pilligrimm, Всё я понял. С L3 коммутатором это наоборот лишний гемор (наверно но это не точно)
Я понял так.
Есть у нас роутер Mikrotik. Все порты у него связаны в Bridge. Мы на этот Brdige навешиваем 300 вланов. Все порты Trunk.
И потом я уже как удобно от этого bridge пускаю Trunk порты на коммутаторы L2 по зданию.
Самая фишка в том, чтоб сам роутер ЗНАЛ все 300 вланов. А свитчам L2 достаточно знать только свои вланы 3-10шт например (но которые в свою очередь обязан знать сам роутер Mikrotik).
pilligrimm, как будут в локалке гулять VLAN это и дураку ясно. Хоть на Роутере маршрутизируй хоть на L3 свиче.
Плюс если ещё понадобиться пробросить тегированный трафик по туннелю? У меня допустим VLAN10 будет и в Москве и во Владике.
Я поэтому до последнего избегаю этого гемора (типа "удобства", ага да 100 раз) - поэтому тупо навшиваю на каждый интерфейс Роутера (ETH1 ETH2 ETH3...) - отдельные подсети.
П. С. Если сможешь мне объяснить технологию я буду счастлив потому что пока в голове каша
Хочешь сказать что они не будут друг друга видеть по IPSEC site-to-site?
Бред какой-то.
А EoIP вообще вредно использовать, там фрейм просто огромный (фрагментация). Единственное применение - это то что он пускает мультикаст по туннелю. Больше применений не нашёл (пока что(
Это головная боль безопасников думать. Моя задача - обеспечить безопасность на уровне L0 - банально запереть шкафы и отключить лишние порты и розетки. ВСЁ!
Для шизов - привязка к MAC и все твои arp spoofing proxy arp и redirect автоматически идут нахер.
Кулхацкер получит писей по губам. Для остального придуманы доменные учётки и антивирус.
не понятно пока что 2 момента:
1) схема когда будет L3 коммутатор (понятна, но именно по настройкам жопа я не уверен что маршрутизация взлетит по Ipsec без GRE или L2tp или...)
2) каким образом будем кидать тегированный трафик по туннелю (без EoIP). Я читал про BCP - капееееец как мудрёно, магия. Да и ситуация нестандартная.