ArtRet Опубликовано 2 апреля, 2013 · Жалоба Всем добрый день. Есть задача настроить VPN 2-го уровня между офисами компании. Нужно, чтобы все офисы (3 штуки) были объединены в один широковещательный домен (т.е. как будто бы воткнуты в один свитч). Офисы находятся в одном здании, фактически можно действительно просто кинуть витую пару и воткнуться в один свитч, но проблема в том, что витая пара идёт и за пределами офисов, т.е. теоретически кто-то может подслушивать канал снаружи вклинившись в наши линии связи. Поэтому нужно организовать шифрование. Конечно, можно просто поднять IPsec-туннель, но тогда это ниразу не L2. Нужно, чтобы можно было видеть MAC-адреса пользователей из другого офиса. Как это можно сделать наиболее простым и надежным способом? Использовать VPLS? Или есть другие способы? Планируется использовать Juniper SRX100. Но я так и не понял, поддерживает ли он VPLS, вроде как да, но не уверен. Железку ещё не трогал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rover-lt Опубликовано 2 апреля, 2013 · Жалоба IPSEC Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Grid Опубликовано 2 апреля, 2013 · Жалоба MACSec? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
idv Опубликовано 2 апреля, 2013 · Жалоба Нужно, чтобы можно было видеть MAC-адреса пользователей из другого офиса. Вот нафига такое? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ArtRet Опубликовано 2 апреля, 2013 · Жалоба rover-lt, IPsec же не поддерживает расширение широковещательного домена. Grid, ооо, об этой штуке я не знал. Так её можно на коммутаторах поднять. Надо будет поинтересоваться данной возможностью в оборудовании Juniper. Спасибо. idv, чтобы можно было все политики и подсчёт трафика в одном месте обрабатывать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
p9160ff Опубликовано 2 апреля, 2013 · Жалоба Как это можно сделать наиболее простым и надежным способом? Использовать VPLS? Или есть другие способы? Планируется использовать Juniper SRX100. Но я так и не понял, поддерживает ли он VPLS, вроде как да, но не уверен. Железку ещё не трогал. VPN между роутерами, роутеры в мост. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 2 апреля, 2013 · Жалоба l2tp + ipsec. VPN между роутерами, роутеры в мост. и будет 2 броадкаст-домена. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rover-lt Опубликовано 2 апреля, 2013 · Жалоба rover-lt, IPsec же не поддерживает расширение широковещательного домена. Конечно - это технология шифрования. Псевдовайр между роутерами на L2TPv3 и шифровать айписеком. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 2 апреля, 2013 · Жалоба Mikrotik + EoIP тоннель, в котором и будут бегать ваши маки. Только проброс L2 между офисами ущербен в любом виде, через сторонние сети нужно все по L3 гонять, при этом подсчет трафика можно вести в любом месте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
p9160ff Опубликовано 3 апреля, 2013 · Жалоба l2tp + ipsec. VPN между роутерами, роутеры в мост. и будет 2 броадкаст-домена. 1 домен получится Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 3 апреля, 2013 · Жалоба IP туннель + прокси арп. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
digsi Опубликовано 3 апреля, 2013 · Жалоба мы пользуем ipsec на серии длинк dfl. В зависимости от скорости шифрования покупайте нужную железку, dfl260 - 20 мбит в каждую сторону, dfl860 - 40мбит. И делать одну сеть через ipsec в корне неверно, в каждом сегменте сделайте свои сети, dfl можно использовать как шлюзы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rover-lt Опубликовано 3 апреля, 2013 · Жалоба мы пользуем ipsec на серии длинк dfl. Это - муть. Для такого дела надо как минимум Cisco CRS, либо Alcatel 7950, либо Джуны Т или PTX-серии Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ArtRet Опубликовано 3 апреля, 2013 · Жалоба Виноват, но видно я забыл упомянуть самое главное: по сути все 3 офиса в итоге должны представлять одну физическую и логическую сеть, т.е. как будто они действительно воткнуты в один свитч, и клиенты будут получать настройки с одного DHCP-сервера, который установлен в одном из офисов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
p9160ff Опубликовано 3 апреля, 2013 · Жалоба Виноват, но видно я забыл упомянуть самое главное: по сути все 3 офиса в итоге должны представлять одну физическую и логическую сеть, т.е. как будто они действительно воткнуты в один свитч, и клиенты будут получать настройки с одного DHCP-сервера, который установлен в одном из офисов. VPN между роутерами, роутеры в мост. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
idv Опубликовано 3 апреля, 2013 · Жалоба и клиенты будут получать настройки с одного DHCP-сервера, который установлен в одном из офисов. dhcp relay вам поможет. прокидывать L2 можно через L2TPv3, а его шифровать ipsec. Но это мрак - прокидывание L2 Меня не оставляет впечатление, что вы пытаетесь решить задачу, опираясь на недостаток знаний и порожденную этим недостатком картину мира. Ну и желания вашего рук-ва вряд ли соответствуют реальному положению вещей. Подсказка - замена меди на стекло на этих трассах уже резко усложнит задачу съема инфы. Плюс добавит некоторые приятные мелочи в части игнорирования электромагнитных помех и прочее Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skylaer Опубликовано 3 апреля, 2013 · Жалоба Три куска оптики медным проводником внутри. 1 свич, с 3 оптичечскими портами. Модули с DDM 1 железяка типа ERD --- Вот и усе %) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 3 апреля, 2013 · Жалоба мы пользуем ipsec на серии длинк dfl. В зависимости от скорости шифрования покупайте нужную железку, dfl260 - 20 мбит в каждую сторону, dfl860 - 40мбит. И делать одну сеть через ipsec в корне неверно, в каждом сегменте сделайте свои сети, dfl можно использовать как шлюзы Фигасе цены=) за стоимость D-Link DFL260 можно Mikrotik RB1100AHx2 взять, который 200 мегабит прогоняет с шифрованием. В нем аппаратный модуль шифрования установлен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
digsi Опубликовано 3 апреля, 2013 (изменено) · Жалоба Saab95 - это вы в теории или сами заводили ipsec? Если сами, то на какой длине ключа? Dlink серии DFL cтабильная железка, работает - каши не просит. Да и вентиляторов нет и винтов. Изменено 3 апреля, 2013 пользователем digsi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
idv Опубликовано 3 апреля, 2013 · Жалоба Dlink серии DFL cтабильная железка, работает - каши не просит я правильно понимаю, что конфигураций типа IPSEC+GRE на нем не собрать? То есть будет просто IPSec в режиме тунеля и маршрутизация трафика исходя из политик IPSec, так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
digsi Опубликовано 3 апреля, 2013 · Жалоба idv - мы используем ipsec только как шифрованный тунель, DFL знает какие сети за туннелем и машрутизирует пакеты в нужный тунель. Если будет везде одна сеть, то тут маршрутизации никак не получится, да и паразитный трафик будет большой гоняться, смысла никакого. Если домен, проще добавить сетей в АД и всё. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
idv Опубликовано 3 апреля, 2013 · Жалоба DFL знает какие сети за туннелем из какой настройки он это знает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
digsi Опубликовано 3 апреля, 2013 · Жалоба idv при настройке ipsec тунеля указываются в свойствах сети, которые через него пойдут. Фак есть на длинк, там указано как это настраивается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 3 апреля, 2013 · Жалоба Saab95 - это вы в теории или сами заводили ipsec? Если сами, то на какой длине ключа? Dlink серии DFL cтабильная железка, работает - каши не просит. Да и вентиляторов нет и винтов. IPSec не используем, потому что это ущербная устаревшая технология, кроме этого еще и требующая настройки с двух сторон. Работаем с L2TP и SSTP, по SSTP с шифрованием выдает 100мбит без напряга, из плюсов гарантированная доставка данных. Возможно вы не знаете что такое микротик - это железка, которая умеет все, в том числе и OSPF, который DFL не понимает. Не глючит и не виснет. В одной корпоративной сети как раз недавно делали замену всякого барахла на микротик, до этого стояли циски и длинки. В итоге в центре стоят две штуки RB1100AHx2, в удаленных офисах по две штуки RB951G-2HnD. Вся сеть имеет двойное резервирование. В центр сведена только корпоративная сеть (доступ к внутренним серверам, 1С, сетевому хранилищу и внутренней телефонии), интернет в каждом офисе свой локальный, поэтому нагрузка на оборудование минимальная, в шифрованном туннеле передается только 10-15 мегабит трафика с каждого офиса. Учет кто и куда ходил через Netflow, который передается на центральный сервер. В каждом офисе своя уникальная подсеть вида 192.168.х.0/24. Все настройки передаются автоматически, типовой конфиг, в котором не нужно ничего менять, кроме адреса внутренней сети. Это решение обошлось в 7 раз дешевле, чем предложенное другими интеграторами на базе оборудования длинк и цисок, и что самое удобное, управляется одним админом полностью удаленно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
idv Опубликовано 3 апреля, 2013 · Жалоба idv при настройке ipsec тунеля указываются в свойствах сети, которые через него пойдут. Фак есть на длинк, там указано как это настраивается. Ну как я и думал - длинк ничего нового в сегменте мыльниц не сделал. Как только сеть усложняется и роутинг перестает быть совсем примитивным - такая схема становится резко неудобной в громадном кол-ве случаев. Точнее - она остается приемлемой в очень малом кол-ве случаев ))). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...