forum.opennet.ru - "VPN через свичи" (13)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"VPN через свичи"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"VPN через свичи"
Сообщение от Avanty (ok) on 14-Янв-09, 12:10
Есть задача сделать VPN канал на границе сети. Вся проблема в том, что дальше этот трафик должен пройти через оч. большое количество разнородных свичей (тут и 2950 и 3550 и 3750 и 6500), и сетей (!) чтобы дойти до адресата. В первую очередь напрашивается запустить VPN трафик в отдельный VLAN и дальше этот vlan везде прописать. Как это сделать? Или может какое то другое решение посоветуете?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

VPN через свичи, xyz, 15:03 , 14-Янв-09, (1)
VPN через свичи, Rinatkaa, 21:08 , 14-Янв-09, (2)

VPN через свичи, Avanty, 22:08 , 14-Янв-09, (3)

VPN через свичи, fantom, 09:43 , 15-Янв-09, (4)

VPN через свичи, Avanty, 09:56 , 16-Янв-09, (5)

VPN через свичи, fantom, 10:04 , 16-Янв-09, (6)

VPN через свичи, Avanty, 10:29 , 16-Янв-09, (7)

VPN через свичи, rtu, 11:27 , 16-Янв-09, (8)
VPN через свичи, fantom, 11:29 , 16-Янв-09, (9)

VPN через свичи, Avanty, 12:10 , 16-Янв-09, (10)

VPN через свичи, fantom, 12:28 , 16-Янв-09, (11)

VPN через свичи, Avanty, 13:13 , 16-Янв-09, (12)

VPN через свичи, fantom, 13:35 , 16-Янв-09, (13)

Сообщения по теме [Сортировка по времени | RSS]

1. "VPN через свичи"

Сообщение от xyz on 14-Янв-09, 15:03

погуглите на тему q-in-q, это ваш случай.
>Есть задача сделать VPN канал на границе сети. Вся проблема в том,
>что дальше этот трафик должен пройти через оч. большое количество разнородных
>свичей (тут и 2950 и 3550 и 3750 и 6500), и
>сетей (!) чтобы дойти до адресата.
>В первую очередь напрашивается запустить VPN трафик в отдельный VLAN и дальше
>этот vlan везде прописать.
>Как это сделать?
>Или может какое то другое решение посоветуете?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "VPN через свичи"

Сообщение от Rinatkaa on 14-Янв-09, 21:08

>Есть задача сделать VPN канал на границе сети. Вся проблема в том,
>что дальше этот трафик должен пройти через оч. большое количество разнородных
>свичей (тут и 2950 и 3550 и 3750 и 6500), и
>сетей (!) чтобы дойти до адресата.
>В первую очередь напрашивается запустить VPN трафик в отдельный VLAN и дальше
>этот vlan везде прописать.
>Как это сделать?
>Или может какое то другое решение посоветуете?
Если по дороге от начала VPN до конца только L2-оборудование (или настроенное только как L2) - то VLAN.
Другие варианты зависят от того, что именно подключено к этим коммутаторам (Может там есть PE-рутеры MPLS сети, подключенные к этим коммутаторам :) ).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "VPN через свичи"

Сообщение от Avanty (ok) on 14-Янв-09, 22:08

>Если по дороге от начала VPN до конца только L2-оборудование (или настроенное
>только как L2) - то VLAN.
а как в Vlan загнать vpn?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "VPN через свичи"

Сообщение от fantom (ok) on 15-Янв-09, 09:43

>
>>Если по дороге от начала VPN до конца только L2-оборудование (или настроенное
>>только как L2) - то VLAN.
>
>а как в Vlan загнать vpn?
в Vlan вы загоните L2 уровень, а что там поверх L2 бегает свичам будет фиолетово, и отдадите на другой стороне тоже L2.
Пожалуй единственное на что можно нарваться - это MTU, или если вам отдают MPLS over Ethernet то какой-нить свич из вашего "зоопарка" может его распознать как битый Ethernet фрейм.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "VPN через свичи"

Сообщение от Avanty (ok) on 16-Янв-09, 09:56

>в Vlan вы загоните L2 уровень, а что там поверх L2 бегает
>свичам будет фиолетово, и отдадите на другой стороне тоже L2.
ну это понятно. Как технически это сделать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "VPN через свичи"

Сообщение от fantom (ok) on 16-Янв-09, 10:04

>
>>в Vlan вы загоните L2 уровень, а что там поверх L2 бегает
>>свичам будет фиолетово, и отдадите на другой стороне тоже L2.
>
>ну это понятно. Как технически это сделать?
Взаимоподключение у вас с заказчиком какое?
Если Ethernet - то вот вам и вся техника, VLAN прокинули и все.
Если иное (FR? V35? E1 и.т.д.) то хоть укажите чтоли....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "VPN через свичи"

Сообщение от Avanty (ok) on 16-Янв-09, 10:29

>>
>>>в Vlan вы загоните L2 уровень, а что там поверх L2 бегает
>>>свичам будет фиолетово, и отдадите на другой стороне тоже L2.
>>
>>ну это понятно. Как технически это сделать?
>
>Взаимоподключение у вас с заказчиком какое?
>Если Ethernet - то вот вам и вся техника, VLAN прокинули и
>все.
Ethernet. Что то я не пойму как это: "прокинули вилан и все".
Есть роутер граничный, который весь трафик обрабатывает, вот как мне отделить vpn трафик для  закидывания его в vlan.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "VPN через свичи"

Сообщение от rtu on 16-Янв-09, 11:27

>[оверквотинг удален]
>>>ну это понятно. Как технически это сделать?
>>
>>Взаимоподключение у вас с заказчиком какое?
>>Если Ethernet - то вот вам и вся техника, VLAN прокинули и
>>все.
>
>Ethernet. Что то я не пойму как это: "прокинули вилан и все".
>
>Есть роутер граничный, который весь трафик обрабатывает, вот как мне отделить vpn
>трафик для  закидывания его в vlan.
Вам нужно VPN сквозь рутер прокинуть или с него??? И вообще не совсем понятно набросайте примерную схему, если хотите что б вам помогли.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "VPN через свичи"

Сообщение от fantom (ok) on 16-Янв-09, 11:29

>[оверквотинг удален]
>>>ну это понятно. Как технически это сделать?
>>
>>Взаимоподключение у вас с заказчиком какое?
>>Если Ethernet - то вот вам и вся техника, VLAN прокинули и
>>все.
>
>Ethernet. Что то я не пойму как это: "прокинули вилан и все".
>
>Есть роутер граничный, который весь трафик обрабатывает, вот как мне отделить vpn
>трафик для  закидывания его в vlan.
Заказчик у вас берет L3 VPN или L2?
Попробуйте сформулировать начальную задачу:
у заказчика есть 2 точки, вы обе эти точки подключаете к своей сети, и заказчик хочет связь между этими 2-мя точками на уровне L2 или L3?
Если L2 - то
1. от одной точки до другой прокидываете VLAN (если сеть позволяет) и маршрутизаторы тут вообще не участвуют.
2. Если граничные маршрутизаторы cisco, и нет необходимости (или желания или возможности) строить или проверять Ethernet over MPLS - то l2tpv3 позволяет прокинуть Ethernet поверх IP транспорта.
3. Если MPLS уже поднят и пограничники поддерживают Ethernet over MPLS - то пихаете все это в MPLS.
(пункты 2 и 3 на форуме обсуждались)
Если L3 - то  нормальным решением будет наверное организация MPLS.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "VPN через свичи"

Сообщение от Avanty (ok) on 16-Янв-09, 12:10

Схема такая:

not my router  ----- (   INET   ) ------ my router ------switch 1------sw2---.....---sw-----server

                             V     P     N

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "VPN через свичи"

Сообщение от fantom (ok) on 16-Янв-09, 12:28

>Схема такая:
>
>
>not my router  ----- (   INET   )
>------ my router ------switch 1------sw2---.....---sw-----server
>
>
>
>      V
>P     N
О!
Если роутер "my router" MPLS умеет:
ip vrf VPN_SERV
rd 123:321
route-target export 123:321
route-target import 123:321
VPN у тебя приземлен на штеукфейс какой-то:
int Tun 10
ip vrf forwarding VPN_SERV
ip addr <ip_mask_1>
int FastEth0/0.123
description To_Server
encapsulation dot1Q 123
ip vrf forwarding VPN_SERV
ip addr <ip_mask_2>
ip route vrf VPN_SERV 0.0.0.0 0.0.0.0 <IP_3>
где <IP_3> - IP второго конца VPN-а
а VLAN 123 дотягиваешь до сервера.
на "not my router" надо будет прописать маршрут на подсеть в каторой сидит "server" на <ip_mask_1> , а на "server" прописать соотв. маршруты через <ip_mask_2> .

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "VPN через свичи"

Сообщение от Avanty (ok) on 16-Янв-09, 13:13

ага. пасиб.
а без использования mpls никак?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "VPN через свичи"

Сообщение от fantom (ok) on 16-Янв-09, 13:35

>ага. пасиб.
>а без использования mpls никак?
Без MPLS-а тоже можно, но тада гемора много с пересечением IP-ов и взаимным доступом к сетям.
А с MPLS-ом (он у тебя жить-то будет всего на одном роутере) ты полностью изолируешь сети друг от друга.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "VPN через свичи"
Сообщение от xyz on 14-Янв-09, 15:03
погуглите на тему q-in-q, это ваш случай. >Есть задача сделать VPN канал на границе сети. Вся проблема в том, >что дальше этот трафик должен пройти через оч. большое количество разнородных >свичей (тут и 2950 и 3550 и 3750 и 6500), и >сетей (!) чтобы дойти до адресата. >В первую очередь напрашивается запустить VPN трафик в отдельный VLAN и дальше >этот vlan везде прописать. >Как это сделать? >Или может какое то другое решение посоветуете?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "VPN через свичи"
Сообщение от Rinatkaa on 14-Янв-09, 21:08
>Есть задача сделать VPN канал на границе сети. Вся проблема в том, >что дальше этот трафик должен пройти через оч. большое количество разнородных >свичей (тут и 2950 и 3550 и 3750 и 6500), и >сетей (!) чтобы дойти до адресата. >В первую очередь напрашивается запустить VPN трафик в отдельный VLAN и дальше >этот vlan везде прописать. >Как это сделать? >Или может какое то другое решение посоветуете? Если по дороге от начала VPN до конца только L2-оборудование (или настроенное только как L2) - то VLAN. Другие варианты зависят от того, что именно подключено к этим коммутаторам (Может там есть PE-рутеры MPLS сети, подключенные к этим коммутаторам :) ).
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "VPN через свичи"
	Сообщение от Avanty (ok) on 14-Янв-09, 22:08
	>Если по дороге от начала VPN до конца только L2-оборудование (или настроенное >только как L2) - то VLAN. а как в Vlan загнать vpn?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "VPN через свичи"
	Сообщение от fantom (ok) on 15-Янв-09, 09:43
	> >>Если по дороге от начала VPN до конца только L2-оборудование (или настроенное >>только как L2) - то VLAN. > >а как в Vlan загнать vpn? в Vlan вы загоните L2 уровень, а что там поверх L2 бегает свичам будет фиолетово, и отдадите на другой стороне тоже L2. Пожалуй единственное на что можно нарваться - это MTU, или если вам отдают MPLS over Ethernet то какой-нить свич из вашего "зоопарка" может его распознать как битый Ethernet фрейм.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "VPN через свичи"
	Сообщение от Avanty (ok) on 16-Янв-09, 09:56
	>в Vlan вы загоните L2 уровень, а что там поверх L2 бегает >свичам будет фиолетово, и отдадите на другой стороне тоже L2. ну это понятно. Как технически это сделать?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "VPN через свичи"
	Сообщение от fantom (ok) on 16-Янв-09, 10:04
	> >>в Vlan вы загоните L2 уровень, а что там поверх L2 бегает >>свичам будет фиолетово, и отдадите на другой стороне тоже L2. > >ну это понятно. Как технически это сделать? Взаимоподключение у вас с заказчиком какое? Если Ethernet - то вот вам и вся техника, VLAN прокинули и все. Если иное (FR? V35? E1 и.т.д.) то хоть укажите чтоли....
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "VPN через свичи"
	Сообщение от Avanty (ok) on 16-Янв-09, 10:29
	>> >>>в Vlan вы загоните L2 уровень, а что там поверх L2 бегает >>>свичам будет фиолетово, и отдадите на другой стороне тоже L2. >> >>ну это понятно. Как технически это сделать? > >Взаимоподключение у вас с заказчиком какое? >Если Ethernet - то вот вам и вся техника, VLAN прокинули и >все. Ethernet. Что то я не пойму как это: "прокинули вилан и все". Есть роутер граничный, который весь трафик обрабатывает, вот как мне отделить vpn трафик для закидывания его в vlan.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "VPN через свичи"
	Сообщение от rtu on 16-Янв-09, 11:27
	>[оверквотинг удален] >>>ну это понятно. Как технически это сделать? >> >>Взаимоподключение у вас с заказчиком какое? >>Если Ethernet - то вот вам и вся техника, VLAN прокинули и >>все. > >Ethernet. Что то я не пойму как это: "прокинули вилан и все". > >Есть роутер граничный, который весь трафик обрабатывает, вот как мне отделить vpn >трафик для закидывания его в vlan. Вам нужно VPN сквозь рутер прокинуть или с него??? И вообще не совсем понятно набросайте примерную схему, если хотите что б вам помогли.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "VPN через свичи"
	Сообщение от fantom (ok) on 16-Янв-09, 11:29
	>[оверквотинг удален] >>>ну это понятно. Как технически это сделать? >> >>Взаимоподключение у вас с заказчиком какое? >>Если Ethernet - то вот вам и вся техника, VLAN прокинули и >>все. > >Ethernet. Что то я не пойму как это: "прокинули вилан и все". > >Есть роутер граничный, который весь трафик обрабатывает, вот как мне отделить vpn >трафик для закидывания его в vlan. Заказчик у вас берет L3 VPN или L2? Попробуйте сформулировать начальную задачу: у заказчика есть 2 точки, вы обе эти точки подключаете к своей сети, и заказчик хочет связь между этими 2-мя точками на уровне L2 или L3? Если L2 - то 1. от одной точки до другой прокидываете VLAN (если сеть позволяет) и маршрутизаторы тут вообще не участвуют. 2. Если граничные маршрутизаторы cisco, и нет необходимости (или желания или возможности) строить или проверять Ethernet over MPLS - то l2tpv3 позволяет прокинуть Ethernet поверх IP транспорта. 3. Если MPLS уже поднят и пограничники поддерживают Ethernet over MPLS - то пихаете все это в MPLS. (пункты 2 и 3 на форуме обсуждались) Если L3 - то нормальным решением будет наверное организация MPLS.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "VPN через свичи"
	Сообщение от Avanty (ok) on 16-Янв-09, 12:10
	Схема такая: not my router ----- ( INET ) ------ my router ------switch 1------sw2---.....---sw-----server V P N
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "VPN через свичи"
	Сообщение от fantom (ok) on 16-Янв-09, 12:28
	>Схема такая: > > >not my router ----- ( INET ) >------ my router ------switch 1------sw2---.....---sw-----server > > > > V >P N О! Если роутер "my router" MPLS умеет: ip vrf VPN_SERV rd 123:321 route-target export 123:321 route-target import 123:321 VPN у тебя приземлен на штеукфейс какой-то: int Tun 10 ip vrf forwarding VPN_SERV ip addr <ip_mask_1> int FastEth0/0.123 description To_Server encapsulation dot1Q 123 ip vrf forwarding VPN_SERV ip addr <ip_mask_2> ip route vrf VPN_SERV 0.0.0.0 0.0.0.0 <IP_3> где <IP_3> - IP второго конца VPN-а а VLAN 123 дотягиваешь до сервера. на "not my router" надо будет прописать маршрут на подсеть в каторой сидит "server" на <ip_mask_1> , а на "server" прописать соотв. маршруты через <ip_mask_2> .
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "VPN через свичи"
	Сообщение от Avanty (ok) on 16-Янв-09, 13:13
	ага. пасиб. а без использования mpls никак?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "VPN через свичи"
	Сообщение от fantom (ok) on 16-Янв-09, 13:35
	>ага. пасиб. >а без использования mpls никак? Без MPLS-а тоже можно, но тада гемора много с пересечением IP-ов и взаимным доступом к сетям. А с MPLS-ом (он у тебя жить-то будет всего на одном роутере) ты полностью изолируешь сети друг от друга.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]