Jump to content

Объединение корпоративных сетей через публичный Ethernet

Sergey_Taurus
 Share

Recommended Posts

Sergey_Taurus

Sergey_Taurus

Posted
Posted

Здравствуйте.

 

Имеется городская сеть Ethernet с адресами 10.0.0.0/8. Есть три удаленных офиса, подключенные к этой сети, скажем с адресами 10.1.0.1, 10.17.0.1, 10.23.0.1

 

Хочется, используя какое-либо оборудование или программное решение, пробросить локальные корпоративные сети этих трех удаленных подразделений (с адресами типа 192.168.0.1 и т.п.) поверх этой транспортной сети. Причем по возможности "прозрачно" для пользователей, привыкших работать только с сетевым окружением.

Т.е. в идеале, должна получиться просто локалка между этими офисами.

 

Выполнима ли такая задача впринципе? Каким образом?

Подскажите направление для размышления. Читал про FrameRelay over Ethernet. Это не оно?

 

Заранее спасибо за ответы.

Sergey_Taurus

Sergey_Taurus

Posted
  • Author
Posted
Sergey_Taurus, просто пробросьте между маршрутизаторами туннели на 3 уровне.

 

А можно более конкретный пример, с моделями оборудования?

По такой схеме будет мозможно соединение "точка-точка" или по типу "много точек"?

Nailer

Nailer

Posted
Posted
Sergey_Taurus, просто пробросьте между маршрутизаторами туннели на 3 уровне.

 

А можно более конкретный пример, с моделями оборудования?

По такой схеме будет мозможно соединение "точка-точка" или по типу "много точек"?

 

Бюджет озвучьте :-) А то как обычно - от писюка до семитонника.

 

Топология скорее всего hub&spoke, то бишь обычная звезда.

Sergey_Taurus

Sergey_Taurus

Posted
  • Author
Posted
Sergey_Taurus, просто пробросьте между маршрутизаторами туннели на 3 уровне.

 

А можно более конкретный пример, с моделями оборудования?

По такой схеме будет мозможно соединение "точка-точка" или по типу "много точек"?

 

Бюджет озвучьте :-) А то как обычно - от писюка до семитонника.

 

Топология скорее всего hub&spoke, то бишь обычная звезда.

 

Бюджет - до 100 у.е. на один офис.

Какие варианты есть по оборудованию? Софтовые решения на втором плане.

SSD

SSD

Posted
Posted
Sergey_Taurus, просто пробросьте между маршрутизаторами туннели на 3 уровне.

 

А можно более конкретный пример, с моделями оборудования?

По такой схеме будет мозможно соединение "точка-точка" или по типу "много точек"?

 

Бюджет озвучьте :-) А то как обычно - от писюка до семитонника.

 

Топология скорее всего hub&spoke, то бишь обычная звезда.

 

Бюджет - до 100 у.е. на один офис.

Какие варианты есть по оборудованию? Софтовые решения на втором плане.

За 100 у.е. вариантов апаратных скорей всего не будет.

Diesel

Diesel

Posted
Posted

dlink 804 ?

и чем же он поможет?

я бы поставил писюковые маршрутизаторы,

сделал разные подсети в каждом офисе:

192.168.1.1/32

192.168.2.1/32

192.168.3.1/32

ну и раскурил маршрутизацию с ipsec

все.

для офисных работников границ между офисными сетями больше нет

Sergey_Taurus

Sergey_Taurus

Posted
  • Author
Posted
dlink 804 ?  

и чем же он поможет?

я бы поставил писюковые маршрутизаторы,

сделал разные подсети в каждом офисе:

192.168.1.1/32

192.168.2.1/32

192.168.3.1/32

ну и раскурил маршрутизацию с ipsec

все.

для офисных работников границ между офисными сетями больше нет

 

Господа, ситуация малось не в том. Есть магистраль, на ней работают димаческие протоколы маршрутизации. Возможности влезть, изменить, добавить какие-либо маршруты, которые будут оперировать отличными от 10.0.0.0 пакетами НЕТ. Хочется прокинуть туннель между двумя локальными подсетями диапазона 192.168.0.0 и т.п. между тремя точками, имеющими адреса 10.0.0.0

 

Как это сделать? Какое оборудование? Какая технология?

Sirco

Sirco

Posted
Posted

Ты немного не понял , на выходе роутера с тунелем есть интерфейс с адресом 10.0.0.х

через который проходят зашифрованные пакеты внутренней сети (192.х.х.х).

тойсь на пограничных роутерах происходит шифрация и упаковка в пакеты внешней сети .

Данная технология работает в среде интернет - когда туннель вообще проходит по всех возможных вариантах транспорта в том числе и НАТ ( маскарад)

....

Sergey_Taurus

Sergey_Taurus

Posted
  • Author
Posted
Ты немного  не понял , на выходе  роутера с  тунелем есть  интерфейс  с адресом 10.0.0.х

через который  проходят  зашифрованные пакеты  внутренней сети  (192.х.х.х).

тойсь на пограничных роутерах  происходит  шифрация и упаковка  в пакеты внешней сети .

Данная  технология  работает   в среде интернет  - когда туннель  вообще проходит по  всех возможных вариантах транспорта в том числе и НАТ ( маскарад)

....

 

Название железки и технология?

Sirco

Sirco

Posted
Posted

ключевое слово - ipsec , тунель

все что тут писали это про него родимого

я просто уточнил ибо видно было что ты не понял .

если на входе твоих сетей стоят роутеры - то самое простое поставить на них програмное обеспечение и все .

Если пограничных роутеров нет - то можно поставить железки - какие - не знаю , не приходилось пользовать, поищи на гугле .

ShumBor

ShumBor

Posted
Posted

От локалки куда кабель приходит (на каком оборудовании прописаны адреса 10.1.0.1, 10.17.0.1, 10.23.0.1)? В желеку какую-нить или PC. От этих данных уже проще будет отталкиваться народу.

Sergey_Taurus

Sergey_Taurus

Posted
  • Author
Posted
От локалки куда кабель приходит (на каком оборудовании прописаны адреса 10.1.0.1, 10.17.0.1, 10.23.0.1)? В желеку какую-нить или PC. От этих данных уже проще будет отталкиваться народу.

 

Железка, Allied Telesyn AT-8024

Sirco

Sirco

Posted
Posted

ну ясно сюда вы вставляете провода от ваших компов

а куда вы вставляете провод от сети внешней ???

в какую коробочку ?

KoloBok

KoloBok

Posted
Posted

Да написали же уже выше - VPN (или IPSEC) через Dlink DI-804.

Железное решение. Баксов в 250 уложитесь(на все 3 офиса).

 

Побъете сеть на 3 части

Например :

192.168.27.0-192.168.27.63

192.168.27.63-192.168.27.127

192.168.27.128-192.168.27.255

И все будет рабтать прозрачно, за исключением протоколов, основанных на броадкасте - например просмотр компов в сетевом окружении. Однако на тот же комп можно будет зайти по ярлыку на рабочем столе (по IP).

Будут доступны сетевые диски, печать и т.п.

 

p.s. Есть хорошая статья на эту тему на ixbt.com

Sergey_Taurus

Sergey_Taurus

Posted
  • Author
Posted
Да написали же уже выше - VPN (или IPSEC) через Dlink DI-804.

Железное решение. Баксов в 250 уложитесь(на все 3 офиса).

 

Побъете сеть на 3 части  

Например :

192.168.27.0-192.168.27.63

192.168.27.63-192.168.27.127

192.168.27.128-192.168.27.255

И все будет рабтать прозрачно, за исключением протоколов, основанных на броадкасте - например просмотр компов в сетевом окружении. Однако на тот же комп можно будет зайти по ярлыку на рабочем столе (по IP).

Будут доступны сетевые диски, печать и т.п.

 

p.s. Есть хорошая статья на эту тему на ixbt.com

 

Сссылочку на статью можно получить? Или хотя бы название.

 

 

И еще вопрос: с этих же офисов нужно будет авторизируясь по радиусу выходить через транспортную сеть в инет. Это как-то возможно? Имеют ли эти железки одновременно с туннелями производить авторизацию на радиусе и натить локальных пользователей?

smsm

smsm

Posted
Posted

мы такие сети строим на планет vrt311s ( ну нравится он мне :) десяток офисов объединено, есть пара и на длинках, есть и на цисках.. ипсек рулит таки. у таких живопырок за 100 баксов производительность не очень, но мега 2 даст, для большинства задачь вполне.

Sergey_Taurus

Sergey_Taurus

Posted
  • Author
Posted
Действительно , если сетки небольшие (до 20 компов в каждом офисе), то можно поставить  или D-Link

или  Zyxel  вполне рабочее решение.

 

Поглядел я D-Link DI-804HV

 

Есть принципиальный вопрос: я понял, что железяку можно настроить так, чтобы она (или не неё) устанавливала соединения с каждой из других таких железок. Разбиваем подсеть 192.168.0.0/24 на более мелкие, скажем по маске /26. Настраиваем в железке роутинг таким образом, чтобы она знала где искать (на каком туннеле) искать ту или иную подсеть.

 

Далее один большой вопрос: чтобы попасть в инет через транспортную сеть, нужно установить соединение с Radius сервером через PPPoE. Судя по описанию, железка это тоже умеет. Вопрос: можно ли одновременно запустить И PPPoE соединение И VPN-туннели?

 

 

Т.е. имеем:

Адрес D-Link'а в первом офисе: 10.1.0.1

Адрес D-Link'а во втором офисе: 10.2.0.1

Адрес D-Link'а в третьем офисе: 10.3.0.1

Адрес шлюза для доступа в Интернет после установки PPPoE соединения: 10.99.0.1

 

Т.е. в итоге должна получиться примерно такая таблица маршрутизации:

 

Destination SubnetMask Gateway

0.0.0.0 0.0.0.0 10.99.0.1

192.168.0.х 255.255.255.192 10.1.0.1

192.168.0.х 255.255.255.192 10.2.0.1

192.168.0.х 255.255.255.192 10.3.0.1

 

 

Такое возможно?

SergeyBSV

SergeyBSV

Posted
Posted

Sergey_Taurus, Епстественно можно , Схема примерно такая будет

в одном офисе ставите железку как VPN - сервер, а в двух других как VPN клиенты. Необходимо что бы VPN - сервера IP внешний был постоянный.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.