https://mobile.opennet.me/openforum/vsluhforumID6/18007.html Есть задача сделать VPN канал на границе сети. Вся проблема в том, что дальше этот трафик должен пройти через оч. большое количество разнородных свичей (тут и 2950 и 3550 и 3750 и 6500), и сетей (!) чтобы дойти до адресата. <br>В первую очередь напрашивается запустить VPN трафик в отдельный VLAN и дальше этот vlan везде прописать. <br>Как это сделать?<br>Или может какое то другое решение посоветуете?<br> https://mobile.opennet.me/openforum/vsluhforumID6/18007.html#13 Fri, 16 Jan 2009 10:35:32 GMT &gt;ага. пасиб. <br>&gt;а без использования mpls никак? <br><br>Без MPLS-а тоже можно, но тада гемора много с пересечением IP-ов и взаимным доступом к сетям.<br>А с MPLS-ом (он у тебя жить-то будет всего на одном роутере) ты полностью изолируешь сети друг от друга.<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID6/18007.html#12 Fri, 16 Jan 2009 10:13:20 GMT ага. пасиб.<br>а без использования mpls никак?<br><br><br><br> https://mobile.opennet.me/openforum/vsluhforumID6/18007.html#11 Fri, 16 Jan 2009 09:28:23 GMT &gt;Схема такая: <br>&gt;<br>&gt;<br>&gt;not my router ----- ( INET ) <br>&gt;------ my router ------switch 1------sw2---.....---sw-----server <br>&gt;<br>&gt; <br>&gt; <br>&gt; V <br>&gt;P N <br><br>О!<br>Если роутер "my router" MPLS умеет:<br><br>ip vrf VPN_SERV<br> rd 123:321<br> route-target export 123:321<br> route-target import 123:321<br><br>VPN у тебя приземлен на штеукфейс какой-то:<br>int Tun 10<br> ip vrf forwarding VPN_SERV<br> ip addr &lt;ip_mask_1&gt;<br><br>int FastEth0/0.123 <br> description To_Server<br> encapsulation dot1Q 123<br> ip vrf forwarding VPN_SERV<br> ip addr &lt;ip_mask_2&gt; <br><br>ip route vrf VPN_SERV 0.0.0.0 0.0.0.0 &lt;IP_3&gt;<br><br>где &lt;IP_3&gt; - IP второго конца VPN-а<br><br>а VLAN 123 дотягиваешь до сервера.<br><br>на "not my router" надо будет прописать маршрут на подсеть в каторой сидит "server" на &lt;ip_mask_1&gt; , а на "server" прописать соотв. маршруты через &lt;ip_mask_2&gt; .<br> https://mobile.opennet.me/openforum/vsluhforumID6/18007.html#10 Fri, 16 Jan 2009 09:10:20 GMT Схема такая:<br><br> <br>not my router ----- ( INET ) ------ my router ------switch 1------sw2---.....---sw-----server<br> <br> V P N <br> https://mobile.opennet.me/openforum/vsluhforumID6/18007.html#9 Fri, 16 Jan 2009 08:29:20 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;ну это понятно. Как технически это сделать? <br>&gt;&gt;<br>&gt;&gt;Взаимоподключение у вас с заказчиком какое? <br>&gt;&gt;Если Ethernet - то вот вам и вся техника, VLAN прокинули и <br>&gt;&gt;все. <br>&gt;<br>&gt;Ethernet. Что то я не пойму как это: "прокинули вилан и все". <br>&gt;<br>&gt;Есть роутер граничный, который весь трафик обрабатывает, вот как мне отделить vpn <br>&gt;трафик для закидывания его в vlan. <br><br>Заказчик у вас берет L3 VPN или L2?<br><br>Попробуйте сформулировать начальную задачу:<br>у заказчика есть 2 точки, вы обе эти точки подключаете к своей сети, и заказчик хочет связь между этими 2-мя точками на уровне L2 или L3?<br>Если L2 - то<br>1. от одной точки до другой прокидываете VLAN (если сеть позволяет) и маршрутизаторы тут вообще не участвуют.<br>2. Если граничные маршрутизаторы cisco, и нет необходимости (или желания или возможности) строить или проверять Ethernet over MPLS - то l2tpv3 позволяет прокинуть Ethernet поверх IP транспорта.<br>3. Если MPLS уже поднят и пограничники поддерживают Ethernet over MPLS - то пихаете все https://mobile.opennet.me/openforum/vsluhforumID6/18007.html#8 Fri, 16 Jan 2009 08:27:51 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;ну это понятно. Как технически это сделать? <br>&gt;&gt;<br>&gt;&gt;Взаимоподключение у вас с заказчиком какое? <br>&gt;&gt;Если Ethernet - то вот вам и вся техника, VLAN прокинули и <br>&gt;&gt;все. <br>&gt;<br>&gt;Ethernet. Что то я не пойму как это: "прокинули вилан и все". <br>&gt;<br>&gt;Есть роутер граничный, который весь трафик обрабатывает, вот как мне отделить vpn <br>&gt;трафик для закидывания его в vlan.<br><br>Вам нужно VPN сквозь рутер прокинуть или с него??? И вообще не совсем понятно набросайте примерную схему, если хотите что б вам помогли. <br><br><br> https://mobile.opennet.me/openforum/vsluhforumID6/18007.html#7 Fri, 16 Jan 2009 07:29:13 GMT &gt;&gt;<br>&gt;&gt;&gt;в Vlan вы загоните L2 уровень, а что там поверх L2 бегает <br>&gt;&gt;&gt;свичам будет фиолетово, и отдадите на другой стороне тоже L2. <br>&gt;&gt;<br>&gt;&gt;ну это понятно. Как технически это сделать? <br>&gt;<br>&gt;Взаимоподключение у вас с заказчиком какое? <br>&gt;Если Ethernet - то вот вам и вся техника, VLAN прокинули и <br>&gt;все. <br><br>Ethernet. Что то я не пойму как это: "прокинули вилан и все".<br>Есть роутер граничный, который весь трафик обрабатывает, вот как мне отделить vpn трафик для закидывания его в vlan.<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID6/18007.html#6 Fri, 16 Jan 2009 07:04:11 GMT &gt;<br>&gt;&gt;в Vlan вы загоните L2 уровень, а что там поверх L2 бегает <br>&gt;&gt;свичам будет фиолетово, и отдадите на другой стороне тоже L2. <br>&gt;<br>&gt;ну это понятно. Как технически это сделать? <br><br>Взаимоподключение у вас с заказчиком какое?<br>Если Ethernet - то вот вам и вся техника, VLAN прокинули и все.<br>Если иное (FR? V35? E1 и.т.д.) то хоть укажите чтоли....<br><br> https://mobile.opennet.me/openforum/vsluhforumID6/18007.html#5 Fri, 16 Jan 2009 06:56:48 GMT <br>&gt;в Vlan вы загоните L2 уровень, а что там поверх L2 бегает <br>&gt;свичам будет фиолетово, и отдадите на другой стороне тоже L2. <br><br>ну это понятно. Как технически это сделать?<br>