отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

VPLS over FlexVPN

День добрый.

Вопрос по двум смежным веткам, как безопасность, так и маршрутизация - но, думаю, здесь он более уместен.

Имеется сетка на FlexVPN (hub and spoke) с полным резервированием как каналов связи, так и устройств (29е и 19е серии маршрутизаторов), встала задача прокинуть поверх нее на всех точках один vlan, отделенный от остальной сети - сетку для видеокамер и пр.

Насколько я понимаю, смотреть следует в сторону VPLS, так как соединения p2p на основе xconnect не прокатят (из центра нужно строить point-to-multipoint).

Подскажите, пожалуйста, какие доки на эту тему почитать и какие подводные камни могут быть если кто-то уже подобное делал - от поисков мануалов по mpls уже, если честно, каша в голове.

PS пока не хотелось бы создавать кейс в TAC - время есть, хочется попытаться разобраться более-менее самостоятельно.

Теги (3)
7 ОТВЕТ.

VPLS over FlexVPN

Прежде всего: надеюсь, вы понимаете, что это именно тот случай, когда сетевой инженер должен упереться рогом и заявить "это технически нереализуемо, давайте делать отдельные сети для каждого офиса". Я не могу представить себе ничего хуже, чем один L2 сегмент, растянутый на большое количество мелких локаций. И я (по опыту участия в похожем проекте) уверен, что люди, выкатившие вам задачу, сами не понимают, чего хотят. У меня тоже сначала просили L2 всех со всеми, но вскоре оказалось, что можно и L3... Ну нет таких требований в XXI веке.

Дальше. Если все-таки надо - рассмотрите промежуточные решения вроде proxy arp. Эта штука позволит хостам думать, что они все находятся в одной подсети, когда на самом деле это не так, и не требуется лишних инкапсуляций и лишней конфигурации. Один момент: L2 мультикаст и броадкаст между ними ходить не будут.

Что до VPLS. Пусть люди, более знакомые с матчастью, меня поправят, если я вру, но судя по

https://www.ciscolive365.com/connect/sessionDetail.ww?SESSION_ID=6051 - Flex не работает с транспортными метками. Да и вообще, с документацией по этому направлению беда. Похоже, VRFы можно, но полноценного MPLS не будет, в отличие от DMVPN.

Если все-таки не удастся уговорить всех на L3, то озвучьте конкретные требования, будем думать.

TAC скорее всего вас завернет и будет прав - они не занимаются архитектурными вопросами (тем более такими отвратительными), тут к account manager'у уместнее обратиться.

New Member

VPLS over FlexVPN

Спасибо за ответ!

По поводу "упереться рогом" - не получится. Возвращаясь к конкретике, есть требование выделить сеть видеонаблюдения в отдельный vlan, растянутый по филиалам. Spoke to spoke для этого vlan не нужен. Доступа у остальной сетки к нему быть не должно. Если это технически реализуемо - это необходимо сделать. Плюс, неужели неинтересно поковыряться с новой задачей? Думаю, что интересно

Перепиливать и переделывать FlexVPN, так разрекламированный везде и всюду, уже не вариант, хотя, честно говоря, я изначально хотел строить DMVPN. В итоге реализовал, так сказать, "задел на будущее".

А по сути, насколько сильно будет отличаться реализация vpls, если, по большому счету, все упаковывается в gre и затем шифруется? vpls over gre вроде как должен работать.

VPLS over FlexVPN

"есть требование выделить сеть видеонаблюдения в отдельный vlan, растянутый по филиалам."

С технической точки зрения - зачем? Дискаверинг по броадкастам? Обмен по L2 мультикасту? Жестко прописанное на контроллере требование "чтоб все камеры были в моей подсети"? Я очень сомневаюсь, что это так.

Flex может растянуть VRF по филиалам. Можно сделать по VLANу в каждом филиале, и они будут полностью изолированы от обычного пользовательского трафика. Каждый VLAN при этом локализован на своей площадке.

"Плюс, неужели неинтересно поковыряться с новой задачей?"

С этой? Нет. Вы замучаетесь сопровождать такую архитектуру по причине ее полной ущербности. Сейчас все уходят от растянутого L2, даже растянутого в пределах одной локации. Это и сложности с управлением трафика, и общая область отказа (не слишком сложно убить весь L2 сегмент, накосячив в любом его месте, даже не в центральной точке в случае звезды).

"по большому счету, все упаковывается в gre и затем шифруется?"

Шифрование - штука опциональная и в данном случае несущественная. Ну и технически, шифруется сам GRE.

В 2547oDMVPN между хабами и споками гоняется обычный LDP. Метка вешается после GRE и до внутреннего IP заголовка. Хаб - обычный P роутер, ему нет дела до того, какой сервис использует метки, сколько их и т.д. А вот в Flex меток нет, там свой подход, ориентированный на VRFы.

New Member

VPLS over FlexVPN

Хорошо, допустим, уходим от L2 и делаем по vrf в каждом филиале для этой отдельной подсети.

Как передать трафик из этого vrf в vrf на другом маршрутизаторе через туннели без mpls?

Придется строить отдельные туннели под эту задачу?

VPLS over FlexVPN

Хотя... Смотрю я на конфиги внимательнее и вижу, что нормально там транспортные метки расходятся между хабами и споками. Их BGP распространяет. Нет, отдельные туннельные интерфейсы не нужны.

https://www.ciscolive365.com/connect/sessionDetail.ww?SESSION_ID=6051

Зарегистрируйтесь и скачайте либо session presentation (там есть примеры конфигов), либо видео. Как ни странно, в других местах найти это не удается. Но, впрочем, никакой особой специфики тут нет.

New Member

VPLS over FlexVPN

Спасибо, буду изучать!

Cisco Employee

VPLS over FlexVPN

Нда, есть такая буква в нашем слове. VPLS тут конечно не при чем, а MPLS over DMVPN (2547oDMVPN) и over FlexVPN есть давно и используется некоторыми крупными клиентами. Причем для Flex в топологии hub-spoke (без spoke-spoke) я видел конфиги, где метки раздаются LDP и конфиги, где eBGP. В 15.4 (по-моему) задумались о поддержке spoke-spoke, чтобы работал как DMVPN Phase3 shortcut/redirect в mGRE, так и spoke-spoke на Flex vaccess. Это в очередной раз привело к переработке NHRP, чтобы тегированные data packets вызывали посылку NHRP redirect, добавлению специального механизма тегирования NHRP-пакетов, модификациям в CEF. Так что вещь суровая. Должно уже быть на ISR G2 и ASR1k. В оригинале это называется MPLS over Dynamic IPSec Tunnel, не знаю как официально, т.к. сайт сегодня не работает.

214
Просмотры
5
Полезный материал
7
Ответы
СоздатьДля создания публикации, пожалуйста в систему