Как быть если провайдер по VPNL2 не предоставляет QinQ?

Question

[Элдар Иманкул]

Есть головной офис, на нашей сети есть несколько вланов своих (где то 10 вланов), есть на серверной свич (cisco 3560), недавно открылась филиал, там в новом филиале стоит тоже свич (cisco 2950t). Провайдер не дает доступ по VPNL2 поддержку QinQ. Как быть? Так как на новом филиале должны быть точно такие же вланы что и в головном. и собственно порты на свиче не могу настроить на транковый.

Comments

[Дмитрий]

А зачем вам в филиал тянуть L2?

[Элдар Иманкул]

Дмитрий, что бы они запитывались от головного офиса

Answer 1

[iddqda]

на новом филиале должны быть точно такие же вланы что и в головном

поубивал бы.
Ладно когда временные костыли лепят на продакшн, но тащить убогие практики в новые проекты ...
что мешает по L3 с филиалом связность потсроить? Какие сервисы в 2019-м году не умеют в L3?

но если так уж хочется пачку вланов over любой тарнспорт прокиньте через MPLS или VXLAN-ами
оборудование придется поновее найти конечно
можно еще через openvpn накостылить ну и у микротика есть ipoe

Comments

[Valentin Barbolin]

Лучший коментарий! Поддерживаю!

Убить за построение L2 поверх L3 без необходимости на то. Такие схемы применяют при построение ДС. Для объединения филиалов, нужно строить L3.

Банальная проблема которая у вас возникнет, это атака вируса. Если филиал отдельная сеть, то атака на нем и захлебнется. А когда у Вас везде L2 - то погибнет вся компания. Как Вы при такой схеме собираетесь выпуска филиал в интернет, наверное через основной офис?

Люди не понимаю какие проблемы их ждут при реализации таких решений.

[Валентин]

что мешает по L3 с филиалом связность потсроить? Какие сервисы в 2019-м году не умеют в L3?

Эм... ну например E1 over ethernet. Или распределенные кластеры виртуализации. Или зеркалирование потока трафика для последующей аналитики. Мне продолжать?
Ну или, как у автора вопроса, на второй точке стоит L2 коммутатор.

[iddqda]

E1 over ethernet

Зачем если есть E1 over IP

распределенные кластеры виртуализации

vmotion over ip релизнулся в 2018. Но слово кластер стало ругательным гораздо раньше

Или зеркалирование потока трафика для последующей аналитики

идиотская задача передавать копию трафика между сайтами. Но и для такого изврата есть ERSPAN

Мне продолжать?

Да

у автора вопроса, на второй точке стоит L2 коммутатор

который точно так же не умеет в QinQ, который Вы ему предложили реализовать.

[Валентин]

iddqda, как человек, занимающийся сетями 10+ лет скажу вам, не имеет значения, зачем это требуется, просто такие требования. Я видел использование чистого L2 канала для сквозного пропуска мультикаста, для организации внутреннего своего MPLSа. Так же я видел дофига случаев использования именно операторского qinq (например, каналы одной полосы под несколько сервисов).

Answer 2

[Валентин]

Значит сделайте QinQ у себя. Не смотрел по вашим версиям оборудования, но можно сделать как-то через петельку magic-cable (если поддерживает ваше оборудование).

Comments

[Элдар Иманкул]

Можно по подробнее? В головном у нас есть Cisco 3560 а в филиале Cisco 2950T

[Wexter]

и чем это поможет? один фиг у провайдера на PE стоит железка не умеющая QinQ с аксесным портом, любой тегированный трафик она дропает

[Элдар Иманкул]

Wexter, то есть вариантов нет?

[Wexter]

Элдар Иманкул, в первом ответе все варианты. ставьте железки умеющие туннелирование и vlan через туннели, если действительно есть необходимость иметь L2 связность с удалённым офисом. как показывает практика - лучше организовать L3 через этот L2

[Валентин]

Wexter, не умеет qinq != PE с аксесным портом (вы хоть раз видели PE, на которой транкингельзя)?

[Валентин]

Элдар Иманкул, ну погуглите, умеют они qinq или нет.

[Wexter]

Валентин, я к тому что обычно оператор выдаёт VLAN в своей сети, не MPLS.

[Валентин]

Wexter, и что? Вы и упакуете в этот влан сами свои пакеты на своём оборудовании. Я видел целые платы на 76х цисках с патчкордами длиной 5см, идущих из порта в порт.

[Wexter]

Валентин, у вас с логикой всё в порядке? толку от вашего упаковывания, если на стороне оператора режется весь тегированный трафик

[Валентин]

Wexter, но у автора вопроса нет упоминания о том, что режется тегированный трафик. Есть только то, что провайдер не может повесить второй тег. Прочитайте вопрос внимательнее.