Маленькая история большой сети. PPTP, IPSec Tunnel, перекрёстный IPSec Tunnel, DMVPN апофеоз VPN
Решил сделать небольшое лирическое отступление, дабы в очередной раз объяснить то, что для решения какой-либо задачи можно применить разные инструменты, но не все инструменты одинаково подходят для решения одной и той же задачи в разных условиях. В качестве примера я расскажу то, с чем столкнулся сам и как была решена задача в разное время для одной и той же компании. При чём формулировалась задача одинаково, но решалась по разному.
Один мой друг, ныне покойный, купил себе компанию по продаже, допустим, рыбы. Дела у него шли отлично, открыл пару офисов в соседних городах. Зная о том, что я разбираюсь в компьютерах он решил пожаловаться на своего системного администраора. Говорит, что парень смышлённый, но не может сделать так, чтобы менеджеры из филиалов имели доступ к базе расположенной в центре и им постоянно приходится сидеть на телефоне параллельно общаясь с клиентом. Я ему попробовал объяснить, что данную проблему решить вполне возможно, только нужно больше информации, а там уже разрулим. Связавшись с админом, я его попросил составить техническое задание в котором будет описана задача и имеющееся в распоряжении оборудование.
В итоге имеем:
- Центр Красноярск
- Cisco 871
- 5 компьютеров Windows XP
- Windows Server 2003
- Офис Шарыпово
- 1 компьютер
- Офис Кемерово
- D-Link DI-604
- 2 компьютера
В центре на Windows 2003 развёрнут сайт с БД через который происходит весь бизнесс-процесс предприятия. Задача: сделать доступ трём менеджерам в разных городах к web-серверу внутри сети головного предприятия.
Минус был в том, что администратор той сети не имел представление как управлять оборудованием Cisco. В 2005 году не в почёте было использовать интернет для обучения. Договорились, что за небольшую плату, я проведу небольшой ликбез по работе с цисковским оборудоваием и мы настроим на головном предприятии PPTP-сервер на основе Cisco 871, а компьютеры из филиалов будут подключаться к нему. За одно объяснил, что со стороны клиента необходимо будет отключить использование шлюза из удалённой сети по умолчанию. Показал как можно добавлять пользователей и как в дальнейшем можно ограничивать права доступа по ACL. Мало ли, вдруг захочется отключить кому-нибудь интернет из сотрудников.
Спустя пару лет, в районе 2007 года, я опять же столкнулся с архитектурой этой сети ибо администратор не справился с увеличивающимися объёмами. А поскольку интернет был полон всякими советами, то попробовав парочку из них сеть была окончательно положена и нужно было решать вопрос о её модернизации. Собственно, крик о помощи сопровождался обещаниями выдать бутылку-другую хорошего коньячка и я пошел на встречу подобному предложению.
Перед встречей я так же попросил составить техничекое задание с описанием, что имеется в распоряжении и какой результат должен быть на выходе. В описании было много воды, но задача трансформировалась в создание VPN между сетями филиалов и центральной сетью в виде звезды. В списке были оставлены только значимые объекты сетевой инфраструктуры.
- Центр Красноярск
- Cisco 2851
- 30 компьютеров Windows
- Windows Server 2003 DC
- Windows Server 2003 почта
- Windows Server 2003 MS SQL+1C
- Windows Server 2003 Proxy
- Офис Шарыпово
- Cisco 851
- 5 компьютеров
- Офис Кемерово
- Cisco 851
- 6 компьютеров
- Новосибирск
- Cisco 871
- 7 компьютеров
- Windows Server 2003 MS SQL+1C
- Иркутск
- 10 компьютеров
- Windows Server 2003 в роли роутера
- Windows Server 2003 MS SQL+1C
Когда я понял, что весь этот зоопарк пытается ужиться между собой благодаря периодическим подключениям через PPTP из офиса к офису, то позавидовал стойкости людей и посочувствовал геморрою админа. В результате пришлось обучить человека построению шифрованных туннелей и показать как настраивается удалённый доступ на Цисковском оборудовании, чтобы не приходилось посещать разные города. Так же попросил провести инвентаризацию сети и узнать у директоров филиалов не возникнет ли потребности в объёдинении между удалёнными филиалами. После обсуждения выяснилось, что топология звезды с центром в Красноярске это идеальное решение. Пришлось немного повозиться с сервером в Иркутске, так как Windows Server 2003 Standard не захотел быстро и не принуждённо подключиться к туннелю на cisco.
В итоге на роутере в Красноярске был поднят туннель до каждого филиала. За одно был настроен роутинг между филиалами через Красноярск, на всякий случай. Но как выяснилось позднее, случай всё же представился.
Спустя еще год я опять же был удостоин вниманием со стороны администратора сети, который напомнил мне, что мы с ним рассматривали возможность объединения сетей не централизовано, а в связке каждый с каждым (full mesh). В результате поднятия некоего сервиса все офисы упирались в пропускную способность до центра.
К тому моменту появилось ещё два офиса. В итоге порядка семи точек. Для того, чтобы их объединить в многосвязную сеть необходимо во всех семи филиалах настроить по шесть туннелей. В итоге имеем сорок две туннельных настройки. Самих туннелей будет около двадцати, но они настраиваются с каждой стороны и в каждый момент можно совершить ошибку. Достаточно ошибиться в таблице маршрутизации или перепутать туннели.
Подумав и предложив избавиться от шлюзов не на Cisco, мы пришли к выводу, что можно воспользоваться проприетарным протоколом Cisco и создать VPN сеть на основе технологии Dynamic Multipoint VPN (DMVPN). Благодаря этой интересной технологии можно настроить один роутер в качестве hub-маршрутизатора, а остальные в роли spoke-маршрутизаторов. Что даёт эта система? Он позволяет роутеру самостоятельно обучаться и искать для spoke-маршрутизаторов прямые линки между собой. То есть если информация пересылается из одного филиала в другой, то хаб объяснит спокам, что им проще обмениваться информацией напрямую, минуя центральный роутер и не занимая его канал связи.
На текущий момент данная модель является наиболее чётко отражающей потребности предприятия выросшего до таких размеров.
При создании своих сетей старайтесь максимально полно изучить имеющееся оборудование и доступную литературу по настройке сетей. Нет одной универсальной модели построения сетей, но есть определённые сценарии построения в которые может уложиться ваша задача. Например, для маленькой сети из двух или трёх подсетей использовать DMVPN нету никакого резона, ибо можно построить полноценную full mesh-сеть используя обычные IPSec-туннели и при этом можно задейтвовать разношёрстное оборудование не зацикливаясь на каком-либо произодителе сетевого оборудования.
Отредактировано:2020-09-08 19:38:31