Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Следующая версия
Предыдущая версия
postroenie_vpn_s_pomoschju_texnologii_eoip [2013/11/28 09:42]
ansealk создано
postroenie_vpn_s_pomoschju_texnologii_eoip [2013/11/28 09:50] (текущий)
Строка 1: Строка 1:
 +====== Построение VPN с помощью технологии EoIP ======
  
 +Оригинал статьи на http://​xn--h1aafbgonr.xn--p1ai/​document/​statii/​postroenie_vpn_s_pomoshchyu_tekhnologii_eoip/​
 +===== Введение =====
 +В настоящий момент постоянно возникает необходимость в организации виртуальных частных сетей (Virtual Private Network) между удаленными филиалами компании. При этом с ростом ее инфраструктуры новые подразделения могут открываться в разных городах и даже странах. Естественно,​ что приходиться пользоваться услугами разных операторов и провайдеров. В таком случае наиболее дешевым транспортом является публичная сеть Internet. ​
 +
 +Как правило,​ наиболее распространенная структура при объединении удаленных филиалов — «звезда». Т. е. в головном подразделении располагаются основные сервера компании (web, почта, бухгалтерия и т. д.), а удаленные филиалы круглосуточно работают с их базами данных. Кроме того, бывает удобно,​ чтобы сотрудники разных филиалов находились в одной локальной сети. ​
 +В данной статье мы расскажем,​ как это довольно просто можно реализовать посредством технологии Ethernet поверх IP (EoIP), которую поддерживают все маршрутизаторы с установленной MikroTik RouterOS.
 +
 +===== Постановка задачи =====
 +Предположим,​ что есть три территориально разнесенных филиала,​ каждый из которых подключен к Интернету в своем регионе. В локальной сети головного филиала,​ А располагаются сервера и мини-АТС для организации IP-телефонии. Локальные сети удаленных филиалов B и C должны получить доступ в филиал А. При этом во всех филиалах существует одно адресное пространство 10.0.1.0/​24.
 +
 +{{:​mtk:​vpn-eoip.png|}}
 +
 +===== Настройка маршрутизатора А. =====
 +Поднимаем eoip туннель с маршрутизатором С:
 +<code lua>
 +[admin@routerA] > /interface eoip add remote-address=3.3.3.3 tunnel-id=0 name=eoip-tunnel1 disabled=no,​
 +</​code>​
 +где remote-address — ip address маршрутизатора С, tunnel-id — идентификатор туннеля,​ должен иметь такое же значение на маршрутизаторе С.
 +Поднимаем eoip туннель с маршрутизатором B:
 +<code lua>
 +[admin@routerA] > /interface eoip add remote-address=2.2.2.2 tunnel-id=1 name=eoip-tunnel2 disabled=no,​
 +</​code>​
 +где remote-address — ip address маршрутизатора B, tunnel-id — идентификатор туннеля,​ должен иметь такое же значение на маршрутизаторе B.
 +Поднимаем bridge между туннелями eoip и ethernet-ом — локальная сеть:
 +<code lua>
 +[admin@routerA] > /interface bridge add 
 +[admin@routerA] > /interface bridge port add bridge=bridge1 interface=ether1 ​
 +[admin@routerA] > /interface bridge port add bridge=bridge1 interface= eoip-tunnel1 ​
 +[admin@routerA] > /interface bridge port add bridge=bridge1 interface= eoip-tunnel2
 +</​code>​
 +При таком варианте настройки бриджа филиалы В и С смогут общаться не только с филиалом,​ А, но и друг сдругом.
 +
 +===== Настройка маршрутизатора C. =====
 +Поднимаем eoip туннель с маршрутизатором A:
 +<code lua>
 +[admin@routerC] > /interface eoip add remote-address=1.1.1.1 tunnel-id=0 name=eoip-tunnel1 disabled=no
 +</​code>​
 +Поднимаем bridge между интерфейсами eoip и ethernet — локальная сеть:
 +<code lua>
 +[admin@routerC] > /interface bridge add 
 +[admin@routerC] > /interface bridge port add bridge=bridge1 interface=ether1 ​
 +[admin@routerC] > /interface bridge port add bridge=bridge1 interface= eoip-tunnel1
 +</​code>​
 +===== Настройка маршрутизатора B. =====
 +Поднимаем eoip туннель с маршрутизатором A:
 +<code lua>
 +[admin@routerB] > /interface eoip add remote-address=1.1.1.1 tunnel-id=1 name=eoip-tunnel2 disabled=no
 +</​code>​
 +Поднимаем bridge между интерфейсами eoip и ethernet — локальная сеть:
 +<code lua>
 +[admin@routerB] > /interface bridge add 
 +[admin@routerB] > /interface bridge port add bridge=bridge1 interface=ether1 ​
 +[admin@routerB] > /interface bridge port add bridge=bridge1 interface= eoip-tunnel2
 +</​code>​
 +===== Проверка работы =====
 +Чтобы убедиться,​ что все работает правильно,​ достаточно поставить во всех филиалах ip адреса из одной подсети. Например 10.0.1.1/24 — филиал,​ А, 10.0.1.2/24 — филиал В, 10.0.1.3/24 — филиал С. Далее из одного филиала проверить,​ например командой ping, что остальные два адреса отвечают и появились в arp-таблице.
 +
 +===== Команды диагностики =====
 +Статус и текущие настройки интерфейсов eoip-туннелей: ​
 +<code lua>
 +[admin@routerA] > /interface eoip print
 +</​code>​
 +Статус и текущие настройки интерфейсов bridge: ​
 +<code lua>
 +[admin@routerA] > /interface bridge print
 +</​code>​
 +Статус и текущие настройки портов интерфейсов bridge: ​
 +<code lua>
 +[admin@routerA] > /interface bridge port print
 +</​code>​
 +МАС-адреса на портах интерфейсов bridge: ​
 +<code lua>
 +[admin@routerA] > interface bridge host print
 +</​code>​
 +===== Вывод =====
 +В результате мы получили между филиалами структуру,​ прозрачную для трафика второго уровня. При этом Вы можете настроить свои политики безопасности для каждого офиса, отфильтровать ненужный трафик,​ нарезать требуемые полосы пропускания,​ настроить QoS и т. д., т. е. воспользоваться всеми преимуществами,​ которые дает RouterOS. Практическое тестирование показало,​ что eoip-туннель отнимает 10–15% полосы пропускания,​ что может быть существенно для каналов с низкой пропускной способностью. Но при этом не вносит заметных задержек,​ что позволяет передавать голосовой и другой приоритетный трафик без потери качества.
postroenie_vpn_s_pomoschju_texnologii_eoip.txt · Последние изменения: 2013/11/28 09:50 (внешнее изменение)
GNU Free Documentation License 1.3
Driven by DokuWiki Recent changes RSS feed Valid CSS Valid XHTML 1.0 Яндекс.Метрика