аукцион / FPR / donate / услуги / RSS / распечатать / вход 
Мой мир
Вконтакте
Одноклассники

Маленькая история большой сети. PPTP, IPSec Tunnel, перекрёстный IPSec Tunnel, DMVPN апофеоз VPN

[14 декабря 2016 | 15 декабря 2016 | 16 декабря 2016]

Решил сделать небольшое лирическое отступление, дабы в очередной раз объяснить то, что для решения какой-либо задачи можно применить разные инструменты, но не все инструменты одинаково подходят для решения одной и той же задачи в разных условиях. В качестве примера я расскажу то, с чем столкнулся сам и как была решена задача в разное время для одной и той же компании. При чём формулировалась задача одинаково, но решалась по разному.

Один мой друг, ныне покойный, купил себе компанию по продаже, допустим, рыбы. Дела у него шли отлично, открыл пару офисов в соседних городах. Зная о том, что я разбираюсь в компьютерах он решил пожаловаться на своего системного администраора. Говорит, что парень смышлённый, но не может сделать так, чтобы менеджеры из филиалов имели доступ к базе расположенной в центре и им постоянно приходится сидеть на телефоне параллельно общаясь с клиентом. Я ему попробовал объяснить, что данную проблему решить вполне возможно, только нужно больше информации, а там уже разрулим. Связавшись с админом, я его попросил составить техническое задание в котором будет описана задача и имеющееся в распоряжении оборудование.

В итоге имеем:

В центре на Windows 2003 развёрнут сайт с БД через который происходит весь бизнесс-процесс предприятия. Задача: сделать доступ трём менеджерам в разных городах к web-серверу внутри сети головного предприятия.

Минус был в том, что администратор той сети не имел представление как управлять оборудованием Cisco. В 2005 году не в почёте было использовать интернет для обучения. Договорились, что за небольшую плату, я проведу небольшой ликбез по работе с цисковским оборудоваием и мы настроим на головном предприятии PPTP-сервер на основе Cisco 871, а компьютеры из филиалов будут подключаться к нему. За одно объяснил, что со стороны клиента необходимо будет отключить использование шлюза из удалённой сети по умолчанию. Показал как можно добавлять пользователей и как в дальнейшем можно ограничивать права доступа по ACL. Мало ли, вдруг захочется отключить кому-нибудь интернет из сотрудников.

Спустя пару лет, в районе 2007 года, я опять же столкнулся с архитектурой этой сети ибо администратор не справился с увеличивающимися объёмами. А поскольку интернет был полон всякими советами, то попробовав парочку из них сеть была окончательно положена и нужно было решать вопрос о её модернизации. Собственно, крик о помощи сопровождался обещаниями выдать бутылку-другую хорошего коньячка и я пошел на встречу подобному предложению.

Перед встречей я так же попросил составить техничекое задание с описанием, что имеется в распоряжении и какой результат должен быть на выходе. В описании было много воды, но задача трансформировалась в создание VPN между сетями филиалов и центральной сетью в виде звезды. В списке были оставлены только значимые объекты сетевой инфраструктуры.

Когда я понял, что весь этот зоопарк пытается ужиться между собой благодаря периодическим подключениям через PPTP из офиса к офису, то позавидовал стойкости людей и посочувствовал геморрою админа. В результате пришлось обучить человека построению шифрованных туннелей и показать как настраивается удалённый доступ на Цисковском оборудовании, чтобы не приходилось посещать разные города. Так же попросил провести инвентаризацию сети и узнать у директоров филиалов не возникнет ли потребности в объёдинении между удалёнными филиалами. После обсуждения выяснилось, что топология звезды с центром в Красноярске — это идеальное решение. Пришлось немного повозиться с сервером в Иркутске, так как Windows Server 2003 Standard не захотел быстро и не принуждённо подключиться к туннелю на cisco.

В итоге на роутере в Красноярске был поднят туннель до каждого филиала. За одно был настроен роутинг между филиалами через Красноярск, на всякий случай. Но как выяснилось позднее, случай всё же представился.

Спустя еще год я опять же был удостоин вниманием со стороны администратора сети, который напомнил мне, что мы с ним рассматривали возможность объединения сетей не централизовано, а в связке каждый с каждым (full mesh). В результате поднятия некоего сервиса все офисы упирались в пропускную способность до центра.

К тому моменту появилось ещё два офиса. В итоге порядка семи точек. Для того, чтобы их объединить в многосвязную сеть необходимо во всех семи филиалах настроить по шесть туннелей. В итоге имеем сорок две туннельных настройки. Самих туннелей будет около двадцати, но они настраиваются с каждой стороны и в каждый момент можно совершить ошибку. Достаточно ошибиться в таблице маршрутизации или перепутать туннели.

Подумав и предложив избавиться от шлюзов не на Cisco, мы пришли к выводу, что можно воспользоваться проприетарным протоколом Cisco и создать VPN сеть на основе технологии Dynamic Multipoint VPN (DMVPN). Благодаря этой интересной технологии можно настроить один роутер в качестве hub-маршрутизатора, а остальные в роли spoke-маршрутизаторов. Что даёт эта система? Он позволяет роутеру самостоятельно обучаться и искать для spoke-маршрутизаторов прямые линки между собой. То есть если информация пересылается из одного филиала в другой, то хаб объяснит спокам, что им проще обмениваться информацией напрямую, минуя центральный роутер и не занимая его канал связи.

На текущий момент данная модель является наиболее чётко отражающей потребности предприятия выросшего до таких размеров.

При создании своих сетей старайтесь максимально полно изучить имеющееся оборудование и доступную литературу по настройке сетей. Нет одной универсальной модели построения сетей, но есть определённые сценарии построения в которые может уложиться ваша задача. Например, для маленькой сети из двух или трёх подсетей использовать DMVPN нету никакого резона, ибо можно построить полноценную full mesh-сеть используя обычные IPSec-туннели и при этом можно задейтвовать разношёрстное оборудование не зацикливаясь на каком-либо произодителе сетевого оборудования.

Тэги: ИТ, Cisco

Отредактировано:2020-09-08 19:38:31


Этот сайт использует файлы cookies, чтобы упростить вашу навигацию по сайту, предлагать только интересную информацию и упростить заполнение форм. Я предполагаю, что, если вы продолжаете использовать мой сайт, то вы согласны с использованием мной файлов cookies. Вы в любое время можете удалить и/или запретить их использование изменив настройки своего интернет-браузера.

Сообщайте мне о замеченных ошибках на: web@orcinus.ru. Все пожелания и советы будут учтены при дальнейшем проектировании сайта. Я готов сотрудничать со всеми желающими. В некоторых случаях, мнение автора может не совпадать с мнением автора! Phone: +7-902-924-70-49.

Рейтинг@Mail.ru LiveInternet Rambler's Top100 Яндекс.Метрика