Layer 2 VPN между офисами

[ArtRet]

Всем добрый день. Есть задача настроить VPN 2-го уровня между офисами компании. Нужно, чтобы все офисы (3 штуки) были объединены в один широковещательный домен (т.е. как будто бы воткнуты в один свитч). Офисы находятся в одном здании, фактически можно действительно просто кинуть витую пару и воткнуться в один свитч, но проблема в том, что витая пара идёт и за пределами офисов, т.е. теоретически кто-то может подслушивать канал снаружи вклинившись в наши линии связи. Поэтому нужно организовать шифрование.

Конечно, можно просто поднять IPsec-туннель, но тогда это ниразу не L2. Нужно, чтобы можно было видеть MAC-адреса пользователей из другого офиса.

Как это можно сделать наиболее простым и надежным способом? Использовать VPLS? Или есть другие способы?

Планируется использовать Juniper SRX100. Но я так и не понял, поддерживает ли он VPLS, вроде как да, но не уверен. Железку ещё не трогал.

[rover-lt]

IPSEC

[Grid]

MACSec?

[idv]

Нужно, чтобы можно было видеть MAC-адреса пользователей из другого офиса.

 

Вот нафига такое?

[ArtRet]

rover-lt, IPsec же не поддерживает расширение широковещательного домена.

Grid, ооо, об этой штуке я не знал. Так её можно на коммутаторах поднять. Надо будет поинтересоваться данной возможностью в оборудовании Juniper. Спасибо.

idv, чтобы можно было все политики и подсчёт трафика в одном месте обрабатывать.

[p9160ff]

Как это можно сделать наиболее простым и надежным способом? Использовать VPLS? Или есть другие способы?

Планируется использовать Juniper SRX100. Но я так и не понял, поддерживает ли он VPLS, вроде как да, но не уверен. Железку ещё не трогал.

VPN между роутерами, роутеры в мост.

[^rage^]

l2tp + ipsec.

 

VPN между роутерами, роутеры в мост.

и будет 2 броадкаст-домена.

[rover-lt]

rover-lt, IPsec же не поддерживает расширение широковещательного домена.

Конечно - это технология шифрования. Псевдовайр между роутерами на L2TPv3 и шифровать айписеком.

[Saab95]

Mikrotik + EoIP тоннель, в котором и будут бегать ваши маки. Только проброс L2 между офисами ущербен в любом виде, через сторонние сети нужно все по L3 гонять, при этом подсчет трафика можно вести в любом месте.

[p9160ff]

l2tp + ipsec.

 

VPN между роутерами, роутеры в мост.

и будет 2 броадкаст-домена.

1 домен получится

[Ivan_83]

IP туннель + прокси арп.

[digsi]

мы пользуем ipsec на серии длинк dfl. В зависимости от скорости шифрования покупайте нужную железку, dfl260 - 20 мбит в каждую сторону, dfl860 - 40мбит.

И делать одну сеть через ipsec в корне неверно, в каждом сегменте сделайте свои сети, dfl можно использовать как шлюзы

[rover-lt]

мы пользуем ipsec на серии длинк dfl.

Это - муть. Для такого дела надо как минимум Cisco CRS, либо Alcatel 7950, либо Джуны Т или PTX-серии

[ArtRet]

Виноват, но видно я забыл упомянуть самое главное: по сути все 3 офиса в итоге должны представлять одну физическую и логическую сеть, т.е. как будто они действительно воткнуты в один свитч, и клиенты будут получать настройки с одного DHCP-сервера, который установлен в одном из офисов.

[p9160ff]

Виноват, но видно я забыл упомянуть самое главное: по сути все 3 офиса в итоге должны представлять одну физическую и логическую сеть, т.е. как будто они действительно воткнуты в один свитч, и клиенты будут получать настройки с одного DHCP-сервера, который установлен в одном из офисов.

VPN между роутерами, роутеры в мост.

[idv]

и клиенты будут получать настройки с одного DHCP-сервера, который установлен в одном из офисов.

 

dhcp relay вам поможет.

 

прокидывать L2 можно через L2TPv3, а его шифровать ipsec. Но это мрак - прокидывание L2

 

Меня не оставляет впечатление, что вы пытаетесь решить задачу, опираясь на недостаток знаний и порожденную этим недостатком картину мира. Ну и желания вашего рук-ва вряд ли соответствуют реальному положению вещей.

Подсказка - замена меди на стекло на этих трассах уже резко усложнит задачу съема инфы. Плюс добавит некоторые приятные мелочи в части игнорирования электромагнитных помех и прочее

[Skylaer]

Три куска оптики медным проводником внутри.

1 свич, с 3 оптичечскими портами.

Модули с DDM

1 железяка типа ERD

---

Вот и усе %)

[Saab95]

мы пользуем ipsec на серии длинк dfl. В зависимости от скорости шифрования покупайте нужную железку, dfl260 - 20 мбит в каждую сторону, dfl860 - 40мбит.

И делать одну сеть через ipsec в корне неверно, в каждом сегменте сделайте свои сети, dfl можно использовать как шлюзы

 

Фигасе цены=) за стоимость D-Link DFL260 можно Mikrotik RB1100AHx2 взять, который 200 мегабит прогоняет с шифрованием. В нем аппаратный модуль шифрования установлен.

[digsi]

Saab95 - это вы в теории или сами заводили ipsec? Если сами, то на какой длине ключа? Dlink серии DFL cтабильная железка, работает - каши не просит. Да и вентиляторов нет и винтов.

Edited April 3, 2013 by digsi

[idv]

Dlink серии DFL cтабильная железка, работает - каши не просит

 

я правильно понимаю, что конфигураций типа IPSEC+GRE на нем не собрать? То есть будет просто IPSec в режиме тунеля и маршрутизация трафика исходя из политик IPSec, так?

[digsi]

idv - мы используем ipsec только как шифрованный тунель, DFL знает какие сети за туннелем и машрутизирует пакеты в нужный тунель. Если будет везде одна сеть, то тут маршрутизации никак не получится, да и паразитный трафик будет большой гоняться, смысла никакого. Если домен, проще добавить сетей в АД и всё.

[idv]

DFL знает какие сети за туннелем

 

из какой настройки он это знает?

[digsi]

idv при настройке ipsec тунеля указываются в свойствах сети, которые через него пойдут. Фак есть на длинк, там указано как это настраивается.

[Saab95]

Saab95 - это вы в теории или сами заводили ipsec? Если сами, то на какой длине ключа? Dlink серии DFL cтабильная железка, работает - каши не просит. Да и вентиляторов нет и винтов.

 

IPSec не используем, потому что это ущербная устаревшая технология, кроме этого еще и требующая настройки с двух сторон. Работаем с L2TP и SSTP, по SSTP с шифрованием выдает 100мбит без напряга, из плюсов гарантированная доставка данных.

 

Возможно вы не знаете что такое микротик - это железка, которая умеет все, в том числе и OSPF, который DFL не понимает. Не глючит и не виснет.

 

В одной корпоративной сети как раз недавно делали замену всякого барахла на микротик, до этого стояли циски и длинки. В итоге в центре стоят две штуки RB1100AHx2, в удаленных офисах по две штуки RB951G-2HnD. Вся сеть имеет двойное резервирование. В центр сведена только корпоративная сеть (доступ к внутренним серверам, 1С, сетевому хранилищу и внутренней телефонии), интернет в каждом офисе свой локальный, поэтому нагрузка на оборудование минимальная, в шифрованном туннеле передается только 10-15 мегабит трафика с каждого офиса. Учет кто и куда ходил через Netflow, который передается на центральный сервер. В каждом офисе своя уникальная подсеть вида 192.168.х.0/24. Все настройки передаются автоматически, типовой конфиг, в котором не нужно ничего менять, кроме адреса внутренней сети.

 

Это решение обошлось в 7 раз дешевле, чем предложенное другими интеграторами на базе оборудования длинк и цисок, и что самое удобное, управляется одним админом полностью удаленно.

[idv]

idv при настройке ipsec тунеля указываются в свойствах сети, которые через него пойдут. Фак есть на длинк, там указано как это настраивается.

 

Ну как я и думал - длинк ничего нового в сегменте мыльниц не сделал. Как только сеть усложняется и роутинг перестает быть совсем примитивным - такая схема становится резко неудобной в громадном кол-ве случаев. Точнее - она остается приемлемой в очень малом кол-ве случаев ))).