нацарапал, как должно получиться.
Проблем, с тем, как создавать эти вланы или как прокидывать l2tp - нет.
Знаем, умеем. Конкретно для меня, сложность в том, что каждый из этих вланов, должен быть связан (а может быть и нет), с физическим интерфейсом на свитче.
Встала необходимость "усложнить" сеть, для строгого разделения конечных клиентов, и конечно же, повышения безопасности. Руководства, на которые натыкался, либо исключают использование с впн, либо просто слишком много "воды" в себе содержат. Надеюсь, на конструктивные комментарии и отсутствие ответов из разряда "я нашёл за тебя в гугле". Спасибо!

Comments

[Иван Елисеев]

poisons, честно сказать, я в попытках собрать конфигурацию, частенько утыкаюсь в вопрос "нахера"
НО! знаю точно, одну сеть, федерального масштаба, которая собрана таким образом. (магазин)
Да, у них там используется на концах L3 свитч, но конкретно в моём случае, это будет сервер/шлюз.
(т.е., разницы практически никакой)

Сисадмин этой сети, конечно же, под паяльником не поделится реализацией.
Но происходит всё просто - открывается новая точка (в более менее большом городе по одной, как минимум), к ним туда приезжает микротик и циска l3 дешманская, которая уже разгребает эти вланы. участие микротика - это подключиться, и передать циске вланы.

в моём же случае, сложность, это как ещё отправить эти вланы. вполне возможно, что затея делать это микротиком - не лучшая...

[cssman]

Иван Елисеев, а mpls не будет лучшим решением?)

[Иван Елисеев]

poisons, попробую. спасибо за сайт, просто ради интереса клацая, нашёл много полезной информации ;)

[Иван Елисеев]

poisons,

Говорили мне, прочитай 3 раза перед тем как отвечать.
/interface vlan
add interface=ether5 name=vlan100-wifi vlan-id=100
Прибиваете прям гвоздями.

угу, а в туннель мне потом как его отдать? )) проверял, вчера, микротик вые***ся, что мол нельзя так. пока ещё не разобрался почему, это ночью "вдохновение" нападало.

пы.сы.: железка, которая подвергается насилию, оказывается умеет без каких либо эксцессов создавать вланы именно на свитч. вроде ))) (rb3011)

[Andrey Lutsenko]

Иван Елисеев вот тут же на тостере такой вопрос, человек решил вопрос: Vlan через l2tp\IPSec mikrotik: как?

[Иван Елисеев]

Andrey Lutsenko, мне это не подходит.

главный свитч, пять портов, к каждому привязан влан. пуляем эти вланы в л2тп.

принимающий клиент (не один, естественно)
Группа пользователей имеет допуск в влан1,2,3
Следующая группа только влан 1, 2
ещё группа, только 3,4
ещё группа, ко всем (5й влан)

[Andrey Lutsenko]

Иван Елисеев, Иван ну тогда пробовать EoIP.

[Иван Елисеев]

Andrey Lutsenko, уже ;)

Answer 1

[Кирилл Васильев]

Первое это использовать технологию BCP которая позволяет инкапсулировать фреймы в том числе и c тэгами https://wiki.mikrotik.com/wiki/Manual:BCP_bridging...
Второе поднять EoIP туннель внутри уже существующего l2tp туннеля, но это скажем так не лучших ход, может и простой.
Третий использовать MPLS и поднимать VPLS туннели, которым всё ровно что гонять.
Четвертый всё тот же MPLS и тот же VPLS но уже поднимать туннели автоматически основываясь на расширении BGP community Route Distinguisher и import/export Route Target.

Четвертый вариант самый правильный, вы можете организовать избыточность путём добавления l2tp туннелей, а VPLS будет строится по наилучшему, если укажите в TE маршрут.
Так же не требует дополнительных настроек, один раз настроить BGP и VPLS а далее просто прописывать id Route на необходимых маршрутизаторах

Comments

[Иван Елисеев]

Четвертый всё тот же MPLS и тот же VPLS но уже поднимать туннели автоматически основываясь на расширении BGP community Route Distinguisher и import/export Route Target.

А где-то можно найти по этому пункту подробное разъяснение?

[Кирилл Васильев]

Иван Елисеев, https://wiki.mikrotik.com/wiki/Manual:BGP_based_VPLS