Добавить в корзинуПозвонить
Найти в Дзене
Сисадмин
3026 подписчиков

Мясорубка L2 туннелей на ровном месте

1159
3 мин
Ты хочешь протянуть L2-сеть через интернет. Ну или хотя бы через два офиса. Тебе седой начальника говорит: “Сделай EoIP!” — а ты такой: “Да ну, 2007-й уже прошёл”. И тут ты из кармана достаешь 4 толстых мана и решаешь сравнить их на ринге и выбрать, OMG! EoIP — подпольный микротик-боец, дерётся трубой Ethernet через IP
VXLAN — корпоративный маг с UDP-посохом и мантиями стандарта
GRETAP — суровый линуксоид, который не говорит, он инкапсулирует
L2TPv3 — странный дядя из 2005-го, который всё ещё жив, хотя никто не понимает, как Так давай разберемся, кого выбрать из этих бойцов выбрать, чтобы потом не бегать по серверной с выдернутым патч-кордом и криком “почему ARP не ходит?!”. Кто придумал: MikroTik
Работает с: Только MikroTik (иногда Linux через колхоз)
Уровень: L2
Протокол: IP Protocol 47 (типа GRE)
Шифрование: Только если сам прикрутишь IPSec
Плюсы: Минусы: Когда брать:
Ты на MikroTik, тебе лень, и прод уже вчера. Кто придумал: VMware + Cisco + IETF
Работает с: Linux, ESXi
Оглавление
Сравнение EoIP, VXLAN, L2TPv3, GRETAP
Сравнение EoIP, VXLAN, L2TPv3, GRETAP

Ты хочешь протянуть L2-сеть через интернет. Ну или хотя бы через два офиса. Тебе седой начальника говорит: “Сделай EoIP!” — а ты такой: “Да ну, 2007-й уже прошёл”. И тут ты из кармана достаешь 4 толстых мана и решаешь сравнить их на ринге и выбрать, OMG!

EoIP — подпольный микротик-боец, дерётся трубой Ethernet через IP

VXLAN — корпоративный маг с UDP-посохом и мантиями стандарта

GRETAP — суровый линуксоид, который не говорит, он инкапсулирует

L2TPv3 — странный дядя из 2005-го, который всё ещё жив, хотя никто не понимает, как

Так давай разберемся, кого выбрать из этих бойцов выбрать, чтобы потом не бегать по серверной с выдернутым патч-кордом и криком “почему ARP не ходит?!”.

EoIP (Ethernet over IP) — "микро-магия на допинге"

Кто придумал: MikroTik

Работает с: Только MikroTik (иногда Linux через колхоз)

Уровень: L2

Протокол: IP Protocol 47 (типа GRE)

Шифрование: Только если сам прикрутишь IPSec

Плюсы:

  • В 2 клика на MikroTik
  • Тянет весь L2-шлак: ARP, VLAN, STP, DHCP и даже боль
  • Отлично дружит с VRRP

Минусы:

  • Абсолютно нестандартизирован, капризен как брошенка
  • Нет защиты — весь трафик как на ладони
  • Производительность так себе, особенно с NAT
  • MTU болит почти всегда

Когда брать:

Ты на MikroTik, тебе лень, и прод уже вчера.

VXLAN — Virtual eXtensible LAN, или “Летучая VLAN 9000-го уровня”

Кто придумал: VMware + Cisco + IETF

Работает с: Linux, ESXi, Hyper-V, роутеры, коты с OVS

Уровень: L2 поверх L3

Протокол: UDP 4789

Шифрование: Нет, но можно обернуть в IPSec/WireGuard

🔥 Плюсы:

  • Масштабируется как чёрт. Поддерживает тысячи туннелей, хоть в датацентре, хоть в облаке.
  • Официальный стандарт. Работает на Cisco, Juniper, Linux, Hyper-V, ESXi, на коте, если у него есть iproute2.
  • Встроен в ядро Linux, Open vSwitch, VMware NSX и другие крутые штуки.
  • Можно натянуть на UDP, обойти NAT, даже шифровать в обертке.

💀 Минусы:

  • Нужна настройка. Просто так на домашнем роутере не включишь, надо понимать, что не тот уровень.
  • Не таскает мультикаст без колхоза. Надо пилить multicast routing или использовать EVPN.
  • МТУ головного мозга. VXLAN добавляет заголовков больше, чем EoIP — MTU 1550 и выше желательна.
  • Для реального Layer 2 нужно костыли. Сам по себе VXLAN не делает полноценный Ethernet switch, надо ещё бриджи, VTEP и ритуал с бубном.

Когда брать:

Ты серьёзный человек. У тебя Proxmox, кластер, облако, мозг.

GRETAP — "классический линуксовый варвар"

Кто придумал: Linux kernel devs с прямотой рубанка

Работает с: Linux, иногда Mikrotik, Cisco через извращения

Уровень: L2

Протокол: GRE + Ethernet (IP Protocol 47)

Шифрование: Только если поверх VPN

Плюсы:

  • Встроен в ядро Linux (ip link add gretap0 type gretap…)
  • Тащит весь Ethernet-фрейм
  • Работает даже по NAT (если сильно попросить)

Минусы:

  • Без VPN — дыра в безопасности
  • Очень чувствителен к MTU и обрыву
  • Не дружит с multicast без танцев

Когда брать:

Ты в Linux, не боишься терминала, и хочешь “всё как есть, но по IP”.

L2TPv3 — "олдскульный дядя из 00-х, но всё ещё умеет"

Кто придумал: IETF (RFC 3931)

Работает с: Linux, Cisco, Juniper

Уровень: L2 (в отличие от обычного L2TP, который L2-по-имени, но L3-по-делу)

Протокол: UDP или IP

Шифрование: Только если поверх IPSec

Плюсы:

  • Полноценный Ethernet over IP
  • Есть в ядре Linux, поддерживается большими вендорами
  • Стандартизирован

Минусы:

  • Настройка — как инструкция к космическому кораблю
  • Нужно прям руками задавать Session ID, Cookie, иначе ничего не работает
  • Документация написана так, будто автор не любил людей

Когда брать:

Ты либо на Cisco, либо мазохист, либо у тебя compliance требует “официальный L2 туннель по RFC”.

-2

Итог для ленивых:

  • Хочешь “работает за 5 минут” → EoIP или GRETAP
  • Хочешь “работает по взрослому” → VXLAN
  • Хочешь “по RFC и чтобы потом не было стыдно” → L2TPv3
  • Хочешь страдать, но красиво → комбинация VPN + VXLAN

И сразу слышу вопрос с дальней парты от грудастой чики: "Я знаю, что есть такое слово VPN! Я про него точно слышала! Почему мы не можем просто его настроить?!"

Когда ты спрашиваешь “не проще ли VPN”, надо уточнить: VPN для чего?

Потому что:

  • VPN — это обычно L3.
  • А ты, возможно, хочешь растянуть Layer 2, а это совсем другая песня с плясками ARP, VLAN, DHCP и прочей жижи.

VPN не передаёт широковещательные пакеты (broadcast) и L2-фреймы.

А вот EoIP, VXLAN, L2TPv3, GRETAP — передают. Потому что они тупо "перетаскивают весь Ethernet мешок через сеть".

Поэтому, когда тебе надо зашарить что-то большое на совсем низком уровне, то без этих интересных штук увы, будет тяжко.

15
Гаджеты и электроника
5,73 млн интересуются