Огромное вам спасибо!
ВЫ ПРАВЫ!
Мы протестировали, ваш метод работает!

Ну Ок. А то Jumbo, Jumbo. UDP там!

А на каком MTU заработало?
1500 таки достаточно, или нужно было больше?
А если теперь DF не снимать? (Это тоже зря жрет CPU).

На каких роутерах вы это собрали? Как с производительностью, CPU Util какой?

mtu делали 1600 без снятия DF
роутер 1 - ISR4431/K9
роутер 2 - ISR4321/K9
По производительности и CPU пока не могу сказать так как поручил коллегам провести тестирование
разными профилями трафика и в разных вариациях настроек.
Будет информация поделюсь.
Еще раз спасибо!

Да, было бы интересно.


Да не за что.
Собственно за этим мы здесь и находимся, чтобы помогать друг другу.

Ну как, информация таки появилась?
Или уже благополучно (заби-)забыли?

И в продолжение темы VXLAN:

1. Может кто-нибудь поделиться рабочим примером настройки VXLAN на свитчах?
От роутеров, как я понимаю, ничего кроме IP-достижимости и MTU не нужно.
Нужно пробросить L2 trunk между удаленными свитчами через IP.

2. Какие минимальные Cisco свитчи умеют VXLAN?
Catalyst-ы, Nexus-ы?

1. Интересует настройка на Nexus? CSR1000v умели тоже.
2. C9k должны уметь, VXLAN используется в качестве underlay в SD-Access. Возможно, C3850 по той же причине. Nexus, начиная с N5k, умеют.

Ну если что-то сейчас брать по-проще, то имеет смысл Cat9200? Cat3850 вроде уже устарел?


Ну вот на Cat9200 например.

из Каталистов 9К всё реально на всех как раз кроме 9200 серии это облегченная обрезанная версия модельного ряда 9300 и нужно использовать IOS XE 16.12 и выше для этих целей...

А так всё отработано это на Nexus 9K - цены и доступность на железо есть в известном телеграмм канале.....

Не умеют. Даже не все 7к, изначальные так точно нет.
Фиксированные начиная с 3100V.

Есть результат? На них максимум 100мбит vxlan можно?

или у Вас циски просто канал организовывают с фрагментацией, а vxlan дальше за ними??

Ну почти. На Cisco Feature Navigator:

На актуальной IOS XE 16.9.5 (по которой, к сожалению, объявлено EoL, (EoL Info Avl: Yes)) имеем:

Cat3650 UNIVERSAL (IP SERVICES)
Cat3850 UNIVERSAL (IP SERVICES)
Cat9300 UNIVERSAL (NETWORK ADVANTAGE)
Cat9400 UNIVERSAL (NETWORK ADVANTAGE)
Cat9500 UNIVERSAL (NETWORK ADVANTAGE)

На IOS XE 16.12.3 (EoL Info Avl: No) появляется Cat9200:

Cat9200 UNIVERSAL (NETWORK ADVANTAGE)
Cat9200L UNIVERSAL (NETWORK ADVANTAGE)

И почему и там и там - cat9k_lite_iosxe.16.12.03.SPA.bin ?

А конфигом то никто не поделится?
Или никто не использует?

CFN
https://cfn.cloudapps.cisco.com/ITDIT/CFN/jsp/index.jsp

16.9 может быть только EOS - EOL не раньше чем через год - конфигурация на каталистах 9300 тут - https://www.cisco.com/c/en/us/td/docs/s ... rview.html

кат. 9200 это слишком обрезанная версия 9300 - и позиционируется как замена 2960Х

Вообще еще CSR 1000v можно использовать для соединения площадок через VXLAN:

Configure VXLAN Feature on Cisco IOS XE Devices
https://www.cisco.com/c/en/us/support/d ... f-VxL.html

Cisco CSR 1000V VxLAN Support
https://www.cisco.com/c/dam/en/us/td/do ... -book.html

Единственное что, в роутерах для этого используется bridging.
В свитчах это как-то более органично выглядит.

Ну и с RTU там (в CSR 1000v) как-то напряженно.

А есть ли какие-то варианты свитчей в виртуальном исполнении?
(Ну понятно, что не на 48 портов, с PoE ).

И еще несколько статей на Хабре по теме VXLAN:

Введение в VxLAN
https://habr.com/ru/post/344326/

Что такое EVPN/VXLAN
https://habr.com/ru/post/352564/

VXLAN в NSX-V - траблшутим underlay
https://habr.com/ru/post/490792/

С лицензиями как вы знаете нет вообще никакой напряжёнки - виртуал конечно хорошо, что можно всё можно быстро развернуть, но для таких вещей лучше использовать аппаратные средства - которые тоже можно найти за приемлимые деньги, VMware NSX рассматривать вообще не стоит слишком громоздкое решение и в исполнении NSX-V уже сегодня не применяется т.к. EOL да и сама концепция не жизнеспособная, вместо идёт хотя бы NSX-T, а так лучше поставить Nexus9k и забыть вопрос....

Таки Nexus9k, а не Catalyst9k?

А можете в двух словах рассказать в чем разница в их позиционировании?
И в функционале.
Ну и в гуманности ценника, относительной естественно.

Catalyst 9k - Корп. сектор - уровень здания и т.д. ( акцесс ПОЕ+ UPOE и т.д. )

Nexus 9k - уровень ДЦ - в основном задача подключения серверов, связывание других площадок ДЦ посредством ( ACI, VxLAN, EVPN и т.д. )

цены пишите в ЛС или телеграм

Добрый день, коллеги!
Возникла задача передать тегированный L2-трафик с MTU 9000 между площадками через Интернет. И, зашифровать его, естественно.
Собрали стенд из двух ISR4451X с прошивкой 17.09.05a и, благодаря высказанным в этой ветке форума идеям по связке VXLAN, GRE, и IPSec, удалось реализовать свой план.
Важное, в настройках туннельного интерфейса надо указать tunnel mode gre ip.
Команда не появится в sh run, т.к. она - "по умолчанию". Видна будет в sh run all.
Коллеги выше использовали команду tunnel mode ipsec ipv4, но это "чистый" IPSec без GRE и нам не подходит.

Наибольшую трудность вызвало заставить маршрутизатор выполнять fragmentation before encryption.
Оказывается, есть баг, не решенный с 2016 года
CSCvc34235 "crypto ipsec fragmentation before-encryption" command disappears after reload
Решили через EEM и monitor capture.
"Коряво", конечно, но, вроде, работает.