Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Route/Bridge - Динамическая маршрутизация

Ответить
Настройки темы
Route/Bridge - Динамическая маршрутизация

Аватара для Tonny_Bennet

Ветеран


Сообщения: 1384
Благодарности: 176


Конфигурация

Профиль | Отправить PM | Цитировать


Изменения
Автор: Tonny_Bennet
Дата: 22-02-2013
Описание: уменьшил картинки
Здравствуйте.

Есть несколько офисов (читай локальных сетей /24), подключенных к различным провайдерам. У некоторых из офисов есть несколько каналов в интернет. В качестве шлюза везде используется Ubuntu Server. Между центральным офисом и филиалами настроены VPN каналы с настроенной статической маршрутизацией, т.е. при подключении клиента на сервере прописывается маршрут в клиентскую сеть. Рассмотрим пример из трёх филиалов:

Центральный офис 192.168.0.0/24
Первый филиал 192.168.3.0/24
Второй филиал 192.168.4.0/24

У центрального офиса есть два канала в интернет; у оставшихся по одному. Клиентские шлюзы (192.168.3.1, 192.168.4.1) подключаются к VPN серверу (VPN сеть 192.168.2.0/24), а именно к одному внешнему интерфейсу шлюза центрального офиса (192.168.0.10). Т.о. пакеты свободно попадают из сети 192.168.0.0/24 в сети 192.168.3.0/24 и 192.168.4.0/24, и из клиентских сетей в сеть центрального офиса. Но вот между клиентскими сетями (192.168.3.0/24 и 192.168.4.0/24) пакеты путешествовать не могут ибо не знают куда податься .

Что бы решить проблему в этом примере можно в одной из клиентских сетей поднять VPN сервер и подключаться к нему из другой клиентской подсети. Получится эдакий треугольник.

Можно завернуть трафик через центральный офис, но каналы не безграничны и гонять трафик просто так не хочется.

Возникает, как мне кажется, нормальный вопрос: как организовать маршрутизацию между несколькими локальными сетями (реально их 5), подключенными к различным провайдерам, не создавая в сети центральной точки маршрутизации трафика?

-------
Сообщение оказалось полезным? Кнопка Полезное сообщение располагается чуть ниже.


Отправлено: 11:04, 22-02-2013

 

Аватара для cameron

Ветеран


Contributor


Сообщения: 4657
Благодарности: 1082

Профиль | Отправить PM | Цитировать


начнём с того, что реализация Site-to-Site VPN (LAN-to-LAN) через клиенское подключение и прописываение маршрутов руками неверно.
нужно делать Site-to-Site.
далее у вас появлется адекватная таблица маршрутизации, в которой всем понятко куда и откуда нужно бегать.
соотно в вашей схеме я вижу 3 Site-to-Site туннеля:
192.168.0.0/24 <->192.168.4.0/24
192.168.0.0/24 <->192.168.3.0/24
192.168.3.0/24 <->192.168.4.0/24
тогда, конечно же, не придётся гонять траффик через основной офис (192.168.0.0/24)

а по вопросу динамической маршрутизации - я бы выбрала либо несколько шлюзов с разными метриками, либо аналоги IP-SLA(cisco)/ip-monitoing(juniper), когда делаются два туннеля и в определённых условиях (нет пинга, к примеру) в таблицу маршрутизации заносятся изменения.
Можно, так же, рассмотреть OSPF или BGP.

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.


Отправлено: 11:22, 22-02-2013 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для Tonny_Bennet

Ветеран


Сообщения: 1384
Благодарности: 176

Профиль | Отправить PM | Цитировать


Цитата cameron:
начнём с того, что реализация Site-to-Site VPN (LAN-to-LAN) через клиенское подключение и прописываение маршрутов руками неверно.
нужно делать Site-to-Site. »
Не понял что именно не так? Повторюсь что сейчас все клиентские шлюзы подключаются к шлюзу центрального офиса, скрипты сами прописывают маршруты, при падении система пытается сама переподключиться.

-------
Сообщение оказалось полезным? Кнопка Полезное сообщение располагается чуть ниже.


Отправлено: 11:27, 22-02-2013 | #3


Аватара для cameron

Ветеран


Contributor


Сообщения: 4657
Благодарности: 1082

Профиль | Отправить PM | Цитировать


Цитата Tonny_Bennet:
Повторюсь что сейчас все клиентские шлюзы подключаются к шлюзу центрального офиса, скрипты сами прописывают маршруты, при падении система пытается сама переподключиться. »
тогда я вас не совсем верно поняла.
обычно это и называется Site-to-Site, тогда не нужно писать много слов, а технология становится ясной.

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.


Отправлено: 11:29, 22-02-2013 | #4


Аватара для Tonny_Bennet

Ветеран


Сообщения: 1384
Благодарности: 176

Профиль | Отправить PM | Цитировать


cameron, всегда пытаюсь рассказать как можно подробнее.

Ваше сообщение, меня натолкнуло на мысль поднятия туннеля. Т.е. сейчас есть сервер, есть клиент, логины пароли и процедура авторизации. И при падении клиент должен заново инициализировать соединение. Когда-то я настраивал GRE туннель между двумя Linux системами. В системе он определялся просто как интерфейс tun0. В настройках интерфейса указывались внешние адреса двух взаимодействующих серверов. И, как я понимаю, пакетам просто добавлялся заголовок и пакет передавался на внешний интерфейс второго сервера. Сервер приняв такой пакет снимал заголовок и маршрутизировал дальше. Меня не обрадовало отсутствие шифрования.

Если есть мысли по этому вопросу - прошу озвучить

По идее мне бы сначала найти вариант передачи трафика между сетями с минимальными количеством настроек на точках, а уже потом развивать идею динамической маршрутизации между этими точками (возможно у какого-то из провайдеров будут проблемы с одним направлением и выгоднее будет пустить трафик через транзитный офис)

-------
Сообщение оказалось полезным? Кнопка Полезное сообщение располагается чуть ниже.


Отправлено: 11:57, 22-02-2013 | #5


Аватара для cameron

Ветеран


Contributor


Сообщения: 4657
Благодарности: 1082

Профиль | Отправить PM | Цитировать


Цитата Tonny_Bennet:
И при падении клиент должен заново инициализировать соединение. Когда-то я настраивал GRE туннель между двумя Linux системами. В системе он определялся просто как интерфейс tun0. В настройках интерфейса указывались внешние адреса двух взаимодействующих серверов. И, как я понимаю, пакетам просто добавлялся заголовок и пакет передавался на внешний интерфейс второго сервера. Сервер приняв такой пакет снимал заголовок и маршрутизировал дальше. »
похоже что, наконец, мы сошлись в понимании процесса.
Цитата Tonny_Bennet:
Меня не обрадовало отсутствие шифрования. »
IPsec over GRE?
Цитата Tonny_Bennet:
По идее мне бы сначала найти вариант передачи трафика между сетями с минимальными количеством настроек на точках, »
я не сильна в Linux системах, но, по описанию похоже, что вы начинаете говорить о том, о чём говорила я.
вот пример
http://clauseriksen.net/2011/02/02/i...-debianubuntu/

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.

Это сообщение посчитали полезным следующие участники:

Отправлено: 12:02, 22-02-2013 | #6


Аватара для Tonny_Bennet

Ветеран


Сообщения: 1384
Благодарности: 176

Профиль | Отправить PM | Цитировать


Цитата cameron:
IPsec over GRE? »
Чем-то мне не нравился этот вариант и я не стал его использовать.... возможно из за отсутствия острой необходимости в таком тунеле или отсутствия опыта и страха перед последствиями ошибок.

Цитата cameron:
я не сильна в Linux системах, но, по описанию похоже, что вы начинаете говорить о том, о чём говорила я.
вот пример
http://clauseriksen.net/2011/02/02/i...-debianubuntu/ »
За ссылку спасибо, в ночи или на выходных попробую сделать. Как заработают тунели - вернусь и будем думать, что делать с маршрутизацией

-------
Сообщение оказалось полезным? Кнопка Полезное сообщение располагается чуть ниже.


Отправлено: 13:09, 22-02-2013 | #7


Аватара для cameron

Ветеран


Contributor


Сообщения: 4657
Благодарности: 1082

Профиль | Отправить PM | Цитировать


Цитата Tonny_Bennet:
Чем-то мне не нравился этот вариант и я не стал его использовать.... возможно из за отсутствия острой необходимости в таком тунеле или отсутствия опыта и страха перед последствиями ошибок. »
Цитата Tonny_Bennet:
Меня не обрадовало отсутствие шифрования. »
определитесь

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.


Отправлено: 14:02, 22-02-2013 | #8

exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12412
Благодарности: 1442

Профиль | Отправить PM | Цитировать


Цитата Tonny_Bennet:
В качестве шлюза везде используется Ubuntu Server. »
OpenVPN поддерживает Site-to-Site и SSL
Цитата Tonny_Bennet:
Как заработают тунели - вернусь и будем думать, что делать с маршрутизацией »
как заработают тунели - над маршрутизацией будет думать OpenVPN... ну как и другие site-to-site шлюзы...

p.s.: русскоязычная статья про opens\wan

-------
продаю "железку" Kraftway Вежливый клиент всегда прав!


Последний раз редактировалось exo, 22-02-2013 в 14:51.

Это сообщение посчитали полезным следующие участники:

Отправлено: 14:19, 22-02-2013 | #9


Аватара для Tonny_Bennet

Ветеран


Сообщения: 1384
Благодарности: 176

Профиль | Отправить PM | Цитировать


exo, спасибо.

Нашёл ещё одну статью.

Но в любом случае придётся на каждом из пяти шлюзов настроить четыре интерфейса смотрящих в соседние шлюзы.

-------
Сообщение оказалось полезным? Кнопка Полезное сообщение располагается чуть ниже.


Отправлено: 14:58, 22-02-2013 | #10



Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Route/Bridge - Динамическая маршрутизация

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
AJAX - динамическая подгрузка данных без перезагрузки страниц vadimiron Вебмастеру 158 27-07-2013 21:26
FreeBSD - Маршрутизация mitsumoto Общий по FreeBSD 1 02-02-2011 12:08
C/C++ - [решено] Динамическая память под двумерный массив, где ошибка?) SeRgikON Программирование и базы данных 4 04-06-2010 18:31
проблема с сетью Windows XP (динамическая роздача IP адресов) GIgaBIte Сетевые технологии 9 07-06-2007 09:40
Динамическая библеотека Guest Microsoft Windows 95/98/Me 3 19-10-2003 21:33




 
Переход